Nontawatt – หน้า 35 – นวัตกรไซเบอร์

snort มีความเสี่ยงที่ DCE/RPC

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง กุมภาพันธ์ 22, 2007
หมวด In Uncategorized

โครงสร้าง snort

An Event structure containing
generator ID
snort ID
snort ID Revision number
classification ID
priority
event ID
event reference
event reference time
Event packet information containing
packet timestamp
source IP
destination IP
source port/Icmp code
dest port/icmp type
protocol number
event flags

ส่วนเพิ่มเติม , flow records from Snort (stream4) look like this:

start time
end time
server (responder) IP
client (initiator) IP
server port
client port
server packet count
client packet count
server byte count
client byte count

flow start time
last packet time
initiator packet count
initiator bytes
responder packet count
responder bytes
initiator TCP flag aggregate (if any)
responder TCP flag aggregate
last packet originator (initiator/receiver)
alerts on flow (count)
flow flags (bitmap)

พบช่องโหว่ DCE/RPC preprocessor ที่รวมใน Snort 2.6.1.
ช่องโหว่นี้พบใน snort version 2.6.1, 2.6.1.1, 2.6.1.2, และ 2.7 beta 1.
เราสามารถดู snort/src/dynamic-preprocessors/dcerpc/ directory of Snort CVS แสดงผล dcerpc.c และ smb_andx_decode.c ทั้ง 2 ส่วนนี้มีช่องโหว่ software snort ที่สามารถเข้าถึงระบบได้

อ่านเพิ่มเติมได้ที่ http://www.snort.org/docs/advisory-2007-02-19.html
link http://taosecurity.blogspot.com/2007/02/snort-dcerpc-vulnerability-thoughts.html

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Open Source Winners

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง กุมภาพันธ์ 20, 2007
หมวด In Uncategorized

หลักการเลือก Open Source Project ที่ประสบความสำเร็จ

รายละเอียดอ่านเพิ่มเติมได้ที่ How To Tell The Open Source Winners From The Losers
ในอนาคตเราปฏิเสธไม่ได้ว่าเป็นโลกของ Open source ที่คิดอย่างนั้นก็เพราะ เราไม่แน่ใจว่า software Close Source นั้นจะมีการฝัง backdoor หรือไม่ ?

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Anonymity Network เครือข่ายไร้ตัวตน (2)

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง กุมภาพันธ์ 18, 2007
หมวด In Network

กาลามสูตร กล่าวว่า “อย่าเชื่อ จนกว่าจะได้พิสูจน์ด้วยตนเอง”
Nontawattalk กล่าวต่อว่า “อย่าเชื่อ ต่างชาติให้มากนัก..”

ตอนที่แล้วทิ้งท้ายไว้ว่า จะทำอย่างไร กับการประยุกต์ เครือข่าย Tor เพื่อใช้ในการค้นหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ ก่อนไปเรื่องสำคัญ ขอสรรภาพก่อนว่า พักหลังผมให้ความสนใจกับการป้องกันข้อมูลส่วนตัว (privacy and security on the Internet) มากขึ้น และเมื่ออ่านจนถึงบรรทัดสุดท้ายของบทความนี้ แล้ว จะเกิดคำถามตามมาว่า เราจะทำ Privacy Internet เพื่อใคร ? กันแน่

จากองค์ประกอบศัพท์ที่เกี่ยวข้องกับทุกเรื่องบนระบบความปลอดภัยข้อมูล 3 คำนี้
C = Confidentiality
I = Integrity
A = Availability

เครือข่ายที่มีการเข้ารหัสในการรับส่งข้อมูล มีการทำเรื่อง Confidentiality เป็นทางออกของการป้องกันความเป็นส่วนตัวของข้อมูล (privacy) ได้

Anonymity Network ทำให้เราระบุ ตัวตนที่แท้จริงในการเข้าเยี่ยมชม Website , IM , Mail ไม่ได้ และ Tor (The Onion Router) ทำให้เกิดการแชร์ Proxy ขนาดใหญ่ บนวิธีการ Routing ที่กำหนดจากโปรแกรม Tor ที่ลงบน Server เส้นทางการลำเรียงข้อมูล ที่มีการเปลี่ยนแปลงจากเทคนิคเดิมๆ กับเป็น ที่นิยมมากขึ้นเรื่อยๆ ผลที่ตามจากการวิเคราะห์ของตนเองแล้ว พบว่า Tor เกิด Anonymity Network ได้จริง

แต่ที่พบว่าอาจเกิดปัญหาได้ในอนาคต เนื่องจาก Tor อาศัย อาสาสมัคร เพื่อสร้าง Router Tor หรือบางทีเรียกว่า Tor Server จำนวนมาก ที่ไม่มีมาตรฐานในการระบุชื่อ ดูได้จาก Torstat และไม่มีมาตรการกลางที่ใช้ในการเก็บสร้าง Log ของ Router อาสาสมัคร ที่ใช้กันทั่วโลก (ไม่ใช่ ยุโรป และ อเมริกา เท่านั้นนะ)
คำถามว่า Anonymity Network หากได้รับความนิยมมากขึ้น เราจะค้นหาผู้กระทำผิดทางอาชญากรรมคอมพิวเตอร์ได้อย่างไร ?
เป็นเรื่องที่ท้าทายมากครับ สำหรับงานสืยหาผู้กระทำผิด ที่ต้องตรวจหาจากรอยเท้าบนเครือข่ายคอมพิวเตอร์ที่เชื่อมโยงบนโลกอินเตอร์เน็ท ยิ่งอยู่บน Anonymity Network แล้วล่ะก็ ย่อมมีความยากและซับซ้อนมากขึ้น
เมื่อต้นปี 2006 เราคงได้ทราบถึงศัพท์ที่เรียกว่า NSA Spy (National Security Agency spy) บน Code Name ที่ชื่อว่า “Echelon”
website NSA (http://www.nsa.gov)
Echelon มีประวัติเคยใช้ในสงครามเย็น ในยุคสมัยที่ 70s – 90s เพื่อใช้ในการเฝ้าติดตามชาวต่างประเทศที่เข้าประเทศอเมริกา ส่วน Echelon หรือ NSA Spy บนโลกอินเตอร์เน็ทแล้ว ได้รับการสนับสนุนจาก รัฐบาลอเมริกา และ ใช้เทคโนโลยี , ข้อมูล จากบริษัท AT&T และ EFF ผู้สนับสนุนการสร้าง Tor ซึ่งทั้งบริษัท AT&T และมูลนิธิ EFF ก็ยังมีปัญหาในคดีความเรื่องการดักข้อมูล จาก NSA กันอยู่เมื่อปลายปีที่แล้ว รัฐบาลสหรัฐอเมริกา ภายใต้ NSA ได้จัดทำโปรแกรมนี้ขึ้นเพื่อดักข้อมูลบนเครือข่ายคอมพิวเตอร์ เพื่อใช้ในการสืบหาการกระทำที่ผิดปกติที่อาจก่อให้เกิดอาชญากรรมคอมพิวเตอร์ โดยเฉพาะการก่อการร้ายข้ามชาติ ผ่านเครือข่ายคอมพิวเตอร์ (Cyber Crime / Terrorist)ตั้งแต่เหตุการณ์ 9 11 ผ่านไปทางรัฐบาลสหรัฐอเมริกา ให้ความสำคัญเรื่องนี้มาก จนถือได้ว่าเป็นวาระแห่งชาติไป เมื่อปลายปี 2004
การทำงาน NSA Spy Program จะจับข้อมูลที่เกี่ยวกับ e-mail , telephone calls (ข้อมูลบอกว่าใช้สำหรับ American citizens’ phone เคยเกิดเป็นข่าวใหญ่เมื่อปีที่แล้ว ว่า NSA ได้แอบรวบรวมระเบียบการโทรศัพท์ของชาวอเมริกันหลายล้านคนอย่างลับ ๆ โดยใช้ข้อมูลที่ได้จาก AT&T, Verizon และ BellSouth จากนั้นจึงนำข้อมูลทีได้มาวิเคราะห์รูปแบบการโทรเพื่อตรวจหากิจกรรมการก่อการร้าย บุคคลที่ไม่เปิดเผยตัวคนหนึ่งเผยว่าฐานข้อมูลดังกล่าวเป็นฐานข้อมูลที่รวบรวมการใช้โทรศัพท์ทั้งหมดที่ใหญ่ที่สุดเท่าที่เคยมีมา ไม่ว่าจะเป็นการโทรข้ามเมือง ประเทศ ไปยังสมาชิกในครอบครัวเพื่อนร่วมงาน หรือคนอื่น ๆ ก็ตาม อ่านเรื่องเต็มได้จาก http://www.usatoday.com/news/washington/2006-05-10-nsa_x.htm ) และการระบุ IP จากผู้ให้บริการ (ISP)
เรื่องใกล้เคียงกัน กับ EFF ผู้สร้างสรรค์ผลงาน Tor
ข่าวจาก SRAN infosec เมื่อ 14 กค 2006 แปลจาก Networkingpipeline
กล่าวว่า “เอฟบีไอของสหรัฐ ฯ กำลังร่างกฏหมายที่บังคับให้ผู้ผลิตฮาร์ดแวร์ด้านเครือข่าย เช่น router และ switch จำเป็นต้องอัพเกรดอุปกรณ์ของตนให้สนุบสนุนการดักข้อมูลทางอินเทอร์เน็ตด้วย นอกจากนี้ผู้ให้บริการอินเทอร์เน็ตต้องยินยอมให้เอฟบีไอสามารถดักข้อมูลแอพพลิเคชั่นต่าง ๆ ได้ ไม่ว่าจะเป็น VoIP ไปจนถึง instant messaging
Brad Templeton ประธานของ Electronic Frontier Foundation (EFF) เปิดเผยว่า Cisco กำลังสร้าง backdoor ที่ใช้เพื่อดักข้อมูลตั้งแต่เดือนมกราคมของปี 2006 , Templeton ยังบอกด้วยว่าผู้ผลิตฮาร์ดแวร์รายอื่น ๆ เช่น Juniper, Acme Packet ก็กำลังสร้าง backdoor เข้าไปในผลิตภัณฑ์ของตนเช่นกัน”

อ่านแล้วลองไปคิดกันต่อเอง ครับ …

ใครจะรู้ว่า NSA spy อยู่บน Anonymity Network จากการใช้ Tor

หากเป็นเช่นนี้ เรียกการกระทำนี้ว่า เป็น Honeynet แบบ Social Engineering ที่แนบเนียนที่สุดในโลกอินเตอร์เน็ทเลยทีเดียวนะ
เนื่องจาก Tor มันหอมหวนสำหรับ คนคิดไม่ดีนักเหลือเกินครับ แต่หารู้ไม่ว่ามีการดักข้อมูลอยู่บนเส้นทางเดินเครือข่ายนิรนามแห่งนี้เอง

ถ้าเป็นเช่นนี้เราควรใช้ Tor ต่อไปดีหรือไม่ ? คำตอบคือ ใช้ได้แต่ต้องระวังอย่าทำชั่ว เพราะทุกการกระทำที่ผิดจะบันทึกจาก NSA spy ที่สหรัฐอเมริกาเป็นผู้ทำขึ้น

สรุปแล้ว เห็นว่า Tor เป็นเทคโนโลยี ที่ดี เราควรสร้าง Tor แบบเดียวกันที่เป็นอยู่ แต่ใช้เฉพาะประเทศของเราดีไหม ? หากประเทศเรามีเหมือน NSA Spy และกำหนดการใช้งานทุก client ต้องผ่านการใช้ Tor บน Thailand Providers Network แล้ว ทุกการกระทำบนเครือข่ายคอมพิวเตอร์ ในประเทศของเราเอง จะสืบหาที่มาที่ไปได้หมด เชื่ออย่างผมหรือไม่ครับ

ข้อมูลสารสนเทศ คือแนวรบใหม่ ในยุคโลกาภิวัตน์ อย่างปฏิเสธมิได้
และประเทศของเรา จะแกร่งได้ ต้องสร้างภูมิต้านทานด้านเทคโนโลยีให้ทันต่อยุคสมัย พร้อมทั้งควบคุมมันให้ได้เอง โดยไม่พึ่งพาคนอื่น

ผมคงไม่มองโลกในแง่ร้ายเกินไปนะ ทั้งหมดที่กล่าวมาเป็นเพียงการแสดงความคิดเห็นจากตัวผมนะครับ ไม่ได้สำคัญเพื่อสร้างความเข้าใจผิดกับการใช้ Anonymity Network แต่อย่างใด เพราะสิ่งนี้ ล้วนเป็นสิทธิ และเสรีภาพ การใช้สื่ออินเตอร์เน็ท ในชีวิตประจำวันของเราต่อไป
ขอบคุณ เจ๊วาส Radioactive เปิดเพลงได้มันส์ดี จนนอนไม่หลับมานั่งเขียนบทความนี้ได้เสร็จเสียที

นนทวรรธนะ สาระมาน

Nontawattana Saraman

Anonymity Network เครือข่ายไร้ตัวตน

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง กุมภาพันธ์ 18, 2007
หมวด In Network

พุทธศาสนา กล่าวถึง อนันตา ความว่างเปล่า ไม่มีตัวตน ไม่ยึดมั่นถือมั่น
ส่วน Anonymity Network ไม่เกี่ยวกับพุทธศาสนา แต่เป็นการสร้างเครือข่ายที่ไม่มีตัวตน ที่ไม่ว่างเปล่า บนโลกอินเตอร์เน็ท วันนี้เรามาเรียนรู้กันว่า Anonymity Network เป็นอย่างไร

ทุกวันนี้การติดต่อสื่อสารบนโลกอินเตอร์เน็ท เป็นแบบ “Store and Forward ” คือ การเดินทางในการติดต่อสื่อสารเป็นแบบเส้นทางเดินของข้อมูล ที่ได้ปลายทางได้รับข้อมูล จากต้นทางที่ทำการส่งข้อมูล การลำเรียงข้อมูลแบบนี้ จะเกิดขึ้นเป็นทอดๆ ตามโครงข่ายในการรับส่งข้อมูล ตามจำนวน Hop ที่เกิดขึ้นจาก Router ไปยังปลายทางที่ต้องการส่งสารนั้นไปถึง ปัญหาที่อาจเกิดขึ้นได้คือ การดักจับข้อมูลในการรับและส่ง บนเครือข่ายคอมพิวเตอร์ได้เช่นกัน เนื่องจากข้อมูลที่ลำเรียงผ่าน Router ตาม hop นั้นอาจมีเครื่องมือในการดักจับข้อมูล อยู่ที่ใดที่หนึ่ง หรือบน ISP ผู้ให้บริการก็เป็นได้

