Nontawatt

ณ จุดชมวิว บนหอคอยสูง ในเมืองหุนชุน บริเวณแม่น้ำถูกเหมิน
ซึ่งเป็นแม่น้ำแบ่งพรมแดนประเทศจีน ประเทศเกาหลีเหนือ และรัสเซีย
เรามองไปข้างหน้าสิ ด้านซ้ายมือเป็นประเทศรัสเซีย ด้านขวามือเป็นประเทศเกาหลีเหนือ

วันนี้ท้องฟ้าเปิดมองไปได้ไกลสุดลูกหูลูกตา จารึกพูด

มีสายลมบนยอดหอคอยเป็นลมจากทะเลญี่ปุ่น พัดเอื่ยเข้ามาปะทะเป็นระยะ จารึกยืนอยู่บนยอดหอคอย พร้อมกับคุณสมิธ เจ้าของบริษัทโอดิสซี่ซอฟต์ โดยมีคณะกรรมการโรงพยาบาลสยามเฮ้ลที่ไปดูงานที่ประเทศจีน อีก 10 คน ซึ่งยืนกันกระจัดกระจายเพื่อถ่ายรูป และชมความงาม

ทั้งชีวิตการทำงานกว่า 40 ปีที่เป็นหมอ แต่ผมเป็นคนที่ชื่นชอบศึกษาประวัติศาสตร์โดยเฉพาะเรื่องเกี่ยวกับสงคราม และจารชน ผมมีหนังสือเกี่ยวกับเหตุการณ์จริงเกี่ยวกับไล่ล่าจารชนอยู่หลายเล่ม คุณสนใจไปอ่านสักเล่มไหมล่ะ จารึกกล่าว

จารึกเป็นผู้ช่วยผู้อำนวยโรงพยาบาลสยามเฮ้ลฯ และเป็นผู้ที่มีอำนาจเต็มในการจัดซื้อจัดจ้างที่เกี่ยวข้องกับระบบไอทีในโรงพยาบาลทั้งหมด

จารึกกล่าวต่อ สถานที่นี้ในอดีตเป็นจุดยุทธศาสตร์ของยุคสงครามเย็น เกาหลีเหนือ จีน และรัสเซีย ล้วนเป็นพวกเดียวกัน แต่สมัยนี้เกมส์สงครามมันเปลี่ยนรูปแบบ ผมกำลังศึกษาทิศทางการเปลี่ยนแปลงครั้งนี้อยู่

สมิธเสริม “ใช่มันเป็นยุคของดิจิตอล” การโจมตีผ่านดิจิตอล ตลาดทุน ค่าเงิน แบบออนไลน์ข้าวพรมแดน การโจมตีทางไซเบอร์ รวมถึงการ collection ข้อมูลขนาดใหญ่ (Big data) เพื่อวิเคราะห์ความเคลื่อนไหว และความเป็นไปของผู้คน ได้ข่าวว่า NSA เจาะจงเรื่องนี้เป็นงานหลักเลย

เดี๋ยวนี้สายลับแต่ละประเทศแปลงร่างมาฝั่งในคอมพิวเตอร์ มือถือ อุปกรณ์สื่อสารกันเยอะขึ้นแล้ว ช่วงชิงกันถึงเรื่องข้อมูล การประมวลผลข้อมูลขนาดใหญ่ (Big data) เพื่อผลประโยชน์ของรัฐบาลและเพื่อประเทศ

เพราะทุกอย่างมันเชื่อมโยงถึงกันไปหมดแล้ว สมิธกล่าว

สมิธ เคยเป็นอดีตเจ้าหน้าที่สำนักข่าวกรองแห่งชาติ และเขาเป็นครูสอนวิชาต่อต้านการข่าว เคยร่วมงานกับ CIA ก่อนที่ขอเออร์ลี่ แล้วมาเปิดธุรกิจซอฟต์แวร์เมื่อ 10 ปีก่อน
ปัจจุบัน สมิธอายุ 61 แล้วแต่ยังดูแข็งแรงและทำงานได้

รู้จักกับจารึกผู้ช่วยอำนวยการโรงพยาบาลนี้ กว่า 20 ปี จากการที่เป็นคนไข้ประจำของคุณหมอจารึก “การเชื่อมโยงแบบไร้พรมแดน นั้นคือสงครามแนวใหม่ที่เราต้องปรับตัว” ลมที่นี้เย็นสบายดี นะสมิธ จารึกกล่าว และทั้งคู่หัวเราะขึ้นเบาๆ

ก่อนที่คณะขึ้นรถกลับโรงแรม จารึก บอก สมิธ ว่า “ก่อนที่ผมจะลืมคุณพูดเรื่องมาผมนึกขึ้นได้ แก่แล้วเดี๋ยวลืม ผมฝากเด็กผู้หญิงคนหนึ่งเข้ามาบริษัทคุณ และให้เขามานั่งรับ Out source ทำฐานข้อมูลประวัติคนไข้ให้ผมทีสิ” เป็นหลานสาวผมเอง ชื่อศิรินท์ จบด้านการจัดการระบบฐานข้อมูลมา สักพักแล้ว อยากให้ทำงานระดับใหญ่ๆบ้าง ผมไม่กล้ารับตรงเพราะกลัวเรื่องคอนฟิคฯ ฝากคุณรับมาแล้วให้เขา มาประจำโรงพยาบาลนี้ เพราะไหนๆ คุณก็ได้งานใหญ่ไปแล้วนิ งานของคุณเซ็นสัญญาเดือนมกราคม ให้เขามาสักเดือนเมษา หรือก่อนนั้นนิดหน่อย

สมิธกล่าว ผมจะจัดการให้ตามคำขอ หลังจากกลับถึงเมืองไทย เรียกให้เขามาหาผมที่ office บริษัทได้เลย

 
+++++++++++++++++++

ณ ศูนย์คอมพ์โรงพยาบาลสยามเฮลฯ

web server เป็น ubuntu 14.04
ifconfig พบว่า IP private ตั้งค่าไอพีที่ 172.16.5.2
web server นี้มีทั้งหมดกี่ตัวครับ ธีรานนท์ ถาม

องอาจตอบ จริงๆเราต้องการทำ 2 เป็น HA แต่ยังทำไม่เสร็จ เหลือใช้จริงแค่ตัวเดียวอยู่

และเชื่อมถึงกันที่ไหนบ้าง ธีรานนท์ถามต่อ

ที่ DMZ เท่านั้น วิชัยตอบ
ในย่าน 172.16.5.0/24 ใช่ป่ะครับ routing ไปยังวงอื่นด้วยไหม ธีรานนท์ ถามต่อ

เราไม่ set routing ตรงนี้นะ แต่วงนี้มีแค่ 256 IP /24 ใช่ครับ แต่ใช้จริงไม่ถึง ประมาณ 20 IP ได้มั้ง เป็น Develop เกินครึ่ง ใช้จริงๆประมาณ 5-6 IP เท่านั้น ที่เปิดสาธารณะ วิชัยตอบหมด

องอาจยังไม่ทันอ้าปากตอบ

ผมแค่มีประเด็นเรื่อง Infrastructure Compromise
ต้องใช้พวก IOC (Indicator of Compromise) มาจับด้วย ธีรานนท์ ถามต่อ

ไม่ทราบว่าที่โรงพยาบาล มี Centralized log ไหมครับ
เรามี image เครื่อง Web server ที่โดนแฮกแล้ว ถ้าให้ครบและวิเคราะห์ได้ถูกอยากได้ Centralized log ด้วย ธีรานนท์ ถามขึ้นมา

องอาจ ตอบ มีสิ เป็นไปตามกฎหมายคอมพิวเตอร์ มาตรา 26 ธีรานนท์ เป็น Log ที่รับจากอะไรมาบ้าง องอาจ อำอึ๋ง …

วิชัย เสริมมาบอกว่า ตอนนี้เราพึ่ง implement นะ รับมาไม่เยอะ
ก็แบ่งรับข้อมูลจาก
1) พวกเกี่ยวกับ Identity/Authentication ก็มีรับจาก AD (Active Directory) ส่งมาเก็บแล้ว, Wifi Controller Server รู้สึกว่ายัง, Exchagne ส่งมาเก็บแล้ว และพวก VPN token สำหรับเจ้าหน้าที่ไปต่างประเทศและนอกสถานที่ใช้งานพวกนี้ส่งมาเก็บแล้ว

2) ส่วนพวก Network ก็มี Firewall , Core Switch ส่วน NIDS/IPS โรงพยาบาลเราไม่มีกำลังดูๆอยู่เนื่องจาก Firewall ตัวนี้ตรวจ DPI / Application layer ไม่ได้ (DPI : Deep Packet Inspection)

3) พวก Server ที่เป็น public ก็มี Web Server , ERP Server , DNS และ DHCP server ประมาณนี้ โยนมาไม่กี่ตัวหลอก

เอาแต่ตัวเน้นๆ เราต้องการ Log คุณภาพ วิชัย ตอบอย่างผู้รู้

อ๊อดที่ยืนอยู่ใกล้ๆ นึกในใจว่า นี้นะไม่กี่ตัว

“สวยเลย ถ้างั้นผมขอ log ย้อนหลัง สัก 2 เดือนได้ไหมครับ” ธีรานนท์ ถามกลับ

วิชัย และอนันนต์ หันหน้าพร้อมกันไปที่ พี่องอาจ คนตัดสินใจ องอาจ ตอบ ถ้าผมเป็น ผอ. เองผมให้ได้ ผมรับผิดชอบ แต่นี้ ผมต้องขอ พี่จารึกนะสิ ตัว Centralized log ผมดูได้แต่ system admin เนื้อข้อมูล log คนที่เปิดได้คือ พี่จารึก

“ที่เราได้มาคือ log จาก web server ที่โดน hack ส่วนอื่นๆ ที่ผมอยากได้ ประเภท DPI มากกว่า น่าเสียดายที่ยังขาดเรื่อง NIDS/IPS แต่ถึงอย่างไร ข้อมูลทุกอย่างย่อมเชื่อมโยงถึงกันหมด” ธีรานนท์กล่าว

ถ้าเช่นนั้นก็แค่นี้ก่อนก็ได้ อ๊อดตอบเสริม หากวิเคราะห์เสร็จแล้วจะส่งรายงานให้ หากพบสิ่งผิดปกติและเป็นเบาะแส จะแจ้งให้พี่องอาจทราบ งั้นพวกผมขอตัว ธีรานนท์ตอบ จากนั้นทีมงาน GBT (Ghostnet Buster team) ก็จากไป

ราเชนหลังจากยืนนิ่งสักพัก เออวิชัย ถึงเราเป็นโปรแกรมเมอร์เข้าใจบ้างไม่เข้าใจกับสิ่งที่คุยกัน แต่เราถามหน่อยดิว่า Data Base Server ที่ ทีม out source ทำอยู่นี้ส่ง syslog ไปเก็บด้วยไม่ใช่เหรอ

วิชัย นั่งนิ่งคิดดู แล้วตอบว่า เออใช่ ลืมไปมี data base server ส่งมาอีกตัว อนันต์ นายเข้าไปดูได้ป่ะว่า log ของ data base server ส่งมาป่ะ

อนันต์นึก “กูอีกแล้ว” ได้เลย รอแป๊บบ เพื่อนๆ 172.16.5.3 (Data Base Server) ส่ง log มาอยู่ แต่ผมเปิดอ่านไม่ได้ (เฉพาะ Data Owner พี่จารึก) รู้ได้แค่เพียงสถานะ นะ อิอิ เสียงหัวเราะอนันต์