อินเตอร์เน็ทเป็นโลกแห่งเสรี ด้วยความที่เป็น Freedom Content การปิดกั้นสื่อในการแสดงความคิดเห็นผ่านอินเตอร์เน็ท ในบางประเทศ ทำให้เกิดความคิดที่ว่า จะทำอย่างไร จึงจะสามารถเข้าถึงข้อมูลนั้นๆ ได้ทั้งที่ Gateway บางประเทศได้ปิดกั้นสื่อนั้น ไม่ว่าเป็น Website ที่มีการปิดกั้นในการเข้าถึง Protocol บาง Protocol และอื่นๆอีกมากกมายที่มีการปิดกั้นสื่อจากการเชื่อมต่ออินเตอร์เน็ท แนวคิดที่ว่า อินเตอร์เน็ทควรเป็นการสื่อสารที่มีความเป็นอิสระ และมีเสรีภาพสูง ทำให้มีกลุ่มคนที่พยายามหาทางออกให้ เข้าถึงข้อมูลที่ปิดกั้นขึ้น จึงเป็นที่มาของการทำ Anonymity Network หรือเครือข่ายไร้ตัวตน ขึ้น แนวคิดนี้เริ่มจากการ การรับและส่งข้อมูล ผ่านตัวกลาง (proxy ซึ่งอาจเป็น Server สาธารณะที่อยู่ต่างประเทศ หรือในประเทศ ) ก็จะยากในการตรวจหา ที่มาของการส่งข้อมูลได้ ในโลกความเป็นจริงการติดต่อสื่อสารเช่นนี้เป็นไปได้ ต้องใช้ Proxy Server ที่มีขนาดใหญ่และรองรับกับการรับส่งข้อมูลทั้งหมด จึงมีการทำแชร์เป็น Network Proxy ในสมัยก่อน Proxy Server มีจำนวนมาก แต่ไม่มีแชร์กัน ใครจะติดต่อสื่อสารโดยไม่ให้ทราบถึง IP ตนเองก็เลือกใช้ Proxy สาธารณะ , IP ที่ทำการติดต่อก็จะเป็น IP ที่ไม่ใช่ IP ของตัวเอง เมื่อ Proxy สาธารณะ ไม่ได้ให้บริการ ก็ต้องหาตัวใหม่ นี้เป็นแบบเมื่อก่อน จึงมีแนวคิดว่า หากนำ Public Proxy Server มาแชร์กัน และทำเรื่องของ Routing บนเครือข่ายเฉพาะกิจ ก็จะไม่ต้องค้นหา Proxy สาธารณะอีกต่อไป จึงเป็นที่มา Anonymity Network การติดต่อสื่อสารแบบนิรนามเกิดขึ้น พูดง่ายๆ คือการแชร์ข้อมูล บน Network Proxy ในการส่งสารข้อมูลเหล่านี้จึงต้องทำตัวเป็น Router ไปด้วย ต้นกำเนิดเทคนิคนี้ เรียกว่า “Onion Routing” เมื่อเกิดเป็น Onion Routing และมีการแชร์ข้อมูลที่รับส่งจนเป็น Network Proxy แล้ว มีการคิดต่อยอดมาเพื่อป้องกันในเรื่องความเป็นส่วนตัว (Privacy Information) ขึ้นโดยให้ เครือข่ายนิรนาม แห่งนี้ เกิดมีการเข้ารหัสในการรับส่งข้อมูลขึ้น และการประยุกต์เรื่องการเข้ารหัสข้อมูลบนเครือข่ายนิรนาม เราเรียกว่า TOR (The Onion Router) ซึ่งพัฒนาขึ้นภายใต้การสนับสนุนของมูลนิธิเล็กทรอนิกส์ฟรอนเทียร์ (Electronic Frontier Foundation)

เทคนิคในการเชื่อมต่อเครือข่าย Tor เป็นการติดต่อโดยใช้แบบ Forwards TCP Streams และเปิด SOCKS interface เพื่อใช้เชื่อมต่อกับ Tor Server ที่กระจายตัวอยู่ตามอาสาสมัคร Tor Server (The Onion Router Volunteer)
เริ่มจากการ Download Tor Software ที่ทำการสร้างเป็น Server
กำหนดที่ File: /etc/tor/torrc

## This is required, but you can choose the port
ORPort 9001
DirPort 9030

## Required: A unique handle for this server. Choose one.
Nickname YourNickName

## The IP or fqdn for this server. Leave commented out and Tor will guess.
## This may be required, if tor cannot guess your public IP.
Address 

OutboundBindAddress 

## To limit your bandwidth usage, define this. Note that BandwidthRate
## must be at least 20 KB.
BandwidthRate 20 KB        # Throttle traffic to 20KB/s (160Kbps)
BandwidthBurst 50 KB       # But allow bursts up to 50KB/s (400Kbps)

## If you don't want to run an Exit Node, add this
#ExitPolicy reject *:* # middleman only -- no exits allowed

การใช้งาน Tor เป็นการใช้งานโปรแกรมแบบ Client to Server จำเป็นต้องลงโปรแกรม Tor Client ซึ่งมีหลากหลายรูปแบบ และสามารถใช้ได้บนหลากหลาย OS (Operating System)

Tor Client ที่นิยม ได้แก่
1. Privoxy + Vidalia เป็นโปรแกรมที่ลงกับเครื่อง Client
2. Torpark เป็น Browser ที่มี Tor + Privoxy และ FireFox สามารถใช้ Torpark บน USB Drive ได้

ประโยชน์ของ Tor ประกอบด้วย
1. ทำให้เกิดความเป็นส่วนตัวในการเชื่อมต่อของข้อมูล เนื่องจากไม่สามารถหา IP ของผู้ใช้งานได้
2. ข้อมูลในการติดต่อสื่อสาร ยากแก่การดักข้อมูล (eavesdrop) เนื่องจากข้อมูลที่ส่งผ่าน เครือข่าย Tor มีการเข้ารหัส
3. ทำให้ระยะทางในการเชื่อมต่อไปถึงเป้าหมายในการติดต่อสื่อสาร อาจจะมีระยะทางที่สั้นลง เนื่องจากจำนวน Hop Router ได้มีระยะทางที่สั้นลง
4. กำหนด Babdwidt Rate จาก Tor Server และระบุ จำนวน Tor Server เพื่อการสืบค้น IP ที่ติดต่อบริการ ด้วยความร่วมมือจากอาสาสมัครที่ลงโปรแกรม Tor บน server ได้
ดูจำนวนการใช้งาน Tor Network ได้ที่

5. เข้าถึง Website และบาง Protocol ในการเชื่อมต่อ หากมีการปิดกั้นสื่อในประเทศนั้นๆ ได้

คำถามมีอยู่ว่า
แล้วผู้ใช้ Tor จะต้องทำอย่างไร ? และ Tor รองรับ Protocol อะไรบ้าง นี้เป็นคำถาม ที่ต้องหาคำตอบต่อไป

ผู้ใช้ Tor จำเป็นต้องมีโปรแกรม ที่ทำตัวเองเป็น Local Proxy ไว้กำหนดทิศทางการเดินทาง (routing) บนเครื่องคอมพิวเตอร์เราเพื่อออกสู่ อาสาสมัคร Onion Router Volunteer ที่นี้แนะนำใช้ Privoxy + Vidalia
Privoxy เป็นตัว Local Proxy ทำหน้าที่เปิด SOCKS Interface
Vidalia เป็นการหาทิศทาง TOR Volunteer

รูปที่ 1 Bob ติดต่อตรงกับ Server เป้าหมาย และไม่มีการเข้ารหัสข้อมูล หาก Bob เริ่มเปิดโปรแกรม Tor client, โปรแกรมเริ่มค้นหา Tor node แบบอัตโนมัติ

แน่นอน เมื่อเกิดแนวคิดเช่นนี้ เมื่อปลายเดือนตุลาคม ปี คศ 2003 จึงเกิดการแพร่กระจายตัว TOR node ตามประเทศต่างๆ เกิดขึ้นรวมปัจจุบันเกือบ 1250 node การรองรับ Protocol ในการสื่อสารโดยใช้ Tor มีได้มากกว่า HTTP , SMTP , IRC , VoIP และรองรับ Protocol ของ IM และ Protocol ของ P2P บางโปรแกรมได้ เห็นแล้วว่าดีกว่า Proxy รุ่นเก่าเป็นไหนๆ นะ

* กำหนดค่าเพิ่ม หรือ ลด Port Services บน Tor Server ได้จาก File: /etc/tor/torrc

ExitPolicy reject*:25
ExitPolicy reject*:119
ExitPolicy reject*:135-139
ExitPolicy reject*:445
ExitPolicy reject*:465
ExitPolicy reject*:587
ExitPolicy reject*:1214
ExitPolicy reject*:4661-4666
ExitPolicy reject*:6346-6429
ExitPolicy reject*:6699
ExitPolicy reject*:6881-6999
accept*:*

รูปที่ 2 Tor เริ่มลำเรียงข้อมูลเพื่อไปยังเป้าหมายที่ Bob ต้องการโดยข้อมูลมีการเข้ารหัสเรียบร้อย พร้อมทั้งไม่สามารถยืนยันว่า Bob ใช้ IP อะไรอยู่

รูปทั้ง 2 นำมาจาก whitedust net

ศึกษา Tor ได้จาก http://tor.eff.org/

ความน่าสนใจ ยังพึ่งเริ่มต้น เนื่องจาก Tor เป็นการสร้าง การเชื่อมต่อการสื่อสารแบบ Anonymity Network ซึ่งปิดบังความเป็นตัวตนของผู้ใช้อินเตอร์เน็ทได้ ปลอดภัยจากการดักจับข้อมูลบนเครือข่าย เนื่องจากเป็นเครือข่ายคอมพิวเตอร์ที่มีการเข้ารหัส แต่ตัวผมสนใจมากกว่านั้น เพราะ Tor คือกุญแจสำคัญในการตรวจหาผู้กระทำผิดทางอาชญากรรมคอมพิวเตอร์ได้ หากเรานำมาประยุกต์ใช้ และบทหน้า จะกล่าวกันต่อ สวัสดีวันตรุษจีนครับ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Miss.Seenev Interview with SRAN Dev ตอนที่ 2

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง มกราคม 7, 2007
หมวด In interview

Miss.Seenev : กลับมาคุยกันต่อ ทำระบบรักษาความปลอดภัยข้อมูลสารสนเทศ มองการตลาดอย่างไรไว้บ้างค่ะ
Nontawattalk : ก่อนอื่นต้องบอกก่อนว่า ผมไม่ได้เรียนทางการตลาดมานะครับ แต่ใช้การตลาดในเชิงสัญชาตญาณ มากกว่า คิดว่าใช่และถูกต้อง จึงทำ พยายามที่จะปรับปรุง จุดด้อยเราอยู่เป็นระยะ ครับ
Miss.Seenev : หมายความอย่างไรเหรอค่ะ เกี่ยวกับสัญชาตญาณเนี้ย ? และมองกลุ่มลูกค้าอย่างไร ?
Nontawattalk : สัญชาตญาณ บนแบบฉบับของเราเอง (หัวเราะ) แต่ก็มีพวกพี่ๆ ที่เป็นมืออาชีพ ด้านนี้มาช่วยดูแล ส่วนนี้โดยเฉพาะนะครับ แบ่งได้ 2 ส่วน เท่าที่ผมทราบแล้วกัน
ส่วนที่ 1 ตลาดในประเทศไทย และส่วนที่ 2 ตลาดในต่างประเทศ
ในส่วนแรก ตลาดในประเทศไทย เราต้องเข้าใจธรรมชาติ คนในชาติ และ กลุ่มคนหรือบริษัทประกอบการด้าน IT รวมถึง กลุ่มคนใช้งานด้าน IT ในประเทศไทย หากเข้าใจได้ จะมองภาพชัดเจนขึ้น
คนในชาติ ร้อยละ 65% ยังเข้าไม่ถึงเรื่องการใช้งาน IT (จากการคาดการณ์ ตนเองนะครับไม่ได้อิงสถิติที่ไหน) ที่ยังไม่เข้าถึง ประกอบด้วย
– สถานที่บางที่ในประเทศไทย ไฟฟ้าอาจยังเข้าไม่ถึงอยู่บางอาจจะน้อยมาก แต่ก็รวมในการคาดคะเนนี้ด้วย
– ความรู้ด้าน IT ในใช้งานชีวิตประจำวัน มีคนใช้งานทั่วประเทศไทย ผมคิดประมาณ ร้อยละ 30% จากประชากรทั้งประเทศ คิดจาก 60 ล้านคน
ถึงแม้จะมีการใช้เทคโนโลยี Hi-Speed มากขึ้น ก็จะกระจุกตัวที่ในเขตในเมือง โดยเฉพาะเมืองหลวง กทม.
ฉะนั้น ตลาด IT ในประเทศไทยค่อนข้างเล็ก แต่ไม่ถึงขั้นเล็กมาก เล็กแบบปานกลาง หากเรามองเฉพาะเจาะจงตลาด IT Security ก็จะมีส่วนตลาดน้อยลงไปอีก ดังนั้นจะเห็นว่าธุรกิจ IT ในประเทศไทย ส่วนใหญ่แล้วจะเน้นการค้าขายแบบกว้าง คือ ขายได้หมด เหมือน IT mall ตั้งแต่สายLAN จนถึงระบบขนาดใหญ่ แต่ มีความน่าสนใจที่ว่า ตลาดมีการเติบโต เร็วมาก เฉพาะนั้นอีกไม่นาน ตลาด IT ก็จะมีความสำคัญในประเทศไทยมากขึ้น
ตลาด IT Security เมืองไทย ในปัจจุบันเป็นตลาดที่เล็ก อยู่ แต่มีการให้ความสำคัญสูง สำหรับ องค์กรขนาดใหญ่ ธนาคาร , และธุรกิจที่มีความจำเป็น ติดต่อสื่อสารตลอด กลุ่มลูกค้าก็มาจากกลุ่มนี้ และส่วนใหญ่เป็นลูกค้าใน กทม. การทำตลาด IT Security ไม่เพียงการขายสินค้า อุปกรณ์ แต่เป็นการ ให้บริการ ทั้งเป็นที่ปรึกษา , ออกแบบระบบ , ติดตั้งระบบ และดูแลรักษาระบบ อีกทั้งยังเป็นงานสอน ได้อีกด้วย จึงกล่าวได้ว่า ตลาด IT Security มีความหลากหลายในตัวเช่นกัน ถึงแม้จะเป็นตลาดเล็ก แต่การได้งานก็มีหลายรูปแบบที่นำเสนอแก่ลูกค้า ส่วนตลาดที่ถึง home user ก็จะมีทั้งที่เป็น software ป้องกันภัยต่างๆ ได้อีกด้วย ดังนั้นอาจกล่าวได้ว่า ตลาด IT Security เป็นตลาดเล็ก แต่ เข้าถึงตั้งแต่ home user จนถึงธุรกิจขนาดใหญ่ ในเมืองไทยได้ แต่เนื่องด้วยเหตุผลการเข้าถึง IT และความรู้ผู้ใช้งาน ยังเป็นอุปสรรคสำหรับตลาด IT Security เมืองไทยอยู่
SRAN กับตลาด IT Security เมืองไทย ตอนแรกเราเน้นกลุ่ม องค์กรขนาดกลาง ถึง ขนาดใหญ่ ปัจจุบัน เรามาทำตลาด SME ด้วยครับ ก็ถือว่าจะเข้าถึง SME ได้ในปี 2550 นี้ เพราะเราผลิตอุปกรณ์ขนาดเล็ก และมีราคาประหยัดเพื่อแข่งขันการตลาด SME มาเมื่อปลายปีที่แล้ว
ส่วน Home use หรือ ผู้ใช้งานตามบ้าน ตอนนี้เราแจกให้ฟรี อยู่ครับหลายๆ software เลยไม่ว่าเป็น Anti virus รวมถึงบริการแนว Web services ที่เจ้าของ web site ไม่ต้องมีต้นทุนในการใช้เทคโนโลยี ครับ
มาถึงตลาดต่างประเทศ ผมมองตลาดโลกเป็นสิ่งที่น่าสนใจมาก เพราะเป็นตลาดใหญ่ ด้วยกำลังทุน ของส่งออกไปขายต่างประเทศลำบาก เพราะต้องทำหลายปัจจัย การเข้าถึงตลาดโลก สำหรับ SRAN ได้คือการแสดงเทคโนโลยี ในแบบฉบับของเราเอง ในปี 2550 ผมจะทำ SRAN Web identity Search และอื่นๆ ที่ยังไม่ออกสู่สายตา จะจัดทำในรูปแบบ Web services ที่ Interactive มากขึ้น มีรูปแบบสวยงาม และรองรับ Web 2.0 + Social Networking เทคโนโลยีนี้ จะเผยแพร่ไปสู่ตลาดโลกได้ ส่วนอัตราค่าบริการ ยังไม่ได้คิดครับคิดว่าให้ฟรี เช่นกัน แสดงศักภาพ คนไทย ก่อน ก็ต้องโปรดคอยติดตามต่อไป

Miss.Seenev : ในส่วน SRAN Web identity Search มีจุดเด่นในแง่ไหนเหรอค่ะ ถึงจะไปตลาดโลกได้
Nontawattalk : เน้นเรื่องการระบุภัยคุกคาม ที่เกิดจากเยี่ยมชม Web ในรูปแบบปัจจุบัน ยังธรรมดาไปหน่อยครับ แต่สิ่งที่ผมและทีมงานพัฒนาอยู่ คิดว่ายังใหม่ และไม่มีใครทำในโลก คิดว่ามันมีประโยชน์ ไม่แพ้ Siteadvisor ของ Mcafee เลยล่ะครับ

Miss.Seenev : แสดงว่าเป็นความหวัง สำหรับการก้าวถึงตลาดโลก แสดงว่าไม่มองตลาดไทยนักหรือเปล่า ค่ะ
Nontawattalk : ตลาดเมืองไทย นี้สำคัญที่สุดครับ เพราะต้องการให้คนไทย ใช้สินค้าที่ สามารถควบคุมได้ ไม่ต้องหวังพึ่งต่างประเทศ โดยเฉพาะ ความมั่นคงชาติ เรายินดี Open Code ที่เขียนเพื่อนำไปพัฒนาต่อเพื่อการใช้ระบบการทหาร หรือ ส่วนราชการที่ต้องการความมั่นคงข้อมูลอีกด้วย เราทำ SRAN ด้วยเจตนา ที่ต้องการให้คนไทยใช้ ทำได้ด้วยครับ ไม่ใช่แค่ใช้ อย่างเดียว

Miss.Seenev : คู่แข่งทางธุรกิจ เยอะไหมค่ะ
Nontawattalk : ปัจจุบันเยอะครับ แต่ส่วนใหญ่ เป็นบริษัทข้ามชาติ
Miss.Seenev : แล้วมีกลยุทธอย่างไร สำหรับแข่งกับบริษัทข้ามชาติ และสินค้าต่างประเทศ ค่ะ
Nontawattalk : ผมมองว่าการแข่งขัน เป็นเรื่องปกติ ส่วนจะแข่งขันอย่างไร ให้ได้เปรียบบริษัทข้ามชาติ ก็ต้องใช้ความเป็นคนท้องถิ่นเราเอง โดยเน้นการให้บริการหลังการขายที่มีคุณภาพ และในอดีตที่ผ่านมาส่วนใหญ่ลูกค้าที่เลือกใช้ อุปกรณ์ SRAN ก็ต่อสัญญาณ ทั้งสิ้น
Miss.Seenev : คุยกันตั้งนาน ไม่ทราบว่าสินค้า อุปกรณ์ SRAN ขายกันกี่รุ่นมีอะไรขายบ้าง ค่ะ
Nontawattalk : ครับ เรามี อุปกรณ์ด้านระบบรักษาความปลอดภัยข้อมูล บน เครือข่ายคอมพิวเตอร์ (Network) มีด้วยกัน 2 ตระกูล คือประกอบด้วย
1. ระบบ Gateway Security ตัวนี้เราเป็นระบบ UTM คุณสมบัติใกล้เคียงกับ UTM สินค้าต่างประเทศ แต่เราเน้นที่ ประหยัดที่ license อุปกรณ์ เนื่อง Feature อย่างเช่น Anti virus/Spam/Spyware/URL Filtering/ ของ SRAN ไม่เสีย license ระบบนี้มีอุปกรณ์ให้เลือกด้วยกันอยู่ 5 รุ่น
2. ระบบ Security Center ตัวเองเราเลยครับ เป็นอุปกรณ์ ผสมระหว่าง IDS/IPS + VA รวมถึงการ comply log ให้สอดคล้องกับ ISO17799 ได้อีกด้วย ประกอบด้วย 5 รุ่นเช่นกัน
3. Security Appliance on Demand แล้วแต่ลูกค้าต้องการเพิ่มอะไร เช่น เพิ่มระบบ NAC , SSL VPN หรือพวก SMS Security Alert เราทำเป็น Plugins บน SRAN Security Center ได้หมดครับ

Miss.Seenev : ถือได้ว่าเป็นจุดเด่นของ SRAN-Dev เลยหรือเปล่า ว่าทำได้เองด้วย
Nontawattalk : ถูกต้องล่ะครับ คือเราทำได้เอง ไม่ต้องพึ่งใคร ถึงแม้เทคโนโลยีหลายๆตัว เราต้องประยุกต์จากสิ่งที่มีอยู่จากต่างประเทศ แต่กระบวนการนี้ผลิตขึ้น ด้วยฝีมือเราเองครับ จนสามารถปรับแต่งให้อยู่ในแบบที่เราต้องการได้ สิ่งที่ได้รับตามมาก็คือ เราสามารถเข้าถึงลูกค้าได้มากขึ้น เพราะความต้องการลูกค้าในตลาด IT Security มีเยอะที่อยากได้โน่นอยากได้นี้ เราจับรวมมาอยู่ในผลิตภัณฑ์เราได้ พร้อมออกแบบระบบเครือข่ายให้ปลอดภัย บนความพอเพียงได้ ครับ
Miss.Seenev : ตามสมัยเลยนะค่ะ เน้นความพอเพียง
Nontawattalk : สำคัญครับ ความพอเพียง เป็นปรัชญา ที่ลึกซึ้ง แต่พอเพียงแบบ SRAN เพราะเรามีภูมิคุ้มกัน และ คุ้มค่าหากเลือกใช้ SRAN ครับ
Miss.Seenev : ในอนาคต คุณต้องการเป็นอย่างไรค่ะ
Nontawattalk : อืม… อนาคต SRAN จะมีสีสันมากขึ้น เราจะทำงาน IT Security แบบสราญอารมณ์ ที่มีคุณภาพ และสร้างขื่อเสียงกับสู่ประเทศไทยในสายตาต่างประเทศ ครับ
Miss.Seenev : แสดงว่าปีนี้ เน้นการทำตลาดต่างประเทศ สิค่ะ
Nontawattalk : จะพยายามครับ ไม่เกิน Q2 ปีนี้อาจได้เห็นอะไรใหม่ๆ SRAN เทคโนโลยี ที่พอให้ต่างชาติรับรู้ได้ว่า เราไม่เบา : )
Miss.Seenev : ก็ขอเป็นกำลังใจให้ แล้วกันนะค่ะ คำถามสุดท้ายค่ะ SRAN จะช่วยเราได้แค่ไหนค่ะ และมีวิธีการสร้างความเชื่อมั่นอย่างไร เนื่องจากเป็นระบบรักษาความปลอดภัยข้อมูล ที่พัฒนาจากคนไทย เอง ปกติแล้ว สีนวลเห็นว่า คนไทยส่งเสริมกัน แต่ในความคิด แต่ในทางปฏิบัติแล้ว ก็ยังกล้าๆ กลัวๆ ที่จะใช้ของคนไทยอยู่
Nontawattalk : ขอบคุณครับ ที่เป็นส่วนหนึ่งในการให้กำลังใจเรา ผมและทีมงานทำ SRAN มีความฝันเดียวกัน เราทำงานกันเป็นทีม Work เป็นการสร้างสีสันหนึ่งให้เกิดขึ้นวงการ IT เมืองไทย ให้สมกับเราได้เกิดมาทำงานด้านนี้ และปวรณาตนด้วยความเพียร เพื่อต้องการให้ เกิดเทคโนโลยีที่สามารถทราบถึงภัยคุกคามจากเครื่อข่ายคอมพิวเตอร์ ที่แก้ไขได้อย่างทันเหตุการณ์ ผมเชื่อว่าไม่มีระบบเทคโนโลยีใดในโลก ที่ดีที่สุด แต่ จะป้องกันมากน้อยแค่ไหน ก็คงต้องพึ่งคน และกระบวนการทำงาน ในส่วนการที่ทำให้เชื่อมั่น SRAN ได้ เกิดจากระยะเวลา ที่เราพิสูจน์ตนเองมากว่า 3 ปี เราได้รับการตอบรับที่ดี ทั้งภาครัฐ และเอกชน กล้าใช้เทคโนโลยีเรา ดูรายละเอียดได้ที่ http://www.gbtech.co.th/customers.html
รวมถึงบทความการให้ความรู้ การจัดงานสัมนาเป็นระยะในปีที่ผ่านมา บอกได้ว่าเราคือคนทำงาน ที่ไม่ต้องการความดังนัก และไม่ค่อยได้เปิดตัวนัก จะรู้จักเราในนาม SRAN ไม่ใช่บุคคล และรู้กันในวงการว่าอยากปลอดภัยสมบูรณ์แบบด้าน IT Security ต้องเรียกหาเรา
บทพิสูจน์ต่อไป เราจะไม่หยุดนิ่ง เราจะก้าวสู่สากล อย่างน้อย ก็เป็น สีสันหนึ่งใน IT Security ระดับโลกในเร็ววันนี้ ให้ได้ จะพยายามทำให้ดีที่สุด ครับ
Miss.Seenev : มีความมุ่งมั่นทีเดียวนะค่ะ อย่างไงขอบคุณมากค๊ะ ที่กรุณาตอบคำถาม ทุกคำถาม และคิดว่าการสนทนาครั้งนี้ เป็นประโยชน์สำหรับ คนอื่น ในการสร้างฝันในการทำงานให้เป็นจริง ดังเช่น SRAN (สราญ) ในทุกวันนี้ที่เราใช้กัน สวัสดีค่ะ
Nontawattalk : ขอบคุณครับ สวัสดีครับ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Miss.Seenev Interview with SRAN Dev ตอนที่ 1

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง มกราคม 7, 2007
หมวด In interview

Miss.Seenev : สวัสดีค่ะ วันนี้มีโอกาสได้สัมภาษณ์ตัวแทนกลุ่ม SRAN อยากทราบว่าทำไมต้อง SRAN และมีคำว่า Dev ด้วยค่ะ

Nontawattalk : สวัสดีครับ ก่อนอื่นขอเกริ่นนิดหน่อยนะครับ คำว่า “SRAN” ออกเสียงว่า สะ-ราญ เป็นการบังคับให้ออกเสียงเช่นนี้ เพราะว่าคนแต่ง ต้องการให้คล้องจองกับคำว่า สราญอารมณ์ หรือที่มีความหมายว่า สุขสนุก นั้นเองครับ SRAN เองเป็นคำย่อ คำเต็มชื่อว่า “Security Revolution Analysis Network” มีสัญญลักษณ์ เป็นแมวไทย ชื่อพันธ์วิเชียรมาศ ส่วนคำนิยามจากชื่อ ผู้แต่ง ต้องการให้เป็นการปฏิรูปใหม่ในวิเคราะห์เครือข่ายคอมพิวเตอร์ ในด้านการรักษาความปลอดภัยข้อมูลสารสนเทศ ส่วนคำว่า Dev เป็นคำย่อ คำเต็มว่า Development ความหมายคือการพัฒนานั่นเอง SRAN Dev คือ กลุ่มคนที่พัฒนาระบบที่เรียกว่า การปฏิรูปใหม่ในการวิเคราะห์เครือข่ายคอมพิวเตอร์ ในด้านการรักษาความปลอดภัยข้อมูลสารสนเทศ ครับ
Miss.Seenev : ทำไมต้องเป็นแมวค่ะ
Nontawattalk : เพราะแมว น่ารักดีครับ เป็นสัตว์ที่ผมเองก็ไม่เคยเลี้ยงนะครับ ไม่ทราบว่าทีมผมมีใครเลี้ยงบ้างก็ไม่ได้ถามเช่นกัน เหตุผลหลักๆที่เลือกแมว และต้องเป็นแมววิเชียรมาศ เป็นแมวไทยแท้ มีเอกลักษณ์ ที่มีแถบดำอยู่ 9 จุดในตัว และไม่ว่าสายพันธ์จะเป็นอย่างไร 9 จุดก็ยังคงเดิมในต่ำแหน่งเดิม มันน่าแปลกมากกครับ ส่วนเหตุผลอีกข้อที่ไม่เคยบอกที่ ใดมากก่อน สัญลักษณ์ ของ SRAN มาจาก สุนัขที่บ้านผมเอง ตัวเหมือนแมวมาก ซื่อสัตย์มากครับ
ส่วนแมววิเชียรมาศเองต่างประเทศรู้จักแมวชนิดนี้ในชื่อ Siamese นะครับ และก็ เป็นสัตว์ที่ต่างประเทศนิยมนำไปเลี้ยงมาก ทั้งที่ต้นตำรับมาจากเมืองไทยนี้เองครับ สรุปสั้นๆ ว่า เพราะมีเอกลักษณ์ประจำตัว และต่างประเทศรู้จักในทางที่ดี จึงเป็นเหตุผลในการเลือก แมว วิเชียรมาศ เป็นสัญลักษณ์ ต้องการอ่านเพิ่มเติมอ่านได้ที่ http://www.sran.org/index_html/logosran