วิชัยจำคำพูดธีรานนท์ แล้วอุทานว่า “ข้อมูล ทุกอย่างย่อมเชื่อมโยงถึงกันหมด”

จบตอน

+++++++++++++++++++++++++++++++++++++++++++++++
สงวนลิขสิทธิ์
SRAN Technology (www.sran.net)

นนทวรรธนะ สาระมาน
Nontawattana Saraman
ผู้เขียน
15/06/58

Digital Holes : ตอน Hacker Here ที่นี้มีแฮกเกอร์ ตอนที่ 3

เสียงเพลง eye in the sky ของAlan Parsons Project 1982  ดังขึ้น

…[เสียง Chorus]
I am the eye in the sky
Looking at you
I can read your mind
I am the maker of rules
Dealing with fools
I can cheat you blind
And I don’t need to see any more
To know that
I can read your mind, I can read your mind …

เสียงเพลงในร้านซาโมกูระ วันเสาร์ที่ 18 เมษายน 58

ราเชน (หรือที่รู้จักกันชื่อเล่นว่า หนุ่ม เป็นโปรแกรมเมอร์ที่ดูเว็บไซต์ของโรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล) กำลังเทโซดาใส่แก้ว ผสมเหล้าบางๆ นั่งที่ระเบียงด้านนอกของร้าน เสียงเพลงลอยตามลมมาได้ยินชัดเจน

“ฉันชอบเพลงนี้นะ ตาที่มองมาจากฟากฟ้า ผู้กำหนดทิศทางชีวิตของผู้คน”
“โดยเฉพาะยุคนี้มันทำได้หากเรามีจำนวนกองทัพ botnet เพียงพอ เราจะมีอิทธิพลเหนือใคร”

….  ราเชนนั่งฟัง

“เอาล่ะเพื่อน นั้นมันความฝัน ของฉัน ส่วนความเป็นจริง เราจะจัดงานมิตติ้งกันหน่อย โดยจะถือโอกาสนี้ เพื่อให้นายราเชน และเพื่อเป็นการรำลึกถึงวันที่เราใช้ชีวีตในรั้วมหาวิทยาลัยด้วยกัน  คืนวันเสาร์ที่ 2 พฤษภาคมนี้ ยังจำได้เลยช่วงเวลานั้นเรากำลังดีใจที่สอบเอ็นทรานติด มันเป็นช่วงเวลาที่มีความสุข ชีวิตนักศึกษาใหม่” บิ๊กกล่าว

“ถึงนายจะอยู่ที่นี้แค่ปีเดียว แต่นายก็ช่วยฉันให้รอดจากการถูกรีไทด์ ฉันยังจำได้เพื่อน” บิ๊กกล่าวต่อ

ท่ามกลางบรรยากาศเพลงร็อคยุค 80 เปิด ราเชน นั่งจิ๊บสุรา กับบิ๊ก
บิ๊กนายเป็นหัวเรื่องใหญ่จัดงานไป แล้วพยายามดึงรินมาในงานให้ได้

หนุ่ม ราเชน กระดกแก้ว แล้วพูดว่า “ถึงเราจะเคยเรียนที่ ม เกษตร แค่ปีเดียว แล้วเรียนต่อที่ต่างประเทศ (ไปที่ มหาวิทยาลัย MIT สหรัฐอเมริกา) แต่เรายังจำรินได้ และคิดถึงเธอเสมอ
ยิ่งได้มาทำงานที่เดียวกันด้วยนั้น อย่าพูดเลย อยากใกล้ชิดเธอมากขึ้นจัง”

“แล้วเธอจำแกได้ป่ะ หนุ่ม” บิ๊กถาม
น่าจะคุ้นๆนะ ไม่รู้สิ ไม่เคยถาม และไม่เคยบอกด้วย  ตอนนั้นแค่เด็กปี 1 ไม่ประสาอะไรนักหลอก ” หนุ่ม พร้อมถือแก้วยกซดต่อ

บิ๊กเป็นเจ้าของร้านซาโมกูระ ทั้งที่จบวิศวะคอมพิวเตอร์มา แต่กับมาเปิดร้านอาหาร บิ๊กไม่ใช่เด็กเรียนเก่ง แต่เขาคลั่งไคล้การแฮก โดยรับงานประเภทเจาะระบบมากว่า 3 ปีแล้ว

ฝีมือของเขาอยู่ในระดับโลก ล่าสุดเข้าร่วมกลุ่มแฮกเกอร์ต่างประเทศไปเป็นนักรบไซเบอร์รับจ้าง
โดยร่วมงานในการเจาะระบบให้กับรัฐบาลประเทศยูเคนมาแล้วในนามกลุ่มแฮกเกอร์ชื่อ “Dark Pilot”
เขาไม่ค่อยอยู่เมืองไทย แต่ก็เปิดร้านนี้ขึ้นโดยร่วมหุ้นกับเพื่อนๆ ไฮโซ
เนื่องจากคุณพ่อเป็นเจ้าของธุรกิจด้านอสังหาริทรัพย์ตระกูลดัง เขามีกลุ่มเพื่อนที่คบหาอยู่เป็นระดับเศรษฐีในประเทศไทย ส่วนร้านอาหารซาโมกูระ นี้เป็นเพียงร้านที่เป็นแหล่งพูดคุยกับเพื่อนๆในวงการแฮกเกอร์ (รับแฮกแบบใต้ดินที่แลกเปลี่ยนข้อมูล) และร้านนี้ไม่รับคนทั่วไปเข้าร้าน แต่ต้องได้รับบัตรเชิญ หรือเป็นแขกที่เจ้าของร้านเชิญเท่านั้น

“ตอนนี้รัสเซีย และ จีน กำลังจับมือกันทางไซเบอร์อยู่ ต่อรองกับไอ้กัน ที่ผูกขาดอย่างแนบเนียนมานานแล้ว ไอ้กันนั้นมีอาวุธสำคัญคือ NSA ที่ต่อท่อ backdoor ไปทั้งอุปกรณ์สื่อสารและ Social network ทำให้รู้ความเคลื่อนไหวต่างๆ ทั่วโลกและสามารถรู้ถึงข้อมูลชีวิตคนๆหนึ่งได้ภายในพริบตา”  บิ๊กกล่าว
“ท่องอินเทอร์เน็ตในยุคนี้  พบแต่ บอทเน็ต (Botnet) และสปาย (spy)  มีให้เพียบ User หน้าใหม่กว่า 100 ล้านคน ทั่วโลกพร้อมให้เรายึดครอง

“แต่เชื่อมไหมเพื่อน พอไล่เส้นทางดีๆแล้ว มีไม่กี่แก๊ง ทุกแก๊งถูกควบคุมโดยประเทศมหาอำนาจคุมอยู่  หนึ่งในนั้นคือเรา Dark Pilot  แต่เรามันยังอิสระ เราเหมือนพวกโจรสลัดอยู่ ” บิ๊กพูด เหอๆๆ เสียงหัวเราะ พร้อมดื่มไปหนึ่งจอก

“โดยเฉพาะประเทศไทย หลายแก๊งชอบนักแล อินเทอร์เน็ตเร็ว Server ที่ออนไลน์ 24×7 จำนวนมาก User กว่า 24 ล้านคนที่ออนไลน์เป็นประโยชน์กับกองทัพนิรนามมากในการโจมตีชนิดทะลวงเป้า DDoS/DoS ซึ่งเป็นเป้าหมายที่ต้องการ”

“วันก่อนมี Notice มาในกลุ่มพวกเราสื่อสารกันผ่าน Deepweb ไร้ร่องรอย ไร้ตัวตนในการตรวจจับ มีข้อมูลที่น่าสนใจคือ มีบุคคลที่ถูกหมายหัวอยู่ในโรงพยาบาลที่นายทำงานอยู่”
บิ๊กกล่าว

+++++++++++++++++++++++++++++++++++++++++++
เสริม

Botnet คือ เครื่องคอมพิวเตอร์ไม่ว่าเป็น เครื่องแม่ข่าย พีซีตั้งโต๊ะ โน็ตบุ๊ค หรือกระทั่งมือถือ ที่มีการติดเชื้อ (เครื่องที่ติดเชื้อ malware และถูกใช้เป็นเครื่องมือเรียกว่า zombie) มีการติดเชื้อมากกว่า 1 เครื่องขึ้นไปแล้วถูกใช้เป็นเครื่องมือ เรียกกลุ่มเครื่องเหล่านี้ว่า Botnet

Backdoor คือ ช่องทางการเข้าถึงข้อมูลโดยที่ผู้ใช้งานไม่รู้ตัว จะปรากฎในรูปซอฟต์แวร์ หรือมาพร้อมกับอุปกรณ์สื่อสาร หรือจะผ่าน Protocol ที่กำหนดขึ้นเอง

DDoS/DoS คือการโจมตีชนิดหนึ่งที่ พร้อมส่งข้อมูลปริมาณมากมาพร้อมๆกันจากหลายจุดไปยังเป้าหมายที่เดียว หรือ จะมีเป้าหมายหลายที่ก็ได้ เป็นการยิงเพื่อให้เป้าหมายนั้นไม่สามารถใช้งานได้อย่างปกติ เรียกว่า DDoS (Distribute Denial of Services)  หากใช้เพียงลำพังจุดเดียวเป้าหมายจะมีเพียงที่เดียวหรือเป้าหมายมีหลายที่เรียกว่า Denial of Services

Deepweb คือเว็บไซต์กลุ่มใต้ดินที่ต้องการซ่อนตัวเพื่อไม่ให้มีใครเข้าถึงได้โดยง่าย ต้องใช้โปรแกรม tor (The Onion Router) เนื่องจากการ query domain name จะแต่ต่างกับการติดต่อสื่อสารทั่วไปชื่อโดเมนเป็นชื่อที่เข้ารหัสและนามสกุล .onion  เป็นพื้นที่ Anonymous อย่างแท้จริงเพราะไม่ปรากฎบนอินเทอร์เน็ตทั่วไปที่เราใช้งานอยู่ ส่วนใหญ่เป็นของผิดกฎหมายเช่นพวกค้าของเถื่อนและพวกที่แลกเปลี่ยนฐานข้อมูลบุคคลและบัตรเครดิต ที่เรียกว่า Market place เส้นทางสายไหม (Silk Road) รวมสินค้าเถื่อนที่หาไม่ได้บนอินเทอร์เน็ต รวมถึงเป็นศูนย์รวมการบัญชาการ botnet ของเหล่าบรรดาแฮกเกอร์  ปัจจุบันทาง Deepweb เป็นที่จับตามองของ FBI และหน่วยสืบราชการลับหลายประเทศ

+++++++++++++++++++++++++++++++++++++++++

เป็นที่ต้องการตัวของแก๊ง RedFox ที่จะจ้างเราเป็นเงินสูงถึง 8 หลัก หากปลิดชีวิตคนนี้ได้ เพราะเขาเป็นผู้ก่อการร้าย ได้ข่าวว่ามีการหักหลังกัน หนีมากลบดานที่เมืองไทยมาสักพักแล้ว ทั้งแก๊ง Redfox นักค้าอาวุธ รายใหญ่ของโลก รวมถึงรัฐบาลอเมริกาก็ต้องการตัว