Miss.Seenev : ช่วงต้น ขอถามคำถามแบบคนชังสงสัยหน่อยนะค๊ะ SRAN มีมานานหรือยังค่ะ และทำไมถึงคิดทำระบบนี้ขึ้นล่ะค๊ะ

Nontawattalk : ก่อนหน้ามี SRAN เราเคยทำกลุ่ม Siamhelp มาก่อนหากเปิด Internet ได้อ่านที่มาที่ไป blog ที่ชื่อว่า 8 ปี siamhelp จากวันนั้นถึงวันนี้ URL ว่า http://nontawattalk.blogspot.com/2006/12/8-siamhelp.html
จดทันไหมครับ : ) เป็น blog ผมเองฮะ ที่นำมาเสนอเพราะว่าตัวผมอยู่ตั้งแต่เริ่มต้น จนปัจจุบัน ครับ อันที่จริง เราทำงานกันเป็นทีมนะครับ
ส่วน SRAN มีมา 3 ปี ย่างปีที่ 4 เราเริ่มคิดค้น ระบบ SRAN ได้เมื่อปลายปี 2546 อยากดูภาพเก่าๆ ของเราดูได้ที่ http://blog.gbtech.co.th/gallery/main.php คลิกไปที่ ภาพอดีตก่อนมาเป็น SRAN
ที่คิดระบบนี้ขึ้น เนื่องจาก ช่วงที่เปิดบริษัท Global Technology Integrated ใหม่ๆ เราได้รับทำงานเกี่ยวกับการประเมินความเสี่ยงระบบเครือข่าย (Vulnerability Assessment) และการทำทดสอบหาภัยคุกคามทางเครือข่ายคอมพิวเตอร์ (Penetration Test) รวมถึงการสืบค้นหาหลักฐานเพื่อหาผู้กระทำผิดทางอาชญากรรมคอมพิวเตอร์ (Computer/Network Forensic) รวมถึงการแก้ไขปัญหาฉุกเฉินที่ไม่สามารถควบคุมได้ทางระบบเครือข่ายคอมพิวเตอร์ (Incident Response) มาพอสมควร ทั้ง 4 กรณีตัวอย่างที่กล่าวไป เราทำได้ดี ปิดงานได้ทุกกรณี เมื่อเวลาผ่านไป เราคิดว่าสิ่งที่เราต้องใช้เทคโนโลยี ของต่างชาติหลายๆ ชนิดมาเพื่อทำงานเหล่านนี้ ต้องใช้อุปกรณ์มากมาย จึงเป็นที่มาในการรวมคุณสมบัติเด่นแต่เทคโนโลยี มาไว้ในอุปกรณ์เดียว ทั้งการทำ NSM (Network Security Monitoring) เพื่อใช้ในการทำ Incident Response และ Forensics , การประยุกต์ระบบ IT Auditor มาใช้ในการทำ Pen-Test และ VA (Vulnerability Assessment) มารวมเข้าในเทคโนโลยีเดียวกัน จนเกิดเป็น SRAN และต่อจากนั้นเรานำ SRAN บรรจุบน Appliance ที่มีการปรับแต่ง OS และ Hardening ด้วยกรรมวิธีมาตรฐาน จนออกมาเป็น SRAN Product ในรุ่นต่างๆ ใน Web http://www.gbtech.co.th นี้แหละครับ ช่วงเวลาที่คิดได้ครั้งแรก เราค่อยข้างไปไกลกว่าอุปกรณ์รักษาความปลอดภัยทั่วไป ในต่างประเทศครับ เพราะแนวคิดในการรวมศูนย์ด้านความปลอดภัยข้อมูล ที่ไม่ใช่ UTM (Unified Threat Management) นะครับ เป็นการเน้นในเรื่องรวมศูนย์แบบ NSM (Network Security Monitoring) มากกว่า ถือได้ว่าเราต้นตำหรับการทำ Network Security Collaboration เลยล่ะถ้าจะให้โม้สักหน่อยนะ ทุกวันนี้คำว่า Collaboration ก็เป็นที่นิยมไปแล้ว และตอนนั้นยังไม่มี ปัจจุบันมีเยอะเลยครับ นำมาขายในไทยก็เยอะมากเช่นกัน จุดประสงค์ของกลุ่ม SRAN ตั้งแต่อดีต จนถึงปัจจุบัน มีดังนี้ครับ
1. เผยแพร่ความรู้ด้าน IT Security ให้กับผู้สนใจ ผ่านทาง Web Site www.sran.org ตั้งเป็นชุมชน Online ครับ โดยที่ SRAN.org ก็มี website แบ่งเป็นหมวดดังนี้
1.1 www.sran.org ส่วนใหญ่เป็นการนำเสนอ บทวิเคราะห์ ในเชิงบทความวิชาการ รวมถึง ผลการทดลอง(LAB) ที่เกิดจากทีม SRAN Dev
1.2 infosec.sran.org เป็น web ข่าวสารด้าน IT Security บอกได้ว่าเป็น Web ที่ update ข่าวสารด้านนี้เร็วที่สุดในประเทศไทย และมีอย่างต่อเนื่อง โดยมีการเสนอข่าวสารด้านระบบรักษาความปลอดภัย ช่องโหว่ต่างๆ ที่เกิดขึ้นในโลก IT รวมถึงบทความต่างๆ ที่น่าสนใจ เหมาะสำหรับคนทำงาน IT Security ในประเทศ เพราะเนื้อหา web เป็นภาษาไทยครับ
1.3 VirusDB.sran.org นิยาม web นี้คือ Malware collection เป็นการรวบรวมข่าวสารไวรัสคอมพิวเตอร์ , SCAM Web หรือ Web ที่มีเนื้อหาหลอกลวง การแนะนำให้ระวังภัยคุกคามที่อาจจะเกิดจากการใช้งาน internet ต่างกับ infosec ตรงที่ว่า web นี้เน้นข่าวสารที่เป็น malware มีสถิติ malware ทั่วโลก รวมถึง มี files สำหรับนักทดลอง ที่เป็นการจำลอง malware files เพื่อใช้ในงานวิจัย โดยทีมงานรวบรวมมาจากทั่วโลก ครับ
1.4. Hackdiary.sran.org
ประกอบไปด้วย
1.4.1 รวบรวมข้อมูลการ Web site ในประเทศไทยที่มีการโจมตีขึ้น โดยจัดในรูปสถิติ
1.4.2 รวบรวม Video การสาธิตเทคนิคการบุกรุกที่เป็นภัยคุกคามทางอินเตอร์เน็ท เพื่อให้ผู้ดูแลระบบได้เกิดความตะหนักในการป้องกันภัยคุกคามดังกล่าว
1.4.3 แหล่งค้นหาข้อมูลการโจมตีที่เกิดขึ้นในประเทศไทย
1.4.4 จัดทำ Reality Hacking ในรูปแบบ Video (ข้อ1.4.2) และจัดแข่งขันเพื่อสร้างเป็นมหกรรม IT Security Congress ขึ้นในประเทศไทย
1.5 SRAN Freemail แจก e-mail ที่มีความปลอดภัย และมีความจุ 2 G ต่อ account บน domain @sran.org

2. เผยแพร่เทคโนโลยี ระบบรักษาความปลอดภัยข้อมูลสารสนเทศ ที่จัดทำโดยคนไทย เพื่อออกตลาดโลก ให้ได้ครับ โดยที่เรานำเสนอมีดังนี้
SRAN Technology (www.sran.net) ศูนย์รวมเทคโนโลยี SRAN เป็นการนำเสนอเทคโนโลยีใหม่ๆ ที่กลุ่ม SRAN ได้พัฒนาขึ้น ประกอบด้วย
2.1 SRAN Anti virus : โปรแกรมป้องกันไวรัสคอมพิวเตอร์ เพื่อคนไทย
2.2 SRAN Web identity : เป็นการสร้างเทคโนโลยี การระบุผู้เยี่ยมชม web และพฤติกรรมในการเยี่ยมชม web โดยมีจุดเด่นในการตรวจจับภัยคุกคามที่อาจจะเกิดขึ้นใน website ได้ เรียกว่า เป็น Intrusion Detection Web System ที่เป็นการเก็บสถิติผู้เยี่ยมชม web แบบ Real Time โดยใช้ Ajex เทคโนโลยี
2.3 SRAN RSS : โปรแกรมบราวเซอร์ข่าวเกี่ยวกับ IT security
2.4 ข่าวสารบริษัท Global Technology Integrated และ กลุ่ม SRAN Dev (http://blog.gbtech.co.th)
ใน web นี้ประกอบด้วย
– ข่าวสารการพัฒนากลุ่ม SRAN
– ข่าวสารบริษัท รวมถึงการวางแผนในแต่ละไตรมาส ของปี
– ภาพอดีต จน ถึงปัจจุบัน ของกลุ่ม SRAN

ส่วนหนึ่งที่ยังไม่เคยไปไว้ที่ใด ก็มี
SRAN Podcast (http://podcast.sran.org) เป็นแนวคิดของเฮียตู่แห่ง Global Technology Integrated นี้แหละครับ เป็นการนำเทคโนโลยี Podcast มาประยุกต์ใช้ บริจาค Server จากคนอ้น หนึ่งสมาชิกพัฒนา SRAN และทีม Services บริษัท Global Technology Integrated ตั้งแต่อดีตจนถึงปัจจุบันเช่นกัน

เป็นเสียงเพื่อคนพิการทางสายตา เพื่อสร้างภูมิปัญญา ดั่งคำกล่าวที่ว่า “แสงสว่าง ในความมืด จากเสียงแห่งปัญญา (Wisdom Sightless)”
หลักการ : จากที่อ่านเพียงคนเดียว ก็แบ่งให้กับผู้ที่ไม่ได้อ่าน และผู้ที่อ่านไม่ได้ แบ่งปันภูมิปัญญาจากหนังสือที่ท่านรัก เพื่อถ่ายทอดเสียงให้กับผู้ได้รับฟัง SRAN Podcast เพื่อคนตาบอด ยังทำไม่เสร็จ และคิดว่าไม่รู้จะทำได้ต่อแค่ไหน อาจเหลือเพียงแนวความคิด หากท่านใดสนใจพัฒนาต่อ ก็โปรดแจ้งเจตจำนงค์มาหน่อยนะครับ ต้องบอกว่างานนี้ ฟรีครับ ไม่หวังผลตอบแทนทางการค้า

และทั้งหมดที่กล่าวมานี้ เป็นหลักการและจุดยืนที่เราได้นำเสนอ เป็นสิ่งที่ได้เราทำไปแล้ว

และในปี 2550 เรามีแผนที่จะทำ ในการพัฒนาเทคโนโลยีด้านความปลอดภัยข้อมูลให้มากขึ้น ไม่ว่าเป็น
– การทำ LiveCD Penetration Test toolkits ใช้ชื่อว่า SRAN Tools Muay Thai ถือว่าเป็น Pen-test tools ที่เป็น LiveCD แห่งแรกของประเทศไทย
– การพัฒนาต่อของ SRAN Anti virus (Return)
– การพัฒนาต่อ SRAN Web identity เพื่อสร้างเป็น Web 2.0 ที่ทันสมัยขึ้น
– การสร้างฝันเป็นความจริง ของ The Reality Hacking Project ที่เป็นมหกรรมการแข่งขัน ศึกประลองความไวในการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ซึ่งผมเองก็ไม่ได้นำเสนอ ออกมาเสียที นะครับ ทั้งที่ files การออกแบบทั้งหมดนี้อยู่ในเครื่องผมเรียบร้อยหมดแล้ว
และยังมีอีกหลายเรื่องเลยครับ ที่อยู่ในหัว แอบบอกไปบ้างแล้วใน http://nontawattalk.blogspot.com/2007/01/sran-technology.html
จะเห็นว่าเราทำเยอะมากเลยนะครับ เนี้ย …

.. อ้าว คุณสีนวล หลับไปแล้วเหรอครับ งั้นพักกันสักครู่ ดีไหมครับ

Miss.Seenev : … ขอโทษค่ะ ถามนิดเดียว ตอบยาวววเลย งั้นไว้ต่อช่วงหน้า พักดื่มน้ำ ปัสสาวะ ก่อนละกันค่ะ ไว้ช่วงหน้าอย่าพลาด สีนวลจะถามเจาะลึก ในคำถามที่คุณอยากรู้ จาก SRAN เจอกันค่ะ
Nontawattalk : : )

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ทำนาย 7 เทคโนโลยี ด้านดีและภัยคุกคามในปี 2007 ตอนที่ 3

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง ธันวาคม 30, 2006
หมวด In information

6. มาตรการป้องกัน CyberCrime / Terrorist
ในปี 2007 และต่อๆไป ภัยคุกคามในโลก IT จากมากขึ้น โดยผมขอจัดอันดับภัยคุกคามว่าสิ่งใดที่สร้างความเสียหายและรบกวนเรามากไปน้อย
– ภัยจาก Spam ในปี 2007 จะมากที่สุด ประกอบด้วยพื้นฐานที่ Spam ที่มาจาก E-mail พัฒนาเป็น Spam ที่ Post ตาม Web board และพัฒนาต่อเป็น Spam บน SMS , Spam IM จนเข้าถึงระบบ VoIP Spam ที่เป็นเสียงก็ได้นะครับ
– Phishing และ Scam จะมากขึ้น Phishing จากเดิมหลอกเฉพาะ website ที่เกี่ยวกับการเงิน ในปัจจุบันมีการหลอกลวงทุกวิธีการ ไม่ว่าเป็นการหลอกให้ download โปรแกรม Decode หนัง โปรแกรมเสริมความเร็วอินเตอร์เน็ท โปรแกรม Anti Spyware ที่เป็น Spyware เสียเอง ดังนี้เราเรียกว่า Web Scam ที่หลอกลวงให้ติด Malware เพื่อกลายเป็น Zombie เพื่อใช้ประโยชน์ต่อไป
และอีกหลายอย่างที่คาดไม่ถึง ในปี 2007 อาจพบ การหลอกผ่านเทคโนโลยี VoIP เป็น Phishing ที่มากับ VoIP ที่ ISC SANS ให้ศัพท์ใหม่ที่ว่า Voice-Over-IP Phishing (Vishing) เกิดขึ้นได้เช่นกัน
– Botnet และเมื่อมีเหยื่อที่เป็น Zombie มากขึ้น จากหนึ่งเครื่อง เป็นสองเครื่อง เป็นยี่สิบเครื่อง เป็นร้อยเครื่อง พันเครื่อง ก็เกิดกองทัพ Botnet ขึ้น และ botnet นี้เอง จะทำให้เกิดสงคราม DDoS และการส่ง Spam และ Phishing/Scam ใน e-mail/ SMS/ WebWorm จำนวนมหาศาลทั่วทุกมุมโลก เป็นการป่วนอินเตอร์เน็ทได้ และผมก็เชื่อว่า Botnet จะเป็นภัยคุกคามในปี 2007 เช่นกัน จากการสำรวจจาก website SRAN Malware Collection พบว่า Bonet ได้เพิ่มจำนวนขึ้นมาก
– Network Worm ซึ่งประกอบไปด้วย E-mail Worm , IM Worm , Internet Worm , IRC worm และ P2P Files Sharing Worm
– 0 day Exploit จะมีจำนวนมากขึ้น เนื่องจากมี Application ใหม่เกิดขึ้นอยู่ตลอด bug เพียงเล็กน้อย อาจส่งผลถึงการเข้าถึงระบบ ช่วงเวลา 0 day เป็นช่วงที่ผู้ไม่หวังดี เข้าถึงระบบได้ง่ายขึ้น และจะหลายเครือข่ายคอมพิวเตอร์ ที่ยังขาด patch หรือตาม patch ไม่ทัน ก็จะกลายเป็นเหยื่อ และตามไปด้วยเป็นกองกำลังให้กับ Botnet ได้เช่นกัน 0 day exploit มีวิวัฒนาการได้ ซึ่งในช่วงเวลาที่เกิด 0 day นั้นไม่นาน exploit นี้อาจจะกลายเป็น Worm ได้เช่นกัน
– Social Networking ข้อมูลที่เกี่ยวของการ Hack มีมากขึ้นทั้งในรูปตำรา Video และการเข้าถึงข่าวสารช่องโหว่ ที่ทันเหตุการณ์ หาได้บนโลกอินเตอร์เน็ท
และอื่นๆ อีกมากมายที่เป็นภัยคุกคามทางเครือข่ายคอมพิวเตอร์ จะเห็นว่าภัยคุกคามเหล่านี้จะมีความสัมพันธ์และเชื่อมโยงกัน แทบทั้งสิ้น ที่ผมต้องกล่าวภัยคุกคามก่อน ทั้งทีเป็นหัวข้อ เรื่อง มาตรการป้องกัน CyberCrime / Terrorist ก็เพราะภัยคุกคามที่เครือข่ายคอมพิวเตอร์มีจำนวนมาก จึงเป็นเรื่องง่ายสำหรับผู้ก่อการร้ายที่จะทำลาย หรือสร้างให้เกิดความเสียหาย หากจะโจมตีผ่านทางกายภาพ ก็คงไม่ทันประเทศมหาอำนาจได้ ดังนั้นจึงต้องหันมาก่อการร้ายบนโลกอินเตอร์เน็ทมากขึ้น ไม่ว่าเป็นการโจมตี website สถาบันการเงิน การปกครอง และการเข้าถึงข้อมูลต่างๆ ที่เกี่ยวข้องความมั่นคงของชาติ คงไม่แปลกใจว่า กลุ่มก่อการร้าย จะต้องไปมีการฝึกฝนให้เป็น Hacker อีกหน้าที่หนึ่ง จึงต้องเป็นหน้าที่ผู้เกี่ยวข้องในการเฝ้าระวังภัยคุกคามของกลุ่มก่อการร้าย และไม่ใช่แค่ประเทศใดประเทศหนึ่ง แต่ควรเป็นการร่วมมือกันในการเฝ้าระวังภัยคุกคามการก่อการร้ายบนโลกอินเตอร์เน็ทกันทั่วโลก ควรเป็นวาระหนึ่งที่ต้องให้ความสำคัญมากขึ้นในปี 2007
สำหรับงาน IT Security เป็นโอกาสดีสำหรับเทคโนโลยี ระบบตรวจจับผู้บุกรุก ไม่ว่าเป็น NIDS /HIPS / HIDS จะมีบทบาทมากขึ้น การสร้างศูนย์เตือนภัยทางเครือข่ายคอมพิวเตอร์ ที่เรียกว่า SOC (Security Operation Center) และให้บริการ MSSP (Management Security Services) ที่เป็นมืออาชีพ และรับประกันภัยคุกคามที่เกิดขึ้นบนเครือข่ายคอมพิวเตอร์ได้ 24 ชั่วโมง ในปี 2007 บริการ IT Security ที่เป็น Out Sourcing จะมีมากขึ้น ลองคิดเล่นๆ ดูครับ หน่วยงานราชการ , หรือรัฐวิสาหกิจ หรือรวมบริษัทเอกชน หากจ้างพนักงานที่ต้องมาดู Bug ที่เกิดขึ้นทุกวัน 0 day ที่เกิดขึ้นทุกวัน Virus/Worm , Phishing , Scam และ Spam อนาคตก็จะมีศัพท์ใหม่เกี่ยวกับภัยคุกคามมาใหม่ทุกปี รวมถึงการต้องค่อยปรับแต่ง อุปกรณ์ Network ให้ทันสมัย มีแผนฉุกเฉินในการ Backup ข้อมูล การเขียนนโยบายรักษาความปลอดภัยในองค์กร และ การสร้าง Security Awareness ให้กับเพื่อนพนักงาน อื่นๆ อีกมากมาย คงต้องจ้างพนักงานจำนวนไม่น้อย ที่ต้องดูเรื่องเหล่านี้ได้หมดทุกเรื่อง จึงเกิดบริการ MSSP ขึ้น Out Sourcing บางส่วนให้ผู้เชี่ยวชาญทำงาน
แนวโน้ม MSSP ที่ดูเหมือนจะเป็นบริการโดดเด่นได้ในปี 2007 ก็เพราะว่าในช่วงปลายปี มีบริษัทใหญ่ๆ ที่ให้บริการ MSSP ได้ ถูกควบกิจการ และร่วมให้บริการกันมากขึ้น ได้แก่ IBM ควบรวมกิจการ (Take Over) บริษัท ISS และ บริษัท Security works รวมกับ LurHQ เพื่อให้บริการ MSSP เป็นต้น

7. การควบคุมลิขสิทธิทางปัญญา
ในปี 2007 จะมีการควบคุมลิขสิทธิมากขึ้น ไม่ว่าเป็นลิขสิทธิ หนัง เพลง ซอฟแวร์ ต่างๆ และมีหน่วยงานชื่อ ฺBSA (Business Software Alliance) มาตั้งในประเทศไทย จะเห็นว่า ในเดือนตุลาคม ปี 49 ได้มีการประกาศเรื่องตรวจจับซอฟต์แวร์ที่มีการละเมิดลิขสิทธิในประเทศไทย แสดงว่ามี แนวโน้มที่เอาจริงเอาจังมากขึ้น
แบ่งซอฟต์แวร์ ที่อาจมีการละเมิดมาก ได้แก่ OS (Operating System) โดยเฉพาะจากค่าย Microsoft , ซอฟต์แวร์ Anti Virus/Spyware และ Application ในการใช้งานทั่วไป ไม่ว่าเป็น Application งาน Office เป็นต้น
มีจุดหนึ่งที่ไม่กล่าวถึงเลย นั้นคือ โปรแกรม Anti virus หากเป็นสมัยใหม่ ก็มักจะรวมความสามารถในการตรวจ Spyware ได้ในตัว ทุกค่าย และก็ถือว่าเป็นโปรแกรมยอดฮิตตลอดกาล ยังยอดขายที่ดี และจำเป็นต้องใช้ แต่ผมมองว่าในอนาคต จะตลาดซอฟต์แวร์ Anti virus จะน้อยลงโดยเฉพาะในต่างประเทศ แต่ตรงข้ามกับประเทศไทย ในประเทศไทยขายได้ และขายดีมาก อีกไม่ต่ำกว่า 3 ปี ที่กล่าวเช่นนี้เพราะว่าซอฟต์แวร์ Anti virus/spyware จะมากับ OS หรือ จะมาพร้อมกับ มือถือ (Moblie) แล้ว เช่น Microsoft Vista ก็มีระบบรักษาความปลอดภัยมาพร้อมกับ OS ทั้งการกรอง Web ไม่เหมาะสม ทั้งที่เป็น Personal Firewall และ Anti virus/spyware/Spam ในโปรแกรมเดียวกัน หรือที่เรียกว่า All in one Internet Security นั้นเอง แต่ในประเทศไทยแล้ว Microsoft Vista จะมาใช้ในไทยได้คงต้องใช้เวลาไม่ต่ำกว่า 1 ปี นับแต่ปีนี้เป็นต้นไป ดังนั้นในประเทศไทยจึงมีความจำเป็นต้องใช้ซอฟต์แวร์ Anti virus ทั้งที่เป็นแบบ Personal ตามบ้าน และ Corporate ในองค์กร เป็นการมองเฉพาะที่เป็น Host นะครับ อย่ามองเกี่ยวข้องกับเรื่อง Network เพราะใน Network ก็จำเป็นต้องมีอุปกรณ์ที่ป้องกันภัย Virus/worm/spam/spyware อีกชั้นหนึ่ง และ ไม่ต้องแปลกใจว่าทำไม มีบริษัทจัดทำซอฟต์แวร์ Anti virus/spyware เพิ่มตัวขึ้นมากมาย ที่ทำก็เพราะรอการ Take over จากบริษัทใหญ่ เพื่อรวมซอฟต์แวร์ระบบป้องกันไปสู่ OS ในค่ายใหญ่ ผมก็คิดว่าคงเหลือค่ายเดียวเช่นเคย แต่จะไปแข่งขันกันดุเดือนในการรวมซอฟต์แวร์ Antivirus/Spyware รวมถึง Spam บนมือถือ เพื่อรอบริษัทใหญ่ที่เจ้าของแบนด์มือถือชั้นนำ (ยังมีหลายค่ายมากกว่า การแข่งขันตลาด OS) เพื่อรอการ Take over ในปีหน้าและต่อๆไป มือถือกลายเป็นปัจจัยสำคัญในชีวิตประจำวัน มีระบบที่เชื่อมต่ออินเตอร์เน็ทได้ตลอดเวลา และใช้งานได้อย่าง PC ทั่วไป ปัญหาตามมาก็หนีไม่พ้นปัญหาเดิมๆ คือไวรัสคอมพิวเตอร์ (virus/worm) อีเมลขยะ (spam) และที่จะเป็นภัยคุกคามอีกอย่างก็คือเรื่องข้อมูลส่วนตัว โดยเฉพาะข้อมูลส่วนตัวบนมือถือ spyware และ adware จะมุ่งเป้าความเสียหายไปที่ข้อมูลส่วนตัว บนมือถือ นี้แหละครับเป็นเรื่องต้องกล่าวให้ทราบ ว่าจะมีการเติบโตสูงในธุรกิจซอฟต์แวร์ Anti virus/spam/spyware ส่งผลให้เกิดการควบคุมลิขสิทธิทางปัญญามากขึ้นเช่นกัน

และอีกประการหนึ่งในเรื่องการควบคุมลิขสิทธิทางปัญญา เนื่องจาก ระบบควบคุม License ของ OS Windows ก็มีการควบคุมการปลอมแปลงยากในการ crack ค่า Serial number มากขึ้น ผมคิดว่าในปี 2007 และต่อไป Open Source จะมีบทบาทมากขึ้น OS Linux ที่ทำได้ดีและ Free License อย่าง Ubuntu Linux ก็ทำได้ดีขึ้นเรื่อยๆ จนสามารถทดแทนการใช้งานผลิตภัณฑ์จาก Microsoft และ OS อื่นๆที่มี License ได้ รวมถึง Application ที่เป็น Open Source ก็ทำได้เกือบเท่าเทียมกับ Application ที่มี License แบบขาย
… แล้ว Open Source สำหรับผู้ประกอบการ เขาจะขายอะไร คำตอบก็คือ ขายงานบริการ (Services) และงาน Support การติดตั้ง การดูแลรักษา ซึ่งก็ถือว่าเป็นแนวโน้ม ให้ Open Source เกิดเป็นธุรกิจได้ และ Open Source จะเกิดการทำ Collaboration (การรวม Open Source Software มาไว้ด้วยกันกลายเป็นหนึ่งเดียว) มากขึ้น ยกตัวอย่าง E-mail Open Source ที่ขาย Support ได้แก่ Zimbra Mail ทำได้เหมือน MS Outlook Server เหมือนกันเผลอๆ อาจทำได้ดีกว่า หรือ snort เปิดเป็น Open Source ได้รับความนิยมถือว่าสูงสุดในหมวด IT Security ก็ทำธุรกิจเชิง Services และ Support มากกว่าขาย Software ทาง snort เองขาย Signature ที่ทันเหตุการณ์ เรียกว่า Snort VRT และมีบริษัทที่ตั้งขึ้นเพื่อขายอุปกรณ์ด้านระบบรักษาความปลอดภัยข้อมูล ด้วย ก็เป็นแนวทางหนึ่งในการประกอบธุรกิจด้าน IT Security ที่ทำให้คนติดก่อน แล้วค่อยขาย แต่ถึงอย่างไร ก็ประหยัดค่าในการลงทุนไปมากกว่า Software ที่มี License เพื่อการค้าแต่ต้นอยู่ดีครับ ดังนั้นทิศทาง สำหรับทางเลือกหนึ่งของการเลือกใช้งาน ในยุคเศรษฐกิจพอเพียงคือการหันมาประยุกต์ใช้ Open Source มากขึ้น จึงอยากให้รัฐบาลและหน่วยงานที่เกี่ยวข้องกระตุ้นการสร้างงานจาก Open Source ในเมืองไทยให้มากขึ้น เพราะผมถือว่าเป็นการสร้างองค์ความรู้ให้เกิดขึ้นกับนักพัฒนาระบบ ไม่ต้องเดินตามต่างประเทศมาก เพราะเราจะไม่มีทางเดินทันได้เลย หากเราไม่เริ่มที่คิดจะเป็นผู้ประดิษฐ์เอง และถือว่าเป็นอีกทางในการช่วยลดค่าใช้จ่ายในประเทศได้