แต่ไอ้กันฯ นั้นมันแค่ต้องการตัวเป็นๆ กลับประเทศมัน  ส่วนแก๊งที่จะจ้าง Dark Pilot นี้ต้องการให้ตายในเมืองไทย เรื่องจะเงียบ เพราะเมืองไทยปิดปากได้ง่ายถ้ามีอะไรหลุนทับขา

“ข้อมูลแค่นี้ถึงชีวิตได้หรือไง” ราเชนถาม

“คนในกลุ่ม Dark Pilot เคยทำมาแล้วในอิหร่าน” บิ๊กตอบ

“แล้วคนไข้คนนั้นชื่ออะไร” ราเชนถาม

บิ๊กส่ายหัว

“จะบอกก็ต่อเมื่อนายรับที่จะมาร่วมงานนี้กับเรา จากนั้นต้องทำสัญญากับเรา ถ้างานสำเร็จนายรับไป 8 ล้านบาท  งานนี้มันต้องอาศัยคนในแบบนาย”

บิ๊กกำลง Social Engineering

“เงินมันเยอะนะเพื่อนสำหรับฉันตั้งตัวได้เลย  …นี้คุยเรื่องนี้ลืมเรื่องงานมิตติ้งที่จะชวนรินมาเลยหรือเปล่า ? ” ราเชนถาม พร้อมกระดกแก้ว เป็นแก้วที่ 5

“นายมันรวยอยู่แล้ว เงินพวกนี้หามาได้ นายไปทำอะไร” ราเชน ถามแล้วดื่มอีก
“อันที่จริง เงินไม่สำคัญเลย เพื่อนเอ่ย ” บิ๊กกล่าวต่อ

เราต้องการให้กลุ่ม Dark pilot  ยกระดับให้เป็นเบอร์หนึ่งในกลุ่มแฮกเกอร์ระดับโลก เรามีกัน 5 คนทุกคนก็มีภาระหน้าที่

“และอีกอย่าง เราเป็นพวกแฮกซาดิส กันทั้งทีม มาเป็นพวกเราไหมล่ะ” บิ๊กถาม

“Hacksadism”

ราเชน นั่งนิ่ง … มือจับแก้ว แล้วส่องสายตา ออกไปด้านนอกร้าน

เสียงเพลงบรรเลง saxophone ดังขึ้นในร้านซาโมกูระ  … เพลง โธ่ ผู้หญิง .. ธเนศ วรากุลนุเคราะห์ ชุดแดนศิวิไลซ์ 2528

….รักของหญิง อยากรู้จริง เป็นอย่างไร บอกว่ารัก รักแค่ไหน ไม่เข้าใจ หรือเกรงทำ
โธ่ เธอ เธอ เธอ จ๋า ทุกวาจา น่าจะจำ จะบอกให้บอกรัก รักสักกี่คำ ถึงจะจำและซึ้งใจ….

++++++++++++++++++++++++++++++++++++++++++++++

“s1n3ad”  ณ ห้องปฏิบัติการคอมพิวเตอร์โรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล

“มันเป็นภาษาจาร์กอน แฮกเกอร์ชอบใช้” ธีรานนท์กล่าวเบาๆ
“อ๊อด อย่าพิมพ์อะไรมากกว่านี้ หลักฐานเสียหมดแล้ว พี่ขอดูหน้าเครื่องหน่อย” จากนั้นธีรานนท์ เดินไปที่ห้อง IDC
ห้อง IDC ที่นี้ก็เหมือนกับทุกๆที่ คือมีประตูกระจกแล้วมีระบบ fingerprint เพื่อยืนยันตัวตนในการเข้าห้อง มีกล้องวงจรปิดด้านหน้าประตู และภายในห้องเฉพาะห้องนี้มีทั้งหมด
 3 ตัว

“User ซินแบด นี้มีใครเป็นคนสร้างหรือเป็นเจ้าของไหมครับ”  ธีรานนท์ ถามวิชัย องอาจ และอนันต์
 ทุกคนส่ายหัว พร้อมออกอาการ งงงวย

“ผมคิดว่าโรงพยาบาลคุณโดนแฮกอย่างแน่นอนแล้ว” ธีรานนท์ กล่าว

แล้วคุณองอาจ คุณคิดว่าจะแจ้งตำรวจไซเบอร์ (TCSD) เพื่อดำเนินคดีไหม ?  อ๊อดถาม
องอาจตอบ ผมคงไม่แจ้งเพราะ  หากเป็นข่าวขึ้นมา จะทำให้ความน่าเชื่อถือของโรงพยาบาลเราลดลงได้

TCSD :  Technology Crime Suppression Division กองบังคับการปราบปราบการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี  ภายใต้สำนักงานตำรวจแห่งชาติ หรือชื่อย่อภาษาไทย บก. ปอท.

“เรามีทางออกสวยๆ สำหรับเรื่องนี้ไหม?”  องอาจขอคำแนะนำ

ยังไม่มีใครตอบ
“ทันใดนั้น อุปกรณ์ Cloning Hard disk ขึ้น 100% ในการ copy image”
อ๊อดเดินเข้าไป setting ต่อ
ส่วนธีรานนท์ ดูที่หน้าจอ โดยที่มือของเขาไม่ได้สัมผัสแป้นคีย์บอร์ด ได้เพ่งมอง command cat /etc/passwd แล้วขึ้นรายชื่อ

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
libuuid:x:100:101::/var/lib/libuuid:
syslog:x:101:104::/home/syslog:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
s1n3ad:x:1001:1001:s1n3ad team,101,,:/home/s1n3ad:/bin/bash
mysql:x:105:113:MySQL Server,,,:/nonexistent:/bin/false
dnsmasq:x:106:65534:dnsmasq,,,:/var/lib/misc:/bin/false
bind:x:107:114::/var/cache/bind:/bin/false

ทางออกที่ดีที่สุด คือ ให้เว็บไซต์กลับมาดูได้ครับ
อ๊อด ดูเรื่อง services ไหนรันอยู่บ้างที แล้วถ่ายรูปไว้ก่อน
ธีรานนท์พูดกับอ๊อด  และคุณอนันต์
“file index ของเว็บอยู่ path ไหน”
อนันต์ ตอบ /var/www/html  เราใช้ Apache  เป็น Web Server ครับ “มี Mysql ในเครื่องด้วยเหรอครับ” ธีรานนท์ ถามต่อ
“ใช่ครับ” อนันต์ตอบ
อ๊อด ถ่ายภาพ services ที่รัน
แล้วเข้าไปใน path webserver ที่อนันต์บอก  “พี่นนท์ ถ้าพี่จะเก็บหลักฐานตอนนี้เยิ้นหมดแล้ว ลายนิ้วมืออ๊อดเต็มไปหมด” อ๊อดลำพึง
“ปักหมุด command ที่เริ่มของเราไว้ก่อน  และเป็นที่ทราบกันมากกว่า 2 คนแล้วว่า ส่วนที่เพิ่มขึ้นมาจากเรา ไม่ใช่อดีตของเก่า” เมื่อทุกคนที่รับรู้ อีอดบรรเลงคีย์บอร์ดต่อ
ไปที่ path web server แล้วพบว่ามี file ดังนี้

drwxrwxr-x  8 siamh siamh 4096 May  6 14:45 .
drwxrwxr-x  7 siamh siamh 4096 May  7 13:59 ..
-rw-rw-r–  1 siamh siamh  594 Mar 27 14:26 cert.der
drwxrwxr-x  2 siamh siamh 4096 Apr 30 11:45 css
-rw-rw-r–  1 siamh siamh    0 Jan  9 17:28 favicon.ico
-rw-rw-r–  1 siamh siamh  356 Jan  9 17:28 .htaccess
drwxr-xr-x  2 root    root    4096 May  6 14:47 htpasswd
drwxrwxr-x  3 siamh siamh 4096 Jan  9 17:28 img
-rw-rw-r–  1 siamh siamh 1586 Apr  9 17:28 index.php
drwxrwxr-x  2 siamh siamh 4096 May  4 13:49 js
drwxrwxr-x 11 siamh siamh 4096 Mar 27 14:27 packages
drwxr-xr-x  3 root    root    4096 May  6  15:39 index.html

“หน้าเพจหน้าแรกแก้ไขล่าสุดประมาณเดือนไหนครับ” อ๊อดถาม อนันต์
อนันต์กล่าว “ผมดูแลเฉพาะ Server เรื่องโค๊ดเว็บต้องเป็นหนุ่ม หนุ่มเป็น Web Master” “เขาไม่ได้อยู่ในห้องนี้ใช่ไหมครับ” อ๊อดกล่าว
“ใช่ครับเขาอยู่ห้องธุระการ กำลังจะโอนมาที่นี้แต่คิดว่ารอให้ตึกใหม่ที่บางนาสร้างเสร็จก่อนถึงมาอยู่ เนื่องจากห้องที่เราอยู่ปัจจุบันไม่พอรับที่นั่งได้ครับ”
“แต่คิดว่าประมาณเดือนเมษา เราแทบไม่ได้อัพเดทอะไรอีกนะ เนื่องจากมีวันหยุดยาวที่รัฐบาลประกาศตั้งแต่สงกรานต์ จนถึงเดือนพฤษภาคมนี้ล่ะครับ”
“ประมาณวันที่ 9 เมษา หรือเปล่าครับ”อ๊อดถาม   “ประมาณนั้นมั้งครับ” อนันต์ตอบ
มีไฟล์ index.php วันที่ 9 เมษา และ index.hmtl วันที่ 6 พฤษภาคม เวลา 15:39

อ๊อดต่อสายแล้วเข้าโน้ตบุ๊คส่วนตัว แล้ว SSH เข้าไปที่ Server  พร้อมทั้งบรรเลง เป็นภาษา System admin ว่า
ps -ef  <พร้อม Capture ผลลัพธ์>
service –status-all
top
last
history

ทุก command  เขาได้ capture ผลลัพธ์ ใส่ในโน้ตบุ๊คส่วนตัวของอ๊อด
เรามาดูไฟล์ที่แฮกเกอร์สร้างขึ้นกัน  index.html
รูปหัวกระโหลก พร้อมเสียงเพลงของวง AC/DC

ดูสิโค๊ดมันเป็นเช่นไร

cat index.html

“เวงกำ” อ๊อดกล่าว มันเข้ารหัสไฟล์ไว้อ่านโค๊ดไม่ออกเลย

“งั้นผม point การเรียกหน้าใหม่ให้ไปอ่าน index.php แล้วกัน” อ๊อดกล่าว

ธีรานนท์ อยู่ด้วย กล่าวว่า “Java script ตื้นๆ  ตัวนี้แกะได้ แต่นี้เวลา 12:40 น.” แล้วทำให้มันใช้ได้ก่อนแล้วกัน ไว้เมื่อเครื่องใช้งานได้อย่างปกติแล้ว ค่อยมาดู
เบื้องหลังโค๊ดที่เข้ารหัสนี้ว่ามันซ่อนอะไรอยู่บ้าง

ด้วยการบรรเลงแป้นคีย์บอร์ดของอ๊อด ไม่นานหน้าเว็บไซต์ก็กลับมาปกติ
เย้ !!! ^___^  หน้าแรกขึ้นแล้ว มาเป็นปกติแล้ว” อนันต์ดีใจ