อีกประการหนึ่ง เรามีการเจริญเติบโตในโลกอินเตอร์เน็ทเกิดขึ้นเร็วมาก เรามีอินเตอร์เน็ทความเร็วสูงใช้อย่างแพร่หลาย เมื่ออินเตอร์เน็ทมีความเร็วสูง ย่อมมีการ การแชร์ files เพลง หนัง และ ซอฟแวร์ ก็มากขึ้น สังเกตจากโปรแกรม P2P ที่มีหลากหลายโปรแกรม และ ที่สำรวจมาพบว่า เกือบเครือข่ายที่ออกอินเตอร์เน็ทได้ มีเครื่อง client ที่มีโปรแกรม P2P และ เครื่อง Server P2P มักติดตั้งตาม ISP ต่างๆ แสดงว่ามีการเล่น P2P จำนวนมากในประเทศไทย และส่วนใหญ่แล้ว files ที่แชร์บน P2P มักมีการละเมิดลิขสิทธิทางปัญญา ไม่ใช่แค่เมืองไทย แต่เป็นกันทั่วโลก โดยเฉพาะย่านเอเชีย จีน ไตหวัน มาเลเซีย และไทย เทคโนโลยีที่มาช่วยในการป้องกันการละเมิดลิขสิทธิ ก็เป็นเรื่องที่น่าจับตามอง ในปีที่แล้วผมก็เคยเขียนไว้ในหัวข้อนี้ และเทคโนโลยีที่ใช้คือ ระบบ DRM (Digital Rights Management) และในปีนี้ก็เช่นกัน เทคโนโลยี DRM ก็มีบทบาทต่อไป ที่กล่าวเช่นนี้เนื่องจาก ผู้ผลิต Skype ได้ออก Joost ที่เป็นระบบ P2P Video ดูทีวีผ่านระบบ Internet และรองรับเทคโนโลยีพวก HDTV ซึ่งก่อนหน้านี้มี Democracy ซึ่งเรียกได้ว่าเป็น Internet TV มาแล้ว ผมคิดว่าปี 2007 เป็นปีทองของ HDTV นะ สิ่งที่ตามมาก็คือเรื่องลิขสิทธิหนัง และเพลง ซึ่งป้องกันได้ด้วยเทคโนโลยี DRM นั้นเอง

และเชื่อผมไหม ว่าปี 2007 Apple จะครองตลาด IT โดยเฉพาะเทคโนโลยี Personal Computer (คอมพิวเตอร์ส่วนตัว) ไม่ใช่ Microsoft Vista เนื่องจาก Apple เมื่อได้ออก iPhone ขึ้น ก็จะถือว่าเป็นการปฏิวัติใหม่อีกก้าวของ มือถือที่เป็นคอมพิวเตอร์ได้ในตัวเอง ล้ำสมัย และราคาใกล้เคียงกับ Notebook อีกไม่นานหาก iPhone มีความจุฮาร์ดดิสที่มากขึ้น ก็อาจเป็นไปได้ว่ารูปแบบเทคโนโลยีแบบ iPhone จะมาแทนที่ Notebook ในไม่ช้า ส่วน Microsoft Vista เป็นการก้าวที่พลาด เนื่องจากต้องใช้ทรัพยากรเครื่องสูงมาก ต้องรอฮาร์ดแวร์ที่ทันสมัย จึงทำให้เปิดตัวอย่างเป็นทางการช้า กว่าจะได้ใช้ ผมคิดว่า iPhone คงครองตลาดไปเสียก่อนทั้งที iPhone ไม่ใช่ระบบปฏิบัติการ แต่ iPhone เข้าถึงส่วนบุคคลได้มากกว่า และประโยชน์ใช้สอยมากกว่า จึงทำให้อนาคต Microsoft Vista อาจเป็นระบบปฏิบัติการสำหรับคนแก่ ใช้ก็เป็นไปได้ และเมื่อเทคโนโลยีแบบ iPhone ได้รับความนิยม ก็ต้องกลับไปใส่ใจตาม 7 ข้อที่กล่าวมาในด้านการรักษาความปลอดภัยข้อมูลต่อไป

7 ข้อผ่านไปแล้ว จะเป็นไปตามที่ทำนายหรือไม่ ก็ต้องรอดูกันไปครับ เป็นห่วงเพียงคนทำงานด้าน IT Security นี้แหละครับเห็นภัยคุกคามมีมากขึ้นทุกวัน และเพิ่มความซับซ้อนทั้งในด้านเทคนิคการบุกรุกระบบ และเทคโนโลยีใหม่ที่ต้องวิ่งตามให้ทันอยู่ตลอด เกรงว่าจะประกาศยกธงขาวเสียก่อน ดังเช่น Bruce Schneier ผู้เขียนหนังสือ “Secrets and Lies” ได้กล่าวไว้ว่าเขาตามไม่ทันภัยคุกคามสมัยแล้ว มันเยอะเหลือเกินครับ คนที่ทำงานด้าน IT Security ต้องสวมวิญญาณอาชีพนักข่าวเข้าไปด้วย และสำคัญที่สุด คือเรื่องคุณธรรม เพราะ หากเรามีความรู้สูง รู้มากกว่าคนอื่น เรามีทางที่จะ ป้องกัน หรือ ทำลาย ได้ ดังนั้นคุณธรรมจึงเป็นสิ่งสำคัญ ที่เราต้องยึดถือไว้หากมีความรู้ จงแบ่งปันเพื่อคนอื่น สอนเขาให้มีจริยธรรมตั้งแต่ต้น และสร้างผลงานเพื่อป้องกันภัยข้อมูลทั้งตัวเราและคนอื่น ตลอดถึงเครือข่ายที่เราร่วมอาศัยอยู่ สุดท้ายขอเป็นกำลังใจให้กับคนทำงานด้านนี้ เราหัวอกเดียวกัน อย่าพึ่งยอมแพ้กับภัยคุกคามที่เกิดขึ้นในอนาคต ขณะที่เขียนผมได้ฟังเพลงไปด้วย และมาหยุดที่บรรทัดนี้ ก็ได้ยินเสียงคุณกมลา สุโกศล เพลง Live and Learn พอดี ฟังดูแล้ว ให้กำลังใจดีครับ หากปรับให้เข้ากับงานด้าน IT Security สำหรับผู้อ่อนล้าแล้ว ก็ทำให้สู้ต่อได้ครับ เพื่อสร้างกำลังใจในการทำงานด้านนี้ต่อไป ขอเป็นกำลังใจ ด้วยคน

ตลอดทั้งปี 2007 ไม่ว่าเป็นเช่นไร ก็ขอให้ทุกคนประสบความสำเร็จในสิ่งที่คิด มีชีวิตที่เป็นสุข ,มีจิตใจที่สงบ และ สราญอารมณ์ กันทุกคนที่อ่านบทความผม ครับ
โชคดีปีใหม่

นนทวรรธนะ สาระมาน
Nontawattana Saraman
30/12/49

ทำนาย 7 เทคโนโลยี ด้านดีและภัยคุกคามในปี 2007 ตอนที่ 2

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง ธันวาคม 29, 2006
หมวด In information

4. การควบคุม Data Access Network
Data Access Network (DAN) ถือว่าเป็นศัพท์ที่ค่อนข้างใหม่ เราคงคุ้นเคยคำว่า LAN , WAN , WLAN และ MAN มาบ้าง ในปี 2007 และต่อๆ ไป จะมีศัพท์เพิ่มมาอีก คือ PAN (Personal Aera Network)
PAN จะเป็นเรื่องเกี่ยวกับอุปกรณ์พกพา ไม่ว่าเป็น มือถือ ที่ติดต่อพร้อมใช้อินเตอร์เน็ท ระบบ Bluetooth รวมไปถึง Endpoint ต่างๆ ได้แก่ Notebook พกพา , PDA มานำมาใช้งานในเครือข่ายคอมพิวเตอร์ ยุคก่อน ที่มีเพียงระบบ LAN , Wireless LAN ก็ย่อมต้องปรับตัวขึ้น เพราะภัยคุกคามด้าน Endpoint Security เป็นเรื่องที่ป้องกันลำบาก ไม่ว่าเป็นการ นำเครื่อง Notebook , PDA , Mobile Phone ที่ไม่ได้รับการควบคุม อาจจะสร้างภัยคุกคามให้เกิดขึ้นภายในองค์กรได้ ไม่ว่าเป็นการ แพร่กระจายไวรัสคอมพิวเตอร์ (Virus/Worm) , การขโมยความลับข้อมูลภายในบริษัท คัดลอกข้อมูล (Copy) ลง Hardisk บน USB Drive รวมถึงการใช้ Tools Hack เพื่อทำการบุกรุกระบบเครือข่ายภายในองค์กร ก็เกิดขึ้นได้หากไม่ควบคุม Endpoint เหล่านี้ จึงทำให้มีการหันมามองเรื่อง PAN , LAN ,WAN ,WLAN รวมเป็น Data Access Network ทั้งที่เป็น Out of Band และ In of Band

ภาพจาก cisco system ที่แสดงการควบคุม Data Access ในองค์กร ที่เรียกว่า Trust Identity Management Solution

การควบคุมเรื่อง Data Access Network เรียกว่าการทำ Pervasive Network Awareness หรือบางทีเรียกว่า Spynet ประกอบไปด้วยเทคโนโลยีดังนี้
4.1 ระบบ NIDS (Network Intrusion Detection System) ระบบตรวจจับผู้บุกรุก ที่ผมมองว่าระบบ IDS จะคืนชีพ มี 2 ประเด็น
ประเด็นที่ 1 ในอนาคตเครือข่ายคอมพิวเตอร์ จะมีขนาดใหญ่ขึ้นการเชื่อมโยงเครือข่ายคอมพิวเตอร์ภายในอาจจะมีการวิ่ง Gigabit หรือ 10 Gig ได้ในอนาคตอันใกล้ การติดตั้งระบบ NIPS (Network Intrusion Prevention System) ต้องอาศัยเครื่องขนาดใหญ่ ถึงแม้เป็น ASIC chip ก็ลำบากที่จะรองรับได้ 0 day exploit ก็มีประมาณมากขึ้นทุกวัน ถึงแม้จะมีการ upgrade Firmware ได้ก็ตาม จึงต้องหมั่น update ข่าวสารและป้องกันภัยให้ทันเหตุการณ์ ปัญหาอีกอย่างประมวลผลอาจทำให้ ข้อมูล Drop ได้ รวมถึงปัญหา False Possitive ที่ต้องอาศัยผู้เชี่ยวชาญในการวิเคราะห์เครือข่ายมานับปรับแต่งการตรวจจับเพื่อป้องกันอีกด้วย
ประเด็นที่ 2 ผมมองว่า NIPS ไม่ต่างอะไรกับ Firewall มากนัก อาจเรียกว่าเป็น Smart Firewall ได้เพราะป้องกันถึง Deep Packets Inspection แต่การทำงาน NIPS จะไม่ทราบการบุกรุกมากมายนัก เพราะต้องเน้นในเรื่อง Performance สูง ดังนั้น NIPS จึงไม่มี Data Base หรือที่เรียกว่า Signature เพียงพอกับการบุกรุกใหม่ๆ มีเพียงการวิเคราะห์ที่เป็น AI และการจับ Anomaly , NetFlow ซึ่งก็เป็นไปได้ที่จะจับและป้องกันไม่ได้ NIPS เหมาะกับ การวางเฉพาะส่วนทางออกอินเตอร์เน็ท และจุดเชื่อมต่อ (WAN) ป้องกันเรื่อง DDoS/DoS และ Network Worm จึงจะเหมาะสม หากติดตั้งระบบ NIPS ภายในเครือข่ายคอมพิวเตอร์แล้ว ควรเน้นการตรวจจับที่เจอเหตุการณ์ที่เป็นภัยคุกคาม และเก็บเป็นหลักฐานมากกว่า คือการทำ Network Awareness และ Network Forensic นั่นเอง
ผมยังเชื่อมั่นในเรื่อง signature โดยเฉพาะ signature ที่ปรับแต่งได้ นอกจากจะจับการบุกรุกและภัยคุกคามได้ดีกว่า แล้ว ยังสามารถนำ Log ที่เกิดขึ้นแม้การบุกรุกเพียงเล็กน้อย ก็นำมาใช้เป็นหลักฐานในการสืบหาผู้กระทำผิดได้ ดังนั้นระบบ NIDS แบบที่มี Data Base การบุกรุกมากๆ จะเป็นประโยชน์สำหรับการตรวจจับ (Monitoring) และควบคุม DAN (Data Access Network) ได้ NIDS สมัยใหม่ ทำเรื่อง TCP Reset ได้ ก็ถือว่าจะมาช่วยในการป้องกันภัย แบบไม่ทำให้เครือข่ายคอมพิวเตอร์ภายในไม่เกิดเรื่องการ Drop ของ Performance ได้
4.2 NAC (Network Access Control) จะเข้ามาช่วยในการควบคุม Endpoint Security ได้ ไม่ว่าเป็นการ identify Endpoint ว่ามีความเสี่ยงก่อนที่จะเข้าสู่ระบบ LAN , WLAN , PAN หรือไม่ หากมีความเสี่ยงก็ทำหน้าที่ในการกักไว้ในอีก VLAN เพื่อทำให้เครื่องปลอดภัยเสียก่อนเข้าสู่เครือข่ายภายในองค์กร , NAC ในปี 2007 อาจรวมความสามารถของ DC (Domain Controller) ที่ใช้บน Windows Server เข้ามาเพื่อระบุ บทบาทและหน้าที่ในการใช้งานของ Endpoint นั้นๆ รวมถึงกำหนด Policy ในการใช้งานต่างๆ ได้ หรือ อาจเกิดการประยุกต์ NAC กับ ระบบ VA เพื่อทำการประเมินความเสี่ยงก่อนเข้าถึงระบบภายใน ก็เป็นไปได้

4.3 VA /VM (Vulnerability Assessement / Vulnerability Management) ระบบประเมินความเสี่ยง ระบบ VA/VM ถือได้ว่าเป็นการทำงานเชิง Pro-active เพราะเป็นการตรวจสุขภาพเครื่องในเครือข่ายคอมพิวเตอร์ ได้ว่ามีความเสี่ยงและควรปรับปรุงแก้ไข อย่างไร ไม่ว่าเป็น Server ใน DMZ zone , Server Fram , และเครื่อง Client VA จะทำการประเมินความเสี่ยง และส่งข้อมูล ให้ VM บริหารจัดการความเสี่ยงนั้น ไม่ว่าเป็นรูปรายงานผลการประเมินความเสี่ยง และการเชื่อมโยงกับอุปณกร์อื่นๆ เช่น Firewall , IDS หรือ NAC
4.4 SIM (Security Information Management)
ระบบนี้ที่ยังไม่โดดเด่นนัก เป็นเพราะ SIM เหมาะกับ Provider ที่ให้บริการ MSSP และ การ Implement ที่ต้องใช้ความรู้สูง และความยากในการทำ Correlection Log ตามชนิดของอุปกรณ์ และ ซอฟต์แวร์ จึงเป็นเรื่องยากในการใช้งานจริง ต่างกับอุปกรณ์ ในข้อ 1-3 ที่กล่าวมา SIM ในอนาคตจะรวมเรื่อง NMS (Network Management System) ไปด้วยเพื่อทำการบริหารจัดการอุปกรณ์ และซอฟแวร์ที่เกิดขึ้นในเครือข่ายคอมพิวเตอร์ อีกทั้งรวมการทำ Compliance ให้สอดคล้องกับมาตรฐานระบบรักษาความปลอดภัยข้อมูล

4.5 UTM (Unified Threat Management) ถือได้ว่าเป็นอุปกรณ์เอนกประสงค์ เพราะตัวเดียวทำได้หมด ไม่ว่าเป็นการทำ Firewall (ระดับ Stat Ful Inpsection) , VPN , Load Balancing , Network Shaping , DNS Server , DHCP Server , LAN Autentication , IDS/IPS และ Proxy Anti virus/spam/spyware ได้ในตัว ดูเหมือนว่า UTM ในปี 2006 จะเป็นที่นิยมมาก โดยเฉพาะเมืองไทย ไม่แปลกครับเพราะ UTM ยังเหมาะกับเครือข่ายขนาดเล็กและกลาง นั่นคือ ธุรกิจ SME ที่มีมากมายในประเทศไทย แต่หากวางบนเครือข่ายระดับใหญ่แล้ว UTM อาจไม่ใช่ทางเลือกเนื่องจากมีคุณสมบัติการทำงานมากเกินไป ทำงานเพียงตัวเดียวไม่ไหว ต้องแยกส่วนอุปกรณ์เพื่อสร้างความเสรียฐภาพให้เกิดขึ้นบนตัวระบบเอง ในปี 2007 ผมก็ยังเชื่อว่า UTM ก็ยังเป็นสินค้าที่ขายดีต่อไป และมาช่วยในการควบคุม DAN (Data Access Network) ได้

4.6 Network CCTV Camera spynet จะสมบูรณ์ ได้ก็ต่อเมื่อต้องมองเห็นทุกการกระทำ ทั้งการกระทำผิด เหตุการณ์ผิดปกติ และภัยคุกคามอื่นๆ กล้องวงจรปิด มีมาก่อน ในยุคปัจจุบัน CCTV ดูผ่านอินเตอร์เน็ทได้ เกิดเป็น Network Camera เพื่อเฝ้าสังเกตการ ในปี 2006 ถือว่าเป็นปีของ Network Camera และคิดว่าในปี 2007 Nework Camera ก็ยังได้รับความนิยม โดยเฉพาะ Networ Camera อาจประยุกต์เข้ากับอุปกรณ์ Network ในด้านการรักษาความปลอดภัยไม่ว่าเป็น NIDS (Network Intrusion Detection) รวมกับ Networ Camera ในการเฝ้าระวังภัยทั้งทางกายภาพ และข้อมูลบนเครือข่าย จากศูนย์กลางได้

จุดสำคัญ ของ DAN (Data Access Network) อยู่ที่การเป็น Spynet ที่คอยตรวจสอบ และ ตรวจจับ สิ่งผิดปกติที่อาจจะเกิดขึ้นภายในเครือข่ายคอมพิวเตอร์ เพื่อบันทึกเป็นหลักฐาน และ เก็บเป็นข้อมูลในการประเมินความเสี่ยง รวมถึงการสร้างรายงานผลให้ตรงตาม มาตรฐาน IT Security ต่อไป

5. การสร้างเครือข่ายให้พร้อมใช้งานตลอดเวลา (Reliability)
เมื่อ Social Networking เกิดขึ้น เกิดการเชื่อมโยงข้อมูล ระบบสื่อสาร และระบบสารสนเทศ เป็นเรื่องเดียวกันแล้ว ทุกคนสามารถเข้าถึงข้อมูลได้ตลอดวเลา การทำงานสามารถทำงานได้ แม้จะอยู่ชายทะเล จะอยู่บ้าน หรืออยู่ที่ไหนๆ ในโลก ก็สามารถเข้าถึงข้อมูลเข้าสู่โลกอินเตอร์เน็ท และทำงานได้ เปิด e-mail , update งาน , update website อื่นๆ ตามต้องการ ทุกที่ตลอดเวลา ทั้งนี้ระบบเครือข่ายจึงต้องพร้อมใช้งานเช่นกัน ในปี 2007 และต่อๆไป ผมจึงมองว่า การสร้าง Network HA (High Availability) เป็นเรื่องที่ต้องทำ เทคโนโลยีที่นำมาใช้ ไม่ว่าเป็นการทำ Clustering , Grid Computing (ที่ไม่มองในแง่การประมวลผลให้มีประสิทธิสูงอย่างเดียวแต่เป็นการรวมถึงการสร้างเครือข่ายให้พร้อมใช้งานด้วย) และการทำแผนฉุกเฉิน ฺBCP(Business Continuity Plan) / DRP (Disaster Recovery Plan) รวมถึงการทำระบบ Backup ข้อมูล การทำ Storage เพื่อรักษาข้อมูลหากมีความสูญเสียและเกิดความผิดพลาดจะได้กู้ระบบคืนได้ทันเวลา ไม่กระทบกับธุรกิจ เทคโนโลยีเหล่านี้จะมีบทบาทมากขึ้นเรื่อยๆ และถือว่าเป็นเรื่องจำเป็นที่ต้องจัดทำและจัดหาเทคโนโลยีดังกล่าวมาใช้ หากมีกฏหมายได้ IT Security เกิดขึ้นในประเทศไทยจริง ผมเองก็คิดว่าคงมีข้อกฏหมาย ที่ต้องให้ทุกที่เก็บ Log ไม่ว่าเป็น Log Proxy , Log Firewall , Log IDS/IPS รวมไปถึง Log Server ต่างๆ และ Log Application ไว้ตามเวลาที่ระบุ อาจจะ 2 ปี หรือ 5 ปี เมื่อถึงเวลานั้นเทคโนโลยีในการ Backup ข้อมูลจะมีบทบาทในองค์กรมากขึ้น
ส่วนการ Backup ส่วนบุคคลนั้นแล้วก็จะมีความนิยมมากขึ้น ไม่ว่าอยู่ในรูป USB Drive ชนิดพกพา , บน iPod , บนมือถือ (Mobile Phone) เป็นต้น ผมคาดคะเน ว่าการเก็บข้อมูลส่วนบุคคล จะตกอยู่ที่ 100G ต่อคน ใน 100G บน Hardisk แบบพกพา อาจประกอบด้วย ข้อมูลเกี่ยวกับงาน , files เอกสารต่างๆ , รูปภาพ , video clip , เพลง , โปรแกรมต่างๆ และ ไวรัส : P

เอาละครับตอนนี้ผ่านไป 5 ข้อแล้ว เหลืออีก 2 ข้อจะเป็นเช่นไร ขอโปรดติดตามตอนต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ทำนาย 7 เทคโนโลยี ด้านดีและภัยคุกคามในปี 2007 ตอนที่ 1

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง ธันวาคม 28, 2006
หมวด In information

ใกล้สิ้นปีอีกครั้งแล้วครับ ปีที่แล้วผมได้เขียน 7 เทคโนโลยีในการักษาความปลอดภัยข้อมูลระบบสารสนเทศไว้ ได้ลงหนังสือ Micro computer และได้เสนอใน SRAN Community ไว้ ตลอดจน Blog ของตนเอง หลายๆอย่างที่เขียนก็ตรงกับความต้องการในปี 2006 อยู่บ้าง ในปีนี้ก็เลยอยากที่จะลองเขียนอีก สามารถอ่านได้ที่ http://nontawattalk.blogspot.com/2005/12/2006.html
มีคนเขาบอกว่า “เราไม่สามารถรู้อนาคตได้ หากรู้ได้เราจะป้องกันไม่ให้เกิดเหตุการณ์ความสูญเสียที่เกิดขึ้น
และเราก็ไม่สามารถย้อนเวลาได้ หากเราทำได้ เราจะปรับปรุงแก้ไขความผิดพลาดที่เกิดขึ้น กับเหตุการณ์ที่เราไม่พึ่งให้เกิด กับชีวิตเราและคนอื่น”
แต่เราสามารถทำนายอนาคต และคาดคะเนเหตุการณ์ได้ เรียนรู้และยอมรับ เพื่อการป้องกันในอนาคต Live and Learn และผมได้ทำนาย เรื่อง IT Security ในปี 2007 ไว้ จะเป็นเช่นไรลองอ่านกันดูครับ

1. เรื่องเกี่ยวการควบคุม Social Networking
Social Networking ที่เกิดจาก Web 2.0 ที่ให้ทุกคนมีส่วนรวมกับการสร้างสรรค์ การแสดงความคิดเห็น และการเกิดศัพท์ที่เรียกว่า “Freedom Content” บนสังคม Online

จากรูปที่ 1 บอกถึงการเปลี่ยนแปลงแนวทางการสร้าง Content บน Website จนเกิดเป็น Social Networking การที่สามารถทราบถึงข้อมูลข่าวสารได้อย่างรวดเร็ว พูดง่ายๆ ว่าจะเป็นยุคของ ข่าวสารที่รู้ทันกันหมด ไม่ว่าเป็นเรื่องเทคโนโลยีใหม่ ข่าวสาร ข้อมูลส่วนตัว ราคาสินค้า หรือ การซุบซิบดารา Clip video ลับเปิดเผยได้ง่ายขึ้น เพราะนี้คือ Freedom Content เป็นสื่อเสรีที่ยากในการปิดกั้น ในส่วนของ Social Networking จึงทำให้คนเข้าถึงโลกของข้อมูลได้ง่าย และสร้างวัฒธรรม สร้างชุมชน online ที่ทันเหตุการณ์ สื่อเทคโนโลยี ที่เด่นและถือว่าเป็น Social Networking ได้แก่ wikipedia คือการปฏิรูปสารนุกรมฉบับเปิดเผยที่ทุกคนมีส่วนร่วมในการใส่เนื้อหา Youtube สังคม clip video ที่เผยแพร่ภาพเคลื่อนไหวทั่วมุมโลก จัดทำจนได้ดี เมื่อปลายปีมีการ Take over จาก Google ด้วยจำนวนเงินมหาศาล , digg สมุดบันทึก online ที่ได้เผยแพร่ website ของเราให้คนอื่นได้รับทราบมากขึ้น , Flickr ก็ถือว่าเป็น Social Networking ที่อยู่ในรูป Web 2.0 ที่ให้ทุกคนที่สมัครเป็นสมาชิกได้เผยแพร่ภาพถ่ายต่างๆ หรือนำเอาเทคโนโลยีเสียงมาใช้บนอินเตอร์เน็ท ที่เรียกว่า Podcast เช่น Odeo อัดเสียงพูด เสียงสนทนา รวมถึงบาง web ได้นำมา Podcast มาใช้ในการสัมภาษณ์บุคคลสำคัญก็มี รวมถึง ระบบ RSS ที่สามารถ Feed รับข่าวสารข้อมูลจาก website อื่นๆได้ผ่านเทคโนโลยี XML , รวมไปถึงการแชร์ files ยอดนิยมชนิด P2P (Peer-to-Peer) ที่พบว่าไม่ว่าจะเป็นเพลง หนัง หรือเอกสาร ที่หายากก็สามารถค้นหาเจอจากการใช้งาน P2P หรือจะเป็น Social Networking ชนิด Video Conference / Chat Video เหมือนกับโปรแกรม Camfrog ที่โด่งดังในช่วงท้ายปี เราก็สามารถแลกเปลี่ยนความรู้ และสร้างสังคมเสมือนเกิดขึ้นได้ผ่านอินเตอร์เน็ท ในปี 2007 จะมี Video Conference ที่เป็น Social Networking ผ่าน Web 2.0 มากขึ้น อาจจะเป็นการทำ E-Learning การประชุมผ่านอินเตอร์เน็ท เช่นพวก Web casting ก็จะทำให้มีความสะดวกในการติดต่อสื่อสารกันมากขึ้น จึงทำให้โลกอนาคต ข้อมูลจะรู้ทันกันไปหมด อินเตอร์เน็ทจะกลายเป็นสถาบันการศึกษาขนาดใหญ่ที่เป็นสังคมเสมือน ที่สามารถศึกษาหาข้อมูลเองได้ และอาจมีความรู้มากกว่าห้องเรียนจริง แต่ทั้งนี้แล้วต้องใช้วิจารณญาณในการรับรู้ด้วยเช่นกัน
อาจจะมองว่า Social Networking ทำเพียง Back-end ระบบข้างหลังภาพ ส่วน Font end ที่เป็นเนื้อหา web site นั้นเกิดจากคนอื่นๆ ที่ร่วมกันสร้างจนเกิดเป็น Web ที่มีชีวิตชีวาขึ้นมา ในโลก IT Security Website ในปี 2006 ก็หันมาใช้แนวคิด Social Networking มาช่วย ไม่ว่าเป็นการ หาอาสาสมัครเพื่อ ตรวจ spam mail , ข้อมูลที่เป็น Phishing หรือ website ที่มีความเสี่ยง ได้แก่ SiteAdvisor , SpamCop , Phishtank , ProjectHoneypots รวมถึง VMware เปิดโอกาสให้คนอื่นได้สร้าง virtual machine บนโปรแกรม VMplayer จนเกิดเป็น community Vmware ขึ้น ปรากฎการณ์ที่กล่าวมาเกิดขึ้นแล้วในปี 2006 และในปี 2007 จะมี Web ที่เป็น Social Networking มากขึ้น จนเป็นแฟชั่น
ในเรื่องภัยคุกคามหากมี Social Networking มากขึ้นจะเป็นเช่นไร คำตอบคือการควบคุมสื่อทางอินเตอร์เน็ทจะยากขึ้น เพราะทุกคนมีส่วนร่วมในเนื้อหา Website มีสิทธิ และเสรีภาพในการแสดงความคิดเห็นมากขึ้น หรือที่เรียกว่า Freedom Content เมื่อควบคุมยาก ก็จะมีการแสวงหา ผลประโยชน์จาก Social Networking และ Web 2.0 มากขึ้น เกิด Social Engineering บน Social Networking เกิดการหลอกลวงมากขึ้น จะมี Website ในเชิงหลอกลวงมากขึ้น ไม่ว่าเป็นการหลอกเพื่อได้ถึงข้อมูลส่วนตัว และข้อมูลที่ผิดจุดประสงค์และนำมาซึ่งความเสียหาย ตกอยู่ที่ผู้รู้ไม่ทัน
ภัยอีกข้อหนึ่งที่พึ่งให้สังเกต นั่นคือ ข้อมูลทะลัก หมายถึง ข่าวสารข้อมูลจะรู้ทันกันมากขึ้น แทบจะหลอกใครไม่ได้ แต่นั่นก็คือคนที่จะทันข่าวและทันข้อมูลอย่างสม่ำเสมอ จนเสพข้อมูลเกินความจำเป็น ทั้งข้อมูลที่ผิดความเป็นจริง ข่าวโคมลอย หรืออาจเป็นข้อมูลเท็จ ที่หลงผิดเชื่อเองก็เป็นได้ การที่เป็น Social Networking ที่ดีจึงต้องมีหน่วยงานที่มาควบคุมสื่อ เพื่อแยกแยะเรทในแต่ Website เช่นเดียวกับ หนัง , สถานที่โทรทัศน์ ที่มีเรทในการพิจารณา รวมถึงการควบคุมเรื่องลิขสิทธิ หนัง เพลง ซอฟแวร์ วรรกรรม และอื่นๆ ดังนั้นผมจึงเชื่อว่าในปี 2007 จะมีรัฐบาลหลายๆ ประเทศจัดทำหน่วยงานกลางที่ควบคุม Freedom Content นี้ขึ้น ซึ่งในแต่ละประเทศอาจมีเรทไม่เหมือนกัน ในปลายปี 2006 เราเห็นว่ามีบริษัทเอกชนในต่างประเทศได้ จัดทำแล้วไม่ว่าเป็น SiteAdvisor ของ Mcafee หรือ Scandoo ของ Scansafe เป็นต้นเห็นว่าเป็นแนวโน้มที่อาจจะเกิดขึ้นได้ในการควบคุมสื่ออินเตอร์เน็ทในรูปของ Website ที่เป็น Social Networking