ช้าก่อน แล้ว App ที่ ผอ. ต้องแสดงในงานล่ะ  มันยังเชื่อมต่ออยู่ไหม
App ชื่ออะไรครับ  SiamH
อ๊อดใช้ command
whereis SiamH พบว่า  /var/www/public/html/siam-h
ls -tla  ดูหน่อย  ธีรานนท์ กล่าว แล้ว capture มาดูหน่อย
อ๊อดผมเห็นแล้ว ผมขอ reboot service siam-h ใครพอมี app ตัวนี้บ้างไหมครับ ลองติดต่อสิว่าเชื่อมกับ Server ได้ไหม

“ผมมี” วิชัยเปิดมือถือตนเองขึ้น คลิก icon siam-h application โรงพยาบาล
App นี้ทำหน้าที่บอกตำแหน่งเพื่อขอความช่วยเหลือ แบบ Location base เพื่อแจ้งพิกัด และ สามารถ conference คุยกับหมอได้
“ใช้งานได้ครับ ตอนนี้มีอาจารย์หมอสมศรีออนไลน์ด้วย พร้อมให้ความช่วยเหลือ”
ดีครับก่อนหน้านี้ผมติดต่อ app นี้ไม่ได้นะตอนนี้กลับมาใช้งานได้ปกติแล้ว

เย้ๆๆ !!  รอดแล้วพวกเรา  วิชัย  องอาจ และ อนันต์ ทั้ง 3 ยืนกอดกัน ประหนึ่งเชียร์ฟุตบอล

ธีรานนท์ มองเห็นว่า “มี process ในเครื่องที่มีการซ่อนอยู่นะ  เหมือนมีอะไร query ข้อมูลตลอด  ดูสิ Network interface กระพิบบ่อยๆ เหมือนมี traffic วิ่งอยู่ตลอด เปิดโปรแกรมแค่นี้ ทำไม CPU มันขึ้นนะ”

“แล้วต้องทำอย่างไงต่อดีล่ะ” องอาจ

“ประคองอาการไม่ให้ services web server down และ ไม่ให้ app ขาดการติดต่อ”

“งานเลิกกี่โมงครับ” ธีรานนท์ถาม

“ไม่แน่ใจ นันต์ เอ๊งลองโทรไปหา หมวย ทีสิ” “ใครเพ่ หมวย” อนันต์กาเกงฟิตยืนถาม  “ก็หน้าห้องผู้อำนวยการไง เอ๊านี้โทรไปถามทีว่างานเลิกกี่โมง”

“ได้ครับ”

ระหว่างรอคำตอบ

องอาจกล่าว “ขอบใจพวกเรามากนะ นับว่าเป็นปฏิบัติการกู้ภัยที่ฉุกเฉินสุดๆ งานหนึ่งในชีวิตผมเลยก็ว่าได้ แต่ไม่ได้หมายความว่างานนี้จะจบแล้วนะคุณต้องไปช่วยสืบหาแฮกเกอร์ให้ผมด้วย”

“ถ้าคุณจะเอาคน (ผู้กระทำความผิด) มาลงโทษเลย ต้องร่วมกับตำรวจไซเบอร์ คุณต้องแจ้งความ  แต่ถ้าเอาแค่เบาะแสได้ IP ต้องสงสัย นี้ผมพอหาให้ได้อยู่แล้ว”
ธีรานนท์กล่าว

“ร่องรอยที่พบในหลักฐาน จะสะท้อน แรงจูงใจ (Motivation) ในการกระทำเสมอ”
ธีรานนท์กล่าว
ดังนั้นการสืบมิใช่ทางเทคนิคอย่างเดียวจะได้คำตอบ

องอาจใตร่ตรอง “นายว่าไงวิชัย  เรื่องนี้ไปถึงตำรวจหรือเปล่า ?”
“ผมว่ามันจะใหญ่ไปนะ” วิชัยตอบ
แล้วพวกเราจะตอบ ผอ. อย่างไง ? กับเรื่องที่เกิดขึ้น ??

“พี่เขาเลิกบ่ายสองครึ่งครับ” อนันต์กล่าว  ขณะนี้เวลา 13:05 นาที  หันไปอีกที ไม่พบ รินและพุกแล้ว

“หิวข้าวกันหรือยังครับ” องอาจกล่าว   นันต์เอ๊งไปซื้อข่าวให้พี่หน่อยล่ะกัน ที่โรงอาหารเราเนี้ย
เอ๊า มื้อนี้ผมเลี้ยงเอง นั่งกินกันที่นี้แหละ”  องอาจกล่าวอย่างผู้นำ
“กระดาษมาจดมาครับ พี่ๆผมไปซื้อให้”
อนันต์รับเงินจากองอาจ จำนวน 300 บาท   อนันต์ทำตา o_O  พี่จะพอเหรอครับ  ตั้ง 5 คนนะเพ่

“ตอนนี้ตรูมีเท่านี้หว่า  ต้องไปกดเงินก่อน หากเกินงบ เอ๊งออกไปก่อน  …”  องอาจกล่าวแบบไม่อาย

เสียงเปิดประตูดังขึ้น  ราเชน (หนุ่ม) เดินเข้ามาที่ห้องคอมพ์ฯ
“สวัสดีครับพี่องอาจ” ได้ข่าวว่าโดนเจาะเหรอครับ เป็นไงบ้าง มีอะไรให้ผมช่วยหรือเปล่า? ราเชนกล่าว

=++++++++++++++++++++++++++++

ท่ามกลางอากาศร้อนอบอ้าว มีเพียงสายลมจากพัดลมติดข้างเสา ณ. ศูนย์อาหารเมืองทองธานี พัดส่ายไปส่ายมา
เวลายามนี้คือ 19:30 น ของวันที่ 24 เมษายน 2558

“กระเพาหมูสับใส่ไข่ดาวสุกค่ะ” เสียงพุกสั่งอาหาร
“รินเธอเอาน้ำอะไร เดี๋ยวชั้นไปซื้อ”
“น้ำเปล่าแล้วกันจ๊ะ” ศิรินท์ตอบ
ทั้งคู่มาทานอาหารที่นี้เป็นประจำ เนื่องจากพุกพักอยู่คอนโดแถวนี้กับคุณแม่
ส่วนศิรินท์พักที่บ้านแถวดอนเมือง ก็ถือว่าไม่ไกลจากที่พักของพุก ทั้งคู่ดูสนิทกันดี

เมื่อทั้งคู่ได้อาหารที่สั่งหมดแล้ว ที่โต๊ะนั่ง
“รัฐบาลประกาศอาทิตย์หน้าเป็นวันหยุดยาว ตั้งแต่ 1 – 5 พค นี้ เห็นว่าโรงพยาบาลให้ฝ่ายไอทีหยุดนะ รวมทั้งวันที่ 4 พค ด้วย หากไอทีหยุดเราก็ต้องหยุดด้วยเพราะเข้าห้องทำงานไม่ได้ โผล่มาอีกก็วันที่ 6 พค เลยล่ะ ถือว่าหยุดยาวเลยนะ”
“เธอมีแผนไปเที่ยวที่ไหนหรือเปล่า” พุกถาม
“วันที่ 2 นี้เรามีบัตรเชิญไปที่ร้านอาหารแห่งหนึ่ง ส่วนวันอื่นๆ คงไม่ได้ไปไหนเพราะช่วงสงกรานต์ไปมาแล้วกับครอบครัว ไปด้วยกันไหมพุก” รินตอบ
พุก “ขอดูก่อนนะน่าสนุกดีนะ ร้าน ชื่ออะไรอ่ะ

“ซาโมกูระ” รินตอบ “เฮ้มันญี่ปุ่นเลยนะ” พุกตอบ  อยู่ที่ไหน ?

 “สีลม” รินตอบ

“ครั้งแรกก็ไม่คิดอยากจะไปหลอกแต่ที่ถูกเชิญมีเพื่อนสมัยเรียนวิศวะคอมฯ ที่เกษตรศาสตร์ อยู่ด้วยล่ะ  เลยไปก็ไป แล้วพุกล่ะมีแผนไปเที่ยวไหนไหมล่ะ ?” พุกตอบ

“คงไม่ได้ไปไหนล่ะจ้า ช่วงนี้ต้องประหยัดการใช้จ่าย”  รินยิ้ม ตอนนั้นต้นเดือนอยู่นะ คติประจำใจของพวกเรา ต้นเดือนกินหรู กลางเดือน sameๆ ปลายเดือนยาจก มิใช่เหรอ ? อิอิ

พุกถามต่อว่า “ที่ ซาโมกูระนั้นมีอะไร ?” รินยังไม่ทันได้เอ่ยตอบ ก็ได้ยินเสียง

“ขอนั่งด้วยคนได้ไหมครับ” เสียงหนุ่ม ราเชน  โปรแกรมเมอร์ผู้ที่เขียนเว็บไซต์ให้กับทางโรงพยาบาลฯ พร้อมยกจานอาหารมาวางที่โต๊ะ

หนุ่ม ราเชน คนนี้ตามจีบศิรินท์อยู่ มาระยะหนึ่งแล้ว
แล้วราเชน(หนุ่ม) กล่าวต่อไปว่า “อาทิตย์ต้นเดือนหน้ามีวันหยุดยาวนะครับรัฐบาลประกาศ โรงพยาบาลเราเห็นชอบในหลักการ ไอทีเราหยุดด้วยครับ
ไม่ทราบว่าใครยังว่างอยู่ไหมครับ?”

ทั้ง 3 คนได้พูดคุุยกัน เวลาผ่านไปครึ่งชั่วโมง ทุกคนแยกย้ายกันกลับบ้าน

พุกเดินข้ามถนนเพื่อไปยังคอนโดที่พักตนเอง ขณะที่พุกขึ้นลิฟท์ไปที่ชั้น 8 อันเป็นที่พักของตนอยู่กับแม่ลำพังเพียง 2 คน สังเกตเห็นว่ามีชายหนุ่มรูปร่างกำยำ 2 คน ใส่ชุดดำ ติดตามเธอมาด้วย พุกจึงวิ่งเข้าห้อง

“แม่ ๆ มีคนตามมา” พุกกล่าว

สักครู่ไม่นานได้ยินเสียงอ๊อด ดังขึ้นที่ห้อง
“ติ๋งต๋อง” 3 ครั้ง   พุกเหลือบดูที่ช่องรูเข็มที่บานประตู พบชายทั้ง 2 ยืนอยู่หน้าห้อง

แม่ พกมือถือเตรียมโทรแจ้ง รปภ  คอนโด  “เขาเข้ามาได้ไง ที่นี้ให้เฉพาะคนในเข้าได้” แม่พุกถามด้วยความสงสัย

พุกเตรียมเปิดประตู บอกแม่ว่าถ้าเห็นท่าไม่ดีให้โทรแจ้ง รปภ และตำรวจ  พุกเปิดประตูออก

“พวกคุณมีธุระอะไร” พุกถาม

ชาย 2 ยื่นจดหมายให้พุก แล้วบอกว่า  “เรามาทวงเงิน” จากเสี่ยขาว

“คุณค้างเงินที่กู้จากนายเรากว่า 5 เดือน” แล้วสิ้นเดือนนี้ คุณต้องจ่ายมา ไม่งั้นคุณเจ็บ” พวกเรามาเตือนคุณไว้ก่อน

อย่าลืม วันที่ 30 นี้คุณต้องจ่าย ยอดที่ค้างรวมดอกแล้ว 45,000 บาท

“จดหมายนี้เป็นรายละเอียดที่คุณต้องทำตามการจ่ายเงินให้ตรงเวลา เมื่อไม่ตรงตามนัด อย่าหาว่าเราไม่เตือน”