2. เรื่องป้องกันข้อมูลส่วนตัวบนเครือข่ายคอมพิวเตอร์ (Privacy Net)

ภาพการแสดงถึงการเชื่อมต่อ Network Tor
การป้องกันภัยข้อมูลส่วนตัว จะมีบทบาทมากขึ้น จากที่กล่าวไปในข้อ 1 เรื่อง Social Networking ที่รวมถึงการเผยแพร่ข้อมูลแบบ Freedom Content ทำให้โลกอนาคตจะเป็นเรื่องที่รู้ทันกันหมด เพราะอินเตอร์เน็ท เพราะ google เพราะ Youtube และอื่นๆ ไม่แน่ข้อมูลส่วนตัวเรา อาจจะอยู่ในมือใครสักคนในโลกก็ได้ ผมเคยเขียนบทความหนึ่ง ชื่อว่า ความเป็นส่วนตัวบนโลกอินเตอร์เน็ต ที่ไม่เพียงพอ ไว้ในปี 2004 ตอนนั้นเพียงแค่ค้นหาข้อมูลจาก google เราก็แทบจะได้ข้อมูลหลายๆส่วนจากคนที่เราต้องการค้นหาแล้ว และ ปัจจุบัน เรามีระบบ เรามี Web2.0 มี Social Networking ง่ายแก่การเข้าถึงข้อมูล และแก้ไขข้อมูล ปลอมแปลงข้อมูล สารพัดวิธีการ เรามี VoIP ที่โทรศัพท์ผ่านTCP/IP เราใช้ Skype/Jabber/Gtalk/Turenetalk , และอื่นๆ ที่เกี่ยวกับ VoIP ข้อมูลย่อมผ่านเครือข่ายและออกสู่โลกอินเตอร์เน็ต อาจจะมีการทำ ARP Spoof SIP Protocol แบบ Man in the middle Attack แน่นอนเราอาจประสบปัญหาในเรื่องการดักฟัง แอบดักข้อมูล ทางโทรศัพท์มากขึ้น เรามีอุปกรณ์ และเทคโนโลยี ที่นำเข้า และเป็นเทคโนโลยี ที่เราไม่สามารถแก้ไขได้ เราเป็นผู้ใช้ อย่างเดียว ยอมมีความเสี่ยงกับการใช้ข้อมูลส่วนตัวได้แน่ ตลอดปี 2006 ได้มีการทดลองหลาย Project ในการซ่อนตัวในโลกอินเตอร์เน็ท ไม่ว่าเป็นการซ่อนตัวเพื่อเยี่ยมชม Website นั่นคือซ่อน IP จริงจากเครื่องของเรานั่นเอง ที่ต้องทำเช่นนั้นเป็นเพราะในบางประเทศไม่สามารถรับรู้ข้อมูลบางอย่างได้ การที่จะเข้าถึงข้อมูลของ Website ที่โดนแบนจากประเทศ ต้องอาศัยหลักการขอยืมใช้ IP ที่เป็น Proxy จากต่างประเทศ และ IP Proxy ในการเปิดดูเนื้อหา Website ที่โดนแบนจากประเทศนั่นๆ ในปี 2006 จิตนาการหลบหนีการตรวจจับได้ จึงเกิดแนวความคิดสร้าง Onion routing และเกิดเป็น Project Tor ขึ้น หรือที่เรียกว่า online แบบล่องหน (anonymity) ใน Tor เองก็มีหลายคนนำไปต่อยอด ไม่ว่าเป็น Torpark , Vidalia และ ล่าสุดมี Project ที่ชื่อ Psiphon ออกมาช่วงปลายปี 2006 แนวคิดเช่นเดียวกับ Tor และ GNUnet เน้นไปเรื่อง Privacy Network ที่ซ่อน IP จริง และข้อมูลที่รับและส่ง ผ่านระบบจะมีการเข้ารหัสด้วย และเมื่อเราได้เข้าสู่ IPv6 อุปกรณ์พกพาต่างๆ สามารถเชื่อมโยงอินเตอร์เน็ท การกระทำต่างๆ ก็จะมีความซับซ้อนขึ้นด้วย ใครจะรู้ว่าไม่แน่ Web Server เราอาจจะอยู่บนมือถือของเราเองก็ได้ และสร้างเป็น Scam site เปลี่ยน IP ไปเรื่อยๆ หรือเข้าอยู่ในกลุ่ม Network Anonymity ที่หาทางจับตัวได้ยากขึ้น อันนี้ไม่ได้ชี้โผลงนะครับ แต่คิดว่าเราควรหาวิธีการป้องกัน ตัวผมเองเคยเขียนบทความชื่อ Network Identity เมื่อปี 2005 กลางปีมาแล้ว และการทำ SRAN Web identity เพื่อระบุตำแหน่ง Web Server (ยังไม่เสร็จตามจิตนาการที่คิดนัก) ก็ถือว่าเป็นการระบุประวัติการใช้งาน IP บนเครือข่ายคอมพิวเตอร์ได้ ก็จะนำมาประยุกต์เพื่อป้องกันภัยคุกคามที่อาจจะเกิดขึ้น จากเรื่องที่กล่าวมาได้
จึงทำให้ผมมั่นใจว่าในปี 2007 จะเกิดกระแส เรื่อง Privacy Network ขึ้นได้ ที่กล่าวเช่นนั้นเพราะยังเป็นเรื่องใหม่มากสำหรับเมืองไทย และยากในการจัดทำ เพราะต้องอาศัยเครือข่ายคอมพิวเตอร์ ขนาดใหญ่ เพื่อรองรับ Anonymity Network แบบ Grid Computer ได้ แต่อาจเกิดขึ้นเป็นบริการหนึ่งของบริษัทเอกชนได้ เช่นกัน โดยเฉพาะ เป็นบริการเสริมในเรื่อง Management Security Services Provider หรือ MSSP ในการเสริมสร้างความปลอดภัยข้อมูลส่วนตัว หรือส่วนบุคคล ได้แก่บริการ Secure VPN ระหว่าง Site , Network Encryption และ Software Anonymity เพื่อเข้าถึงข้อมูลบนอินเตอร์เน็ทแบบไม่สามารถระบุ IP จริงได้ ตัวตนที่แท้จริงได้ ปัญหาอาจตามคือการสืบหาผู้กระทำผิดในเรื่องอาชญกรรมคอมพิวเตอร์ จะซับซ้อนและต้องการผู้เชี่ยวชาญอย่างแท้จริงในการสืบหาผู้กระทำผิด

3. การจัดทำ Compliance กับเทคโนโลยีรักษาความปลอดภัยข้อมูล

ในปีที่แล้ว ผมก็ได้พูดถึง compliance ซึ่งเป็นข้อสุดท้ายในบทความ 7 เทคโนโลยีการป้องกันภัยข้อมูลในปี 2006 ว่าจะมีบทบาทสำคัญในงาน IT security อ่านได้จาก http://nontawattalk.blogspot.com/2005/12/2006.html ในปีนี้ก็เช่นกัน ระบบเครือข่ายคอมพิวเตอร์ รวมถึงระบบองค์กรที่ต้องก้าวสู่ความปลอดภัยที่เป็นระบบและเป็นระเบียบแล้วต้องมีมาตรฐาน และมี Framework ที่เป็นแบบแผน ที่ต้องจัดระบบ IT Security ให้เป็นระเบียบ นั้นเป็นเพราะ ต้องการขจัดปัญหาเรื่อง Human Error ลองคิดดูสิว่าเมื่อระบบเครือข่ายเจริญเติบโต จนทุกที่ต้อง Online มีระบบต้องปฏิบัติงานตลอด 24 ชั่วโมง มีข้อมูลที่ต้องพร้อมใช้งาน 24 ชั่วโมง เราจะหนีจุดนี้ไม่พ้น ไม่มีธนาคารไหนในโลก ที่ไม่มีระบบ IT ไม่มีหน่วยงานหรือสถาบันใดในโลก ที่ไม่ใช้ IT ในอนาคตต้อง online ทำงาน 24 ชั่วโมง ผ่านระบบเครือข่ายคอมพิวเตอร์ คนปฏิบัติงานก็มีโอกาสที่ ทำงานผิดพลาดได้ สิ่งสำคัญและเป็นองค์ประกอบหลักด้าน IT Security ประกอบด้วย 3 ส่วน คือ เทคโนโลยี กระบวนการ และคน เราสรรหาเทคโนโลยีระบบป้องกันภัยข้อมูลมาใช้ โดยไม่มีคนไม่ได้ และหากเรามีคนเราก็ไม่สามารถทำงานได้อย่างมีประสิทธิภาพ หากไม่มี Framework ที่มีมาตรฐาน ที่มีระบบและระเบียบ จะทำให้คนทำงานได้ตรงตามเป้าหมาย และสุดท้ายคือทำให้องค์กรนั้นปลอดภัยขึ้นได้
ในต่างประเทศมีการออกเป็นกฎหมายแล้ว เพื่อให้ทิศทางในการปฏิบัติงาน ไม่ทำไม่ได้ ได้แก่ หน่วยงานที่เกี่ยวข้องสุขภาพ การให้บริการด้านสุขภาพ โรงพยาบาล สารธารณสุข ต้องมีกฏเกณฑ์ด้าน IT ตรงตาม HIPAA , หน่วยงานที่เกี่ยวข้องกับการเงิน ต้องมีกฎเกณณ์ตาม GLBA , หน่วยงานที่เกี่ยวกับราชการต้องมี กฏเกณฑ์ตรงตาม FISMA เป็นต้น นี้เป็นกฏเกณฑ์ที่ออกโดยต่างประเทศ ณ ปัจจุบันเมืองไทยยังไม่มีการควบคุมตรงนี้นะครับ เราก็เลยต้องอิงตาม ISO17799 เป็นหลัก แต่ ISO17799 ไม่ใช่กฏ ระเบียบ แต่เป็นแนวทางในการปฏิบัติ และตรวจสอบให้เกิดความปลอดภัยด้านข้อมูลสารสนเทศ ไม่ว่าเป็นอุปกรณ์ด้านระบบรักษาความปลอดภัย ก็ดี หรือเทคโนโลยีที่ช่วยเสริมสร้างความปลอดภัย ในปี 2007 และต่อๆไป จะมีการ compliance ให้ตรงตามมาตรฐานดังกล่าว เพื่อสร้างหน่วยงานที่ใช้อุปกรณ์หรือเทคโนโลยีนั้น ได้รับความสะดวกและครอบคลุมมากขึ้น ไม่ว่าเป็น เทคโนโลยีระบบตรวจจับผู้บุกรุก (IDS/IPS) , ระบบ VA (Vulnerability Assessment) / VM (Vulnerabiltity Management) , SIM (Security Information Management) และรวมถึงระบบ NAC (Network Access Control) ที่ช่วงปลายปีได้รับความนิยมมากขึ้น ก็จะต้องจัดทำ Log ที่เกิดขึ้นให้สอดคล้องกับ Compliance ได้

ในส่วน 4 ข้อที่เหลือ ผมขอต่อตอนหน้าแล้วกันครับ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ทดสอบส่ง Syslog SRAN กับ Switch Alcatel

ผู้เขียนเรื่อง โดย nontawatalk
วันที่ลงเรื่อง ธันวาคม 23, 2006
หมวด In sran

วันหนึ่งเราได้ทำการทดลองยิง syslog SRAN เพื่อให้ใช้งานร่วมกับ Core Switch Alcatel สิ่งที่ทำก็เพื่อต้องการบริหารจัดการ Log ที่เกิดขึ้นจากศูนย์กลาง
อุปกรณ์
1. Alcatel omnivista
2. SRAN Security Center รุ่น SR110 (รุ่นเล็กสุด)
3. Computer 1 เครื่อง (ลงโปรแกรมบริหารจัดการ Log Omnivista ของ Alcatel)
4. notebook 2 เครื่อง
– Vmware (เพื่อทำ Web Server ที่ติดไวรัสคอมพิวเตอร์)
5. software ทดสอบ syslog (Kiwi syslog)

ภาพออกแบบเครือข่ายทดลอง Syslog Management

คลิกที่รูปเพื่อดูภาพใหญ่
Alcatel Omnivista ทำการเพิ่ม Rule ชื่อ SRAN เข้าไป ได้แก่ Virus , DDoS/DoS attack

ทำการ download virus จาก Web server ที่ติดไวรัสพบ event ที่เกิดขึ้นจะยิงส่งมาที่ omnivista ผ่าน Protocol UDP port 514