ชายทั้งคู่เดินจากไป

พุกสวมกอดแม่ นั่งคุกเข่าที่ห้อง เนื้อหัวสั่น ด้วยความกลัว  พุกร้องไห้ แล้วพูดเบาๆว่า “แม่ลูกไม่น่าไปยืมเงินนอกระบบเลย…”
“ไม่เป็นไร ไม่เป็นไร ลูกเรื่องมันเกิดขึ้นแล้วเราต้องหาทางแก้ไข”

++++++++++++++++++++++++++++++++++++++++++++++++++++
แนะนำตัวละคร
ร้านซาโมกูระ  เป็นร้านอาหาร ที่ไม่เชิญคนทั่วไปมาที่ร้าน ต้องมีบัตรเชิญ ส่วนใหญ่เน้นเครื่องดื่มและการฟังเพลง ประเภทเพลงส่วนใหญ่เป็นเพลง Rock 80 บิ๊กและกลุ่มเพื่อนไฮไซ เป็นเจ้าของร้าน
ร้านนี้ในวงการแฮกเกอร์ระดับโลกจะรู้จักกัน และชอบมาที่นี้เพื่อแลกเปลี่ยนความรู้ ไม่เฉพาะคนไทยแต่มีต่างชาติมาร้านนี้ด้วย อยู่ย่านสีลม เป็นตึกสูง 10 ชั้น ร้านอยู่ชั้นที่ 10

บิ๊ก สุธีย์  เจ้าของร้านซาโมกูระ  ผู้คลั่งไคล้การแฮก อยู่ในกลุ่มแฮกเกอร์ที่ชื่อ Dark Pilot  ที่มีเครือข่ายอยู่ทั่วโลก มีความต้องการให้กลุ่มแฮกเกอร์ของตนเป็นเบอร์ 1 ในวงการ  ที่มามีฐานะในระดับเศรษฐี มีธุรกิจที่ทำหลักของร้านอาหารและอสิงหาริมทรัพย์ ขายที่ดิน เช่าที่ดิน สร้างตึก คอนโด เป็นต้น
เป็นเพื่อนสมัยเรียนวิศวะเกษตร กับราเชน หนุ่ม

หนุ่ม ราเชน เพื่อนกับบิ๊ก ทำงานเป็นโปรแกรมเมอร์โรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล  ชอบมานั่งดื่มกินที่ร้านบิ๊กทุกๆ คืนวันเสาร์  เขาจบจาก MIT มหาวิทยาลัยชั้นนำของโลก ด้านซอฟต์แวร์ประยุกต์ เมื่อกลับมาถึงประเทศไทย มีบริษัทต้องการให้เขามาทำงานหลายที่ แต่ที่แรกที่เรียกเขาทำงานคือโรงพยาบาลสยามเฮลป็ฮอสพิทอล เขาไม่ได้คิดอะไรมากจึงทำงานมากว่า 5 เดือนแล้ว ในระหว่างที่ทำงานเขาได้รู้จักบริษัท Odyssey soft  ที่มาพัฒนาโปรแกรม ERP ให้ ทาง Odyssey soft สนใจในตัวเขา และเขาได้พบศิรินท์หญิงสาวที่เขาหลงรักมาในสมัยเรียนมหาวิทยาลัย

พุก  พีระวัฒน์ เป็นเพื่อนศิรินท์ (ริน)  เป็นชายแต่ค่อนไปทางผู้หญิง (เพศที่3) พุกมีฐานะยากจน อยู่ลำพังกับแม่ ที่แม่ไม่ได้ทำงานอะไร รายได้มาจากพุก และพุกเป็นหนี้นอกระบบอยู่ ที่เป็นหนี้ก็เพราะต้องการนำเงินไปรักษาดวงตาให้แม่ เมื่อทำการผ่าตัดเสร็จสิ้นแล้ว พุกกะว่าจะหาจ๊อบพิเศษทำเพื่อหาเงินคืนเนื่องจากดอกเบี้ยสูงมาก ทบต้นทบหน้าทบหลังทำให้พุกเริ่มหมดปัญญาชักหน้าไม่ถึงหลัง

เสี่ยขาว นักปล่อยเงินกู้นอกระบบ เป็นที่จักกันดีในย่านเมืองนนท์ ว่าเป็นคนที่ปล่อยเงินง่าย มีกลุ่มอัธพาลหัวไม้เป็นลูกน้องเสี่ยขาวมากมาย ไว้ทวงหนี้หากจ่ายชำระไม่ตรงเวลา
ที่สำคัญเสี่ยขาวเป็นลูกค้าที่โรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล มาตรวจสุขภาพทุกปีที่นี้

redFox องค์กรค้าอาวุธเถื่อน ที่มีอิธพลต่อกลุ่มนายทุนในหลายประเทศ เป็นองค์กรที่ร่ำรวยมาก

+++++++++++++++++++++++++++++++++++++++++++++++

 อ่านตอนจบที่  http://nontawattalk.sran.org/2015/06/hacker-here-4.html

สงวนลิขสิทธิ์ SRAN Technology (www.sran.net)
นนทวรรธนะ  สาระมาน
Nontawattana  Saraman

ผู้เขียน
11/05/58

Digital Holes : ตอน Hacker Here ที่นี้มีแฮกเกอร์ ตอนที่ 2 

เวลาขณะนี้ 11:05 น. 
“ส่วนคุณนนท์ ภายใน 2 ชั่วโมงนี้หากคุณช่วยเราได้ ดังนี้
(1) Web Server อันมี Application ที่ ผอ. และคณะ จำเป็นใช้เพื่อสาธิตการให้บริการประชาชน กับมาใช้งานได้อย่างปกติ
(2) หน้าเว็บไซต์หลักของโรงพยาบาลกลับมาใช้งานได้ปกติ
(3) หาสาเหตุของการที่ Web Server ทำงานผิดปกติ
(4) แนะนำทางแก้ไขเพื่อไม่เกิดปัญหานี้อีก

ผมมี งบค้างท่ออยู่ จำนวนไม่มาก ประมาณ 40,000 บาท คุณจะขอมากกว่านี้คงไม่ได้เพราะทางผมมีให้แค่นี้ แต่หากคุณช่วยเราไม่ได้ตามข้อที่กล่าวมาเงินก้อนนี้จะจ่ายเพียงค่าน้ำมันให้คุณเท่านั้น ส่วนอาหาร น้ำดื่มนั้นวันนี้ผมเลี้ยงพวกคุณเอง โทษทีนะวงเงินนี้ผมอนุุมัติได้ เซ็นได้เลยถ้าไปมากกว่านี้เรื่องจะยาวแล้ว” องอาจ พูด ด้วยน้ำเสียงชัดเจน สมเป็นหัวหน้าแก๊ง

ธีรานนท์คิด “องอาจ นี้เขาชัดเจนดี ส่วนใหญ่ที่เจอให้เราทำก่อนทุกที งบประมาณค่าจ้างอะไรไม่เคยคุยกลางที่ประชุมให้คนอื่นรับรู้ด้วย ไม่ก็ตั้งงบปีหน้าไปโน้นเลย  หรือโดนใช้งานฟรี เสมือนมูลนิธิอย่างไงอย่างงั้น”

ธีรานนท์ กล่าวขึ้นมาว่า  “พวกเราได้เลือกมาอยู่ที่นี้แล้ว และทางคุณองอาจ ก็ไว้ใจให้เรามาทำงานนี้ ผมรับทำโดยไม่ต่อรองใดๆ”
“ภายใน 2 ชั่วโมง ต่อจากนี้ผมจะแก้ไขปัญหาที่พวกคุณประสบอยู่ให้กลับมาใช้งานได้อย่างปกติ”  ธีรานนท์ กล่าว

เมื่อทุกคนได้ฟังเช่น จากสีหน้าที่เคร่งเคลียด กลับเปลี่ยนเป็นมีความหวังขึ้น

ธีรานนท์กล่าว “เริ่มงานแจกแจงงานเป็น 2 ส่วน คือการ Recovery และ Analysis
(1) Recovery ให้หาจอมาต่อที่หน้าเครื่อง Web Server และให้ boot OS ผ่าน USB (เป็นเครื่องมือหากินของทาง Ghostnet Buster Team :GBT)
จากนั้นเมื่อเข้า OS (Operating System) ได้แล้ว  ทางเราจะทำการขอ cloning Harddisk เครื่องนี้ด้วย  เราจะไม่ทำอะไรกับเครื่อง Web Server จริง เผื่อว่าทางนี้ต้องการ
หาผู้กระทำผิดมาลงโทษตามกฎหมาย ก็จะได้คงเหลือหลักฐานทางดิจิทัลเพื่อให้ตำรวจได้
ส่วนนี้อ๊อด ลุยได้เลย”

(2) Analysis วิเคราะห์เส้นทางการติดต่อสื่อสาร และ export log จาก อุปกรณ์ Log management มาดูอย่างน้อยต้องดูย้อนหลังได้ 90 วัน ตามกฎหมายกำหนด
“ส่วน Analysis  ขอคนที่รู้แผนผังระบบเครือข่ายและการเชื่อมต่ออินเทอร์เน็ตทั้งหมด ของโรงพยาบาลที่นี้มา และ Log ที่คุณส่งค่ามามาจากอุปกรณ์ไหนบ้างนั้น มาคุยกับผม”
ธีรานนท์พูดต่อ

ธีรานนท์คนนี้ ทุกเช้า เขามักจะชอบมานั่งอ่าน Log เป็นประจำ ปกติเขาตื่นประมาณ ตี5 ของทุกวัน เริ่มต้นจากการอ่าน Log ที่เกิดจากระบบ Honeynet
ที่เขาสร้างขึ้นในหลายประเทศเป็น VPS กระจายไปที่อเมริกา อังกฤษ ญี่ปุ่น สิงค์โปร และประเทศไทย เขาสร้าง sandbox ประเภท malware analystic
เพื่อศึกษาการโจมตีทางไซเบอร์ (Cyber Attack) โดยเฉพาะรูปแบบการโจมตีที่เรียกว่า APT (Advance Presistance Threat)
ที่เขาสังเกตว่ามีมากขึ้นเรื่อยๆจากกองทัพไซเบอร์ไร้ที่ไร้ตัวตน (Anoymous) เมื่อพบ log file ที่มีรูปแบบที่น่าสนใจ เขาก็นำเข้าสู่กระบวนการวิเคราะห์ผ่าน Packet sniffer
แล้วเขานำมาเขียนเป็น signature เพื่อสร้าง rule ในการป้องกัน เช่น snort , suricata , bro-ids และ yara ซึ่งเขามีทักษะการเขียน rule ได้เป็นอย่างดี
รวมทั้งเขาอยู่ในกลุ่ม community IOC (Indicator of Compromise) ที่ทำให้เขารู้ว่า รูปแบบของโจมตีได้อย่างแม่นยำและถูกต้องมากขึ้น

ทั้งหมดนี้ถือว่าเป็นงานอดิเรกที่เขาด้วยความเต็มใจ และมีความสุขที่ได้ ได้เรียนรู้ อันสร้างความแข็งแกร่งในตัวเขาอย่างต่อเนื่องมาถึงทุกวันนี้
จนเขายึดเป็นอาชีพอันสุจริตที่หาเลี้ยงชีพตอนเองได้มาจนถึงทุกวันนี้

พูดง่ายๆว่าที่รายได้ส่วนหนึ่งให้บริษัท Ghostnet Buster Team (GBT) อยู่รอดได้ ก็มาจากเขาในการส่ง signature เข้าโรงงานอุตสาหกรรมด้านระบบรักษาความมั่นคงปลอดภัยทางข้อมูล
ให้กับบริษัทยักษ์ใหญ่ ซึ่งเป็นบริษัทข้ามชาตินี้เอง

++++++++++++++++++++++++++++++++
เสริม
Honeynet คือ การสร้าง Honeypot รวมกันให้กลายเป็นระบบเครือข่าย โดย Honeypot นั้นจะเป็นการสร้าง OS หรือ Application ที่รันอยู่ให้มีช่องโหว่ตาม
CVE (Common Vulnerability and Exposures หน่วยงานที่ประกาศและกำหนดหมายเลขช่องโหว่ที่ค้นพบ ส่วนใหญ่หาก CVE ประกาศแล้วหน่วยงานไหน
ที่ยังมีช่องโหว่นั้น ก็จะไม่มีความปลอดภัย เพื่อถือว่าช่องโหว่นี้เป็นที่รับรู้กันทางสาธาระแล้ว) honeynet ยังคงอยู่ในรูปแบบ VM (Virual Machine)
สร้างเครื่องเสมือนมากกว่า 1 เครื่องแล้วจำลองให้เป็นระบบเครือข่ายภายในคอมพิวเตอร์ตัวเดียวก็ได้ ซึ่งเป็นเทคนิคที่ธีรานนท์ ทำขึ้นในการติดตั้งหลายประเทศ

VPS: Virtual Private Server คือ VM ประเภทหนึ่งที่ผู้ให้บริการติดตั้งผ่านระบบ Cloud computer ให้เรา creat (สร้าง) จาก image OS ที่ต้องการแล้วรันในเครื่องพร้อมทั้ง
ค่า IP Address ที่เป็น Public เพื่อใช้ในการติดต่อสื่อสาร

snort : โปรแกรม IDS (Intrusion Detection System) เป็น Open source เป็นที่นิยมใช้งานมากที่สุด ปัจจุบันบริษัท SourceFire เป็นผู้ดูแลและ
ล่าสุดบริษัท Cisco บริษัทยักษ์ใหญ่ในการทำระบบเครือข่ายได้เข้ามาควบรวมกิจการกับ SourceFire ขึ้น มีการทำเป็นผลิตภัณฑ์อุปกรณ์ตรวจจับในเชิงพาณิชย์มากขึ้น  www.snort.org

suricata : โปรแกรม IDS(Intrusion Detection System) เป็น Open source ได้รับความนิยมมากขึ้นและการทำงานเหมือน snort การเขียน rule ก็เหมือนกันไว้เป็นการทดแทน
snort ได้ระดับหนึ่ง   www.suricata-ids.org

bro-ids : เป็นโปรแกรม IDS อีกประเภทหนึ่ง ซึ่งเป็นตัวที่เก่าแก่ที่สุดและมีพัฒนาการช้าที่สุด แต่ในช่วงปี 2011 เป็นต้นมาเริ่มได้รับความนิยมมากขึ้น ทางเลือกสำหรับ hardcore IDS เนื่องจาก rule ที่เขียนค่อนข้างอิสระและทำอะไรได้มาก เป็นตัวที่เล่นยากเอกสารอ่านยังถือว่าน้อยอยู่

ทั้ง 3 โปรแกรมส่วนใหญ่ใช้มาในงาน Network Security Monitoring (NSM)

yara : โปรแกรมวิเคราะห์พฤติกรรมการติดเชื้อมัลแวร์ (Malware) โดยสามารถเขียนเป็น rule base เพื่อเพิ่มการตรวจจับ เป็นพื้นฐานของโปรแกรมแอนตี้ไวรัสในยุคใหม่

sandbox : คือ การจำลองระบบปฏิบัติการเสมือนซ้อนเข้าไปกับระบบปฏิบัตการจริง (Operating system) ใช้ในการวิเคราะห์ว่าพฤติกรรมการต่างๆได้ดีโดยไม่มีผลกับระบบปฏิบัติการจริงที่เป็นอยู่ จึงนำมาเป็นตัววิเคราะห์พวก Malware และ ไวรัสคอมพิวเตอร์ ที่ใช้ในงานวิจัยและพัฒนา sandbox นำมาประยุกต์ใช้กับเทคโนโลยีการวิเคราะห์ Malware แบบไม่ต้องใช้ฐานข้อมูลจาก signature ได้

APT (Advance Presistance Threat) การโจมตีที่เจาะจงเป้าหมาย และมีจุดประสงค์ชัดเจนในการโจมตีเพื่อเข้าถึงระบบ เช่น ต้องการได้ข้อมูลที่สำคัญขององค์กร ขโมยข้อมูลเพื่อนำขายในตลาดมืด หรือเผยแพร่ทางสื่อออนไลน์เพื่อสร้างความเสียหายหรือการใช้ระบบเครือข่ายหรือเครื่องคอมพิวเตอร์แม่ข่ายที่สำคัญมาใช้งานเพื่อสร้างความเสียหายหรือโยนการกระทำความผิดนั้นให้องค์กรหรือหน่วยงานนั้น
ถือว่าเป็นภัยคุกคามที่มีแฮกเกอร์วางแผนอยู่เบื้องหลัง

sniffer คือโปรแกรมในการดักรับข้อมูลบนระบบเครือข่ายคอมพิวเตอร์  การใช้ sniffer สามารถมองเห็นข้อมูลที่ไม่มีการเข้ารหัสได้ทั้งหมด  ดังนั้นการตีความ sniffer
ต้องดูที่เจตนาผู้ใช้งาน หากต้องการใช้ sniffer เพื่อการวิเคราะห์ หรือจัดทำการเขียน signature ก็เป็นอาชีพที่ต่างประเทศทำกันมักจะมีมูลค่าในการทำงานในส่วนนี้พอสมควร
ส่วนเจตนาใช้ sniffer ดักจับข้อมูลที่เป็น plain text หรือไม่มีการเข้ารหัส  โดยมุ่งเน้นเป็นข้อมูลส่วนตัว หรือ ข้อมูลความลับ เช่น password ส่วนนี้จะเข้าข่ายการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ได้ ดังนั้นจึงต้องแยกแยะในการใช้งาน sniffer ด้วย

IOC (Indicator of Compromise) ค่าบ่งขี้เพื่อบอกได้ว่ามีการโจมตี (Cyber Attack) เกิดขึ้นจริง ซึ่งอาจนำค่า Log จากอุปกรณ์ พวก NSM หรือ SIEM /Log management มาเปรียบเทียบเหตุการณ์ที่เกิดขึ้นว่ามีโอกาสถูกโจมตีหรือไม่  ซึ่งค่า IOC เป็นการบ่งชี้ที่ค่อนข้างแน่ชัดว่าเกิดเหตุการณ์นั้นอย่างแท้จริง และยังสามารถระบุค่าไอพีแอดเดรสผู้โจมตีและเครื่องที่ถูกโจมตีได้อีกด้วย

++++++++++++++++++++++++++++++++++++++++

“ส่วนคุณองอาจ ช่วยกรอกข้อมูลบน Incident Response Report Form เพื่อเป็นหลักฐานว่ามีการปฏิบัติงานนี้ขึ้นมาแล้ว” ธีรานนท์ หยิบกระดาษในแฟ้มออกมาจากเป้สะพาย .. แล้วยื่นให้องอาจ กรอกข้อมูล

11:20 น.  ทุกคนรับแผนการของธีรานนท์

อนันต์นำอ๊อดไปต่อจอในห้อง IDC ที่อยู่ข้างๆ  ส่วนวิชัยถึงแม้จะดูเรื่องระบบ account username แต่เขาก็เป็นผู้รู้ช่องทางการติดต่อสื่อสารของโรงพยาบาลนี้ทั้งหมด และเขามีไฟล์แผนผังระบบเครือข่าย

“พี่เชิญทางนี้ครับ” วิชัยกล่าว แล้วพาธีรานนท์เข้าที่โต๊ะ
เปิด file Network diagram ที่มีการ update เมื่อวันที่ 3 กุมภาพันธ์ 2558

“เรามีเส้นทางเชื่อมต่ออินเทอร์เน็ต  2 เส้นทาง ทำเป็น Load balancer โดยทำการเชื่อมต่ออินเทอร์เน็ตบริษัท True Internet ใช้เทคนิค DSL และ 3BB Broadband เป็น FTTX
ส่วน Broder Network เราทำ Load Balancer ผ่านอุปกรณ์ Firewall แล้ว router ที่ทาง ISP ให้มาเราทำเป็น Bridge mode การ Authentication PPPoE เราให้ Firewall จัดการ
เรามี Firewall 2 ตัว ทำงานแบบ HA (High Availability) แบบ active – active  มีค่า IP Address ที่เป็น Public 2 ค่าคือที่ได้จาก True และ 3BB นั้นเอง

Firewall เราทำหน้าที่แบ่งระบบเครือข่าย ออกเป็น WAN  LAN และ DMZ   ส่วน WAN ของเรามีการให้ remote VPN จากภายนอกเข้าได้  แต่จำกัดสิทธิมาก และมีการระบุตัวตน two factor
โดยต้องใช้อุปกรณ์ token มาใช้ร่วมด้วย ส่วน LAN เราประกอบด้วย 4 VLAN ตามแผนกงานในโรงพยาบาล และ DMZ เรามีติดต่อโลกภายนอก (อินเทอร์เน็ต) อยู่ 4 เครื่อง  และ 6 เครื่อง Server นั้นอยู่ใน LAN ที่เป็น Secure zone ”  วิชัย กล่าวโดยไม่ต้องใช้โพยใดๆ
ธีรานนท์ ถามต่อ “ที่โรงพยาบาลนี้มีสาขาไหมครับ คือมีอยู่ที่อื่นนอกจากที่นี้ไหมครับ”
วิชัยตอบ “ตอนนี้ยังไม่มี มีที่นี้ที่เดียวแต่ปีหน้าเรามีแผนที่ต้องเชื่อมระบบกับที่ บางนา เราสร้างตึกใหม่เสร็จ เป็นอาคาร Hi-tech ใช้เงินลงทุนกว่า 3,000 ล้านบาท
แต่ระบบสื่อสารยังไม่เชื่อมและยังไม่เปิดใช้บริการครับ อยู่ในระหว่างก่อสร้าง เมื่อสร้างเสร็จทางโรงพยาบาลมีแผนให้เป็น hub ด้านการรักษาพยาบาลรองรับ AEC เพราะลงโรงพยาบาลอยู่ใกล้
สนามบินสุวรรณภูมิครับ” วิชัยกล่าว

“โอ้ !!! ผมเคยเห็น” อ๊อด แทรก ระหว่างที่อ๊อดจัดเตรียมเครื่องเพื่อเข้าไปห้อง IDC กับ อนันต์  อ๊อดเดินหย่องๆ ราวกับพิงค์แพนเตอร์หนีเมีย มาแอบฟังการสนทนา “ผมเคยขับรถผ่าน ผมนึกว่าห้างสรรพสินค้าใหญ่มากครับ ไม่น่าเชื่อว่าเป็นโรงพยาบาล” อ๊อดกล่าว  และเดินเข้าห้อง IDC ต่อไป

ธีรานนท์ ถามต่อ “ช่วยขยายความโซนทั้ง 4 ที่ถูกแบ่งด้วย VLAN ได้ไหมครับ” พร้อมใช้ปากกาจดบันทึกข้อมูลลงในสมุดโน้ต

วิชัย ผมคงบอกได้คราวๆ นะครับ คือไม่บอกเจาะจงเป็นค่าไอพี แต่จะบอกเป็นช่วงไอพีแล้วกัน 4 โซนนั้น

ประกอบด้วย
Zone 1 System Admin คือของห้องนี้  โซนนี้มี Policy ที่ค่อนข้างเปิด เพื่อให้พวกเราทำงานได้อย่างสะดวกครับ   IP อยู่ที่ 172.16.5.0/24
และเรานำ Server สำคัญมาอยู่ที่นี้ด้วย

Zone 2 Out Source  ประกอบด้วย 2 ย่านไอพี แต่เข้าถึงกัน คือสำหรับโปรแกรมจากบริษัทนอกมาพัฒนาซอฟต์แวร์ IP อยู่ที่ 192.168.1.0/24 และ กลุ่มงาน Help Desk support
อยู่ที่ 192.168.2.0/24  Policy มีความเข้มข้นขึ้นครับคือมีการจำกัดสิทธิในการเข้าถึงข้อมูล

Zone 3 พนักงานทั่วไปของโรงพยาบาล เช่น ทรัพยากรบุคคล (10.10.1.0/24) , บัญชี (10.10.2.0/24) , เจ้าหน้าที่ธุรการ (10.10.3.0/24) , พยาบาล (10.10.4.0/24)
ตรงนี้เราคุมเข้มครับแม้แต่ USB ก็เสียบไม่ได้ ลงซอฟต์แวร์อะไรไม่ได้เลย  เรากลัวเรื่องไวรัสคอมพิวเตอร์ IP 10.10.10.0/24

Zone 4 สำหรับผู้บริหาร รวมทั้งคุณหมอ ที่เป็นพนักงานประจำที่นี้และไม่ประจำ (172.16.2.0/24)  ตรงนี้เราค่อนข้างปล่อยเหมือนกันครับ ไม่อยากมีปัญหากับท่านๆ อิอิ

แต่ละโซนเราใช้ subnet  เป็น class C หมดครับ และทุกโซนถูกควบคุมด้วย AD (Active Directory) ด้วยกัน 2 ตัวทำ HA (Hight Availability)  AD ตัวนี้ใช้ Windows Server 2008
กำหนด Policy โดยผ่านการ Audit และการประเมินความเสี่ยงตาม Compliance HIPAA ด้วยครับ
วิชัยตอบ ราวกับร่วมอยู่ในการทำงานมาโดยตลอด
ธีรานนท์ ทำการขีดเขียนวาดรูปตามความเข้าใจ และนั่งนิ่งพิจารณาถึง flow ของการติดต่อสื่อสาร

++++++++++++++++++++++++++++++++++++++
เสริม
HIPAA Compliance คือ มาตรฐานด้านความมั่นคงปลอดภัยทางข้อมูลประเภทสำหรับผู้ให้บริการทางการแพทย์ซึ่งในประเทศสหรัฐอเมริกาจัดเป็นกฎหมายที่ต้องให้ความสำคัญข้อมูลส่วนบุคคลสำหรับการแพทย์การรักษาพยาบาล เช่น ข้อมูลทางการแพทย์ กรุ๊ปเลือด รหัสทางพันธ์กรรม ซึ่งนำเข้าสู่ระบบคอมพิวเตอร์และเป็นข้อมูลที่ต้องมีระบบรักษาความมั่นคงปลอดภัยที่ดีพอ เพราะบางข้อมูลอาจส่งผลต่อชีวิตของผู้ใช้บริการได้ กฎหมายนี้ชื่อเต็มว่า “Health Insurance Portability and Accountability Act” เมืองไทยยังไม่มีการบังคับใช้มาตรฐานตัวนี้

ห้อง IDC : Internet Data Center เป็นห้องที่สำคัญคือเป็นศูนย์กลางการเชื่อมต่อข้อมูลทั้งหมดของโรงพยาบาลนี้ ทั้งที่เก็บ Server เครื่องแม่ข่ายที่สำคัญ ระบบอินเทอร์เน็ต และการสื่อสารทั้งชุมสายที่โทรติดต่อภายในหน่วยงาน รวมอยู่ที่นี้

++++++++++++++++++++++++++++++++++++++

แล้วธีรานนท์ ถามต่อว่า “แล้วระบบ Wifi ล่ะครับ?”
อ๋อผมลืม วิชัยกล่าว “Wifi ทางผู้บริหารต้องการให้เป็น Free Wifi เพื่อให้บริการลูกค้าที่มาใช้งานโรงพยาบาลของเรา ”  ทางเราจะแยกออกเป็นอีกระบบเลยครับ โดยผ่าน Firewall แยกแบบเดียวกับ DMZ และใช้ AD อีกตัวโดยใช้ตัว Wifi Controller มาบริหารจัดการ  เราแบ่ง Wifi 2 zone คือ โซนพนักงานตัวนี้จะไปเชื่อมกับ VLAN โซนที่ 3  แต่จะได้ IP ในช่วง 10.10.5.0/24 เพราะโซนนี้เราคุมเข้ม ส่วนพวก Free wifi ไปอยู่ใน ช่วงIP 10.10.6.0/24  ก็ค่อนข้างปล่อยครับลูกค้าเรามี Devices ที่หลากหลายเราไม่สามารถบังคับให้มา join AD ของเราได้
ดังนั้นตัวนี้จึงค่อนข้างปล่อย

แล้วธีรานนท์ ถาม แล้วโซน Free wifi ของเรานี้เรามี NIDS/IPS ตัวตรวจจับไหมครับ
วิชัยตอบ คนที่มาขาย Wifi Controller บอกว่ามีนะครับ Access Point ที่ติดตั้งตามจุด สามารถ Alert การโจมตีได้ โดยส่งค่าไปที่ Wifi Controllerจากนั้น Wifi controller ของเราจะส่ง syslog ไปเก็บที่ Log Management ที่พี่องอาจ ดูอยู่ครับ แต่อย่างไรผมไม่เคยใช้งานตัวนี้เพราะไม่ได้อยู่ในคณะกรรมการตรวจรับ Wifi controller นี้ครับ เป็นอีกชุดหนึ่ง  เราซื้อมาได้เป็นปีแล้วครับ พี่องอาจอยู่ในคณะกรรมการ

“แล้วตัว Web Server ที่มีปัญหานั้นอยู่ DMZ โซนหรือเปล่าครับ” ธีรานนท์ถามต่อ
ใช่ครับ DMZ ก็ประกอบด้วย VPN Server , Mail Server , Web Server  อีกตัวคือ NIDS โดยเราใช้ตัวนี้ทำการ passive mode ทำการสำเนาข้อมูลทุก VLAN เพื่อ monitor ข้อมูลจราจรคอมพิวเตอร์ครับ เป็นการดูข้อมูลภายในองค์กร

“คุณมี Web Application Firwall (WAF) ไหม ?”  ธีรานนท์ ถามต่อ
“เราใช้ Firewall ตัวละ 7 หลักของเราป้องกันพวกนี้ได้อยู่แล้วครับ มันเป็นระดับ Application Firewall”
วิชัยตอบ

แล้วคุณมีการประเมินความเสี่ยงหาช่องโหว่ที่พบบ่อยแค่ไหน ? คือมี VM (Vulnerability Management) ในองค์กรหรือเปล่า ? ธีรานนท์ถาม
“เราจ้างบริษัทข้างนอกมา Audit ให้เราครับ ส่วนการสแกนช่องโหว่เราทำ ปีละ 2 ครั้งสำหรับ Server ที่สำคัญ อนันต์ดูอยู่ โดยการสแกนนั้นเราจ้างมืออาชีพมาทำให้ครับ ทั้งทำ Penetration test และ Vulnerability Scanner เท่านั้นครับ” วิชัย กล่าวต่อ

ธีรานนท์ ถาม “แล้ว Log Management อยู่โซนไหนครับ” วิชัยบอกว่า “อยู่ โซน System Admin แต่เราตั้ง subnet อีกช่วงหนึ่ง เป็น 172.16.99.0/24”
ติดต่ออินเทอร์เน็ตได้หรือเปล่าเครื่องนี้  ธีรานนท์ถามต่อ
วิชัยบอกว่า “จำเป็นต้องให้ติดต่อได้ เนื่องจาก Time sync เราตั้ง server เป็นสถาบันมาตรวิทยา”

“แล้ว System Admin โซนนี้ประกอบด้วย Server อะไรบ้าง พอบอกได้ไหม ?” ธีรานนท์ ถามอย่างเกรงใจ

วิชัยตอบทันที  ก็มี Log management server 1 ตัว ,  AD Server 2 ตัว , ERP Server 1 ตัว , Wifi Controller 1 ตัว , Anti-virus server 1 ตัว

“คุณใช้อะไรกำหนด AAA ใช้ NAC (Network Access Control) ไหม ?” ธีรานนท์ ถาม
“เราใช้ VLAN และ AD คู่กันในการกำหนด AAA ก็น่าจะเพียงพอแล้ว ผมกับพี่องอาจหารือกันแล้วว่าจะไม่ใช้ NAC” วิชัยตอบ

“ระบบ Authentication (ระบบระบุตัวตนผู้ใช้งาน) นั้นผ่าน LDAP หรือเปล่าครับ” ธีรานนท์ถามต่อ
“ใช่ครับ เราใช้ LDAP จาก AD (Active Directory) เครื่องคอมพิวเตอร์ทุกเครื่องที่เป็น Client ต้องทำการ Join Domain มาที่นี้ครับ” วิชัยกล่าวต่อ ส่วน รายชื่อพนักงานทั้งหมด วันเวลาที่ใช้งาน ถูกเก็บบันทึกไว้ที่ AD ครับ ส่วน Log file ส่งค่า syslog ไปเก็บที่ Log Management ของพี่องอาจ”

ธีรานนท์ทำการบันทึก พร้อมทั้งพอทราบแล้วว่าที่นี้อ่อนแอส่วนใด

++++++++++++++++++++
เสริม
DMZ : (Demilitarized Zone) คือโซนที่มีการติดต่อระหว่างอินเทอร์เน็ตและเครือข่ายภายในองค์กร ดังนั้นโซนนี้ต้องการความปลอดภัยสูง 
AD : (Active Directory) คือ ตัวควบคุมนโยบายในการใช้งานระบบสารสนเทศ โดยกำหนดสิทธิการใช้งาน การเข้าถึงข้อมูล และการใช้โปรแกรม เป็นเทคโนโลยีของบริษัท Microsoft 

LDAP (Lightweight Directory Access Protocol) อ่านว่า แอล-แด็บ เป็น Protocol ชนิดหนึ่งที่ใช้เสมือนฐานข้อมูลเก็บรายชื่อผู้ใช้ ระดับการเข้าถึงใช้งาน ประเภทการใช้งาน ใช้คู่กันกับ AD (Active Directory) สำหรับหน่วยงานไหนที่ใช้ AD อยู่แล้วจะมีการกำหนดสิทธิและนโนบายการเข้าถึงข้อมูลจากจุดเดียวได้

ซึ่ง AD นั้นในประเทศไทยจะมีเฉพาะหน่วยงานขนาดใหญ่ใช้งานกัน เนื่องจากราคาค่อนข้างสูง

Vulnerability Management : คือกระบวนการประเมินความเสี่ยงระบบสารสนเทศโดยการใช้เทคโนโลยีท VA (Vulnerability Scanner) เพื่อค้นหาช่องโหว่ และเมื่อพบช่องโหว่จะสามารถแจกแจงและหมอบหมายงาน (assign) ให้ผู้ที่เกี่ยวข้องและมีหน้าที่รับผิดชอบงาน (เพื่อเปิดจ๊อบ) ได้ทำการป้องกันปิด patch อันอาจจะทำให้เกิดความเสียหายได้ เพื่อให้ระบบมีความมั่นคงปลอดภัยอย่างต่อเนื่อง

Penetration test คือบริการทดสอบเจาะระบบโดยเสมือนเป็นแฮกเกอร์ที่จะสามารถสร้างความเสียหายให้กับองค์กร ทุกๆปี หน่วยงานขนาดใหญ่จะมีการจ้างเจาะระบบเพื่อดูส่วนงานที่เกิดขึ้น และที่สำคัญนั้นมีความเสี่ยงที่ถูกเจาะระบบได้หรือไม่ ?

AAA คือ Authentication (การระบุตัวตน) Authorization (การระบุสิทธิการใช้งาน) Accounting (รายชื่อผู้ใช้งาน)  และมีอีก A คือ Auditing (ประวัติการเก็บบันทึกการใช้งาน Log นั้นเอง) 

NAC (Network Access Control) เป็นเทคโนโลยีที่ใช้ในการกำหนดค่า AAA  โดยมีทั้งเป็นแบบฮาร์ดแวร์ติดตั้งแทน Switch หรือเป็นซอฟต์แวร์ก็ได้ ปัจจุบัน NAC มาเชื่อมกับเทคโนโลยีที่ใช้ตรวจจับและวิเคราะห์ Malware ราคายังสูงอยู่

++++++++++++++++++++++


ธีรานนท์ถาม “แล้ว 2 คนที่นั่งอีกห้องหนึ่งด้านหลังคุณ เป็น System admin ด้วยหรือเปล่าครับ”
พร้อมหันไปดู ซึ่งระยะห่างประมาณ 30 เมตรโดยประมาณ แล้วมีม่านพลาสติกกั้นเป็นริ้วๆ และกระจกใสกั้น มองเห็นได้ด้วยตาเปล่า

วิชัยตอบ “2 คนนั้นเป็น out source มาเขียนโปรแกรม ERP ให้กับทางโรงพยาบาล  มาจากบริษัท Odyssey Soft Corporation
ที่นั่งหันหน้ามาทางห้องพวกเราชื่อ ศิรินท์ หรือ ริน  และที่หันข้างให้พวกเรา ชื่อ พีระวัฒน์ หรือ พุก เขาทั้ง 2 อยู่ที่นี้มากว่า 3 เดือนแล้ว”

ธีรานนท์ กล่าว “Odyssey Soft ที่ได้งานทำฐานข้อมูลบัตรประชาชนทั่วประเทศไปหรือเปล่าครับ ?”

“ใช่ครับ” วิชัย ตอบ

“พี่ทำไง เสียบ Thumb drive เข้าที่ช่องเสียบของ Server แล้วแป๊บเดียวก็เข้าระบบได้” อนันต์ถามอ๊อด ด้วยความประหลาดใจ

“เราอยู่หน้าเครื่องแล้วนี้ครับ .. เราจะทำอะไรกับมันก็ได้” อ๊อดตอบ
“Thumb drive  มีโปรแกรมอะไรอยู่หรือเปล่าครับ” อนันต์ถาม
อ๊อดกำลัง recovery user root  แล้วตอบว่า “ผมจัดคอร์สสอนเรื่องนี้อยู่ครับ สนใจมาเรียนกับผมป่ะ ลงชื่อได้ ผมให้ราคาพิเศษเลยล่ะ” อ๊อดตอบ

อนันต์ยืนนิ่ง  ^_^!

“เออพี่ผมไม่ค่อยมีตัง เรียนฟรีได้ป่ะครับ ผมอยากเก่งเหมือนพี่นะครับ”

อ๊อดไม่ตอบอะไร

จากนั้นอ๊อดก็กล่าวว่า “ผมตั้ง password root ใหม่ให้คุณนะคุณจดไว้หน่อย รหัสผ่านที่ดีควรมีอักขระพิเศษมีความยาวอย่างน้อย 8 ตัว”

ขณะเดียวกัน อ๊อด หยิบตัว cloning hard disk เสียบต่อเข้าที่ server

แล้วอ๊อดก็พิมพ์แป้นคีย์บอร์ดอย่างว่องไว จนผมมองไม่ทัน command  line ล้วนๆ อนันต์จ้องมองด้วยความอะเมซิ่ง ราวกับบีโธเพน บรรเลงเปียโน

เวลาผ่านไปอย่างรวดเร็ว 12:18 นาที
cat /etc/passwd

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
libuuid:x:100:101::/var/lib/libuuid:
syslog:x:101:104::/home/syslog:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin

“พี่นนท์ เชิญทางนี้หน่อย” เสียงอ๊อด เดินออกมาจากห้อง IDC  แล้วกล่าวต่อว่า
“ผมเข้าเครื่อง Web Server ที่ถูก Hack ได้แล้วครับ และกำลัง cloning Hard disk อยู่

สิ่งที่พบคือมี username ประหลาด ที่อนันต์ และพี่องอาจไม่รู้จักในเครื่องนี้มาก่อนครับ”
อ๊อด พูด
“Username อะไร ?” ธีรานนท์ ถามต่อ

“ซินแบด” และเขียนลงกระดาษให้ว่า s1n3ad” อ๊อดพูด พร้อมเขียนชื่อให้

“Digital Holes : ดิจิทัลโฮลส์”

นิยายเชิงสืบสวนทางด้านเทคโนโลยี ที่ต้องเป็นแนวทางนี้ก็เนื่องจากเทคโนโลยีนั้นได้มีอิทธิพลต่อการใช้ชีวิตประจำวันเราโดยเฉพาะคนเมืองชนิดที่มีแนวโน้มสูงขึ้น และเริ่มกระจายตัวอย่างรวดเร็วไปยังต่างจังหวัดโดยเฉพาะโทรศัพท์มือถือและอินเทอร์เน็ตเป็นส่วนหนึ่งในชีวิตเราตั้งแต่ตื่นนอนไปจนถึงเข้านอน เราถูกรายล้อมไปด้วยเทคโนโลยี จนเกิดเป็นปรากฎการณ์ที่เรียกว่า “สังคมก้มหน้า” ที่อยู่กับหน้าจอโทรศัทพ์มือถือ และทำงานหลังขดหลังแข็งอยู่หน้าจอคอมพิวเตอร์ เป็นต้น

จุดเริ่มต้นของการเขียนครั้งนี้คือผมเห็นว่าหนังสือที่ให้ความรู้ และมีความเกี่ยวข้องกับการสืบสวนทางเทคโนโลยี ที่มีเนื้อหาสาระด้วยการอธิบายเทคนิคที่เป็นจริงนั้นมีน้อยอยู่ ส่วนใหญ่เกิดจากจิตนาการของผู้เขียนผสมกับความจริงบางแต่น้อย จนไม่สามารถนำมาเป็นกรณีศึกษา (case study) ได้นั้น ซึ่งทำให้ผู้อ่านได้เพียงความบันเทิง สิ่งที่อยากได้คือ เป็นหนังสือที่อ่านแล้วได้ทั้งความบันเทิงและได้ความรู้ และความรู้ที่เป็นสิ่งที่เกิดจากความเป็นจริง เมื่ออ่านแล้วสามารถนำไปใช้เป็นข้อสังเกตทั้งการทำงานด้านการป้องกันและในด้านการสืบสวนได้จริง

เพื่อเป็นการทบทวนประสบการณ์ที่ผ่านมาที่ตนเองได้มีโอกาสไปร่วมแกะรอยค้นหา ที่ผ่านมาแล้ว เพื่อไม่ให้หลงลืมได้ จึงต้องมาทำการบันทึกและเขียนขึ้นมา จึงปั่นเวลามาเขียนขึ้นตั้งใจไว้ว่าจะมีทั้งความบันเทิงผสมสาระความรู้จากประสบการณ์ที่ผมมีให้อยู่ในชุด “Digital Holes” นี้ขึ้น โดยทั้งตัวละครและสถานที่นั้นเป็นการสมมุติขึ้นจากผู้เขียนเองทั้งสิ้น
ผมเริ่มคิดและทำสิ่งนี้เมื่อวันที่ 4 พฤษภาคม 2558 และรวบรวมข้อมูลเพื่อคิดและเขียนตามลำดับ

Nontawattana  Saraman

—————————————————————————————–

Digital Hole : Hacker Here ? ที่นี้มีแฮกเกอร์ ?

             กรุงเทพฯ ในเวลาตีสามของวันที่ 6 พฤษภาคม 2558
..ฝนกำลังตก … เสียงของน้ำฝนกระทบกับกันสาดที่ยื่นออกมาภายนอกห้องนอน ทำให้ผมรู้สึกตัว

ผมชื่ออนันต์ อายุ 27 ปี  ผิวดำแดง ตรงสเป็คสาวญี่ปุ่น รูปร่างสันทัด สูง 182 cm เป็นหนึ่งในทีมงานที่ได้จัดทำ (Implementation) ระบบรักษาความมั่นคงปลอดภัยทางข้อมูลของโรงพยาบาลชื่อดังย่านพระราม 6  ถึงแม้จะเปิดแอร์อยู่ แต่เสียงฝนก็ดังทำให้ ผมรู้สึกตัวตื่นขึ้นมา ซึ่งเวลาในขนาดนั้นคือตีสามสี่แปดนาที  3:48                                                                                                                                                                                                
อนันต์หันไปหยิบมือถือที่มีแบตเตอรี่ยังเหลือเพียง 12% ขึ้นสีแดง ที่วางบนหัวเตียง เหลือบเห็นข้อความเตือนที่ยังไม่ได้เปิดอ่าน
จำนวน 3  รายการ ผ่านทางอีเมลล์ว่าระบบที่ดูแลอยู่มีการ Login ที่ผิดพลาด (Login fail)
เกิน 3 ครั้งติดต่อกัน การ login ไม่สำเร็จครั้งล่าสุดที่แจ้งเตือน เป็นเวลา 23:19
ของวันที่ 5 พฤษภาคม 2558
“Firewall ที่เราใช้อยู่คงยับยั้ง (Denny IP) ผู้บุกรุกไปแล้ว” อนันต์คิดพร้อม รำพึงต่อว่า “ไว้เช้าแล้วจะรีโมตเครื่องเข้าไปดู Logfile ขอนอนต่อแล้วกัน” ทั้งหาวต่อเนื่อง
จากนั้นก็ลุกขึ้นเปิดไฟข้างเตียงนอนเพื่อชาร์ตมือถือ ด้วยลมเย็นสบาย และมีเสียงฝนกระทบพื้นห้องป็นจังหวะเสียงพรึมพรั่มต่อเนื่อง สักพักหนึ่งอนัตต์
ก็ได้เคลิ้มหลับไป โดยที่ไฟข้างหัวเตียงไม่ได้ปิด

7:15 น.  แสงแดดส่องแสงรอดช่องหน้าต่างข้างเตียงนอน ส่องแสงลงมา บ่งบอกได้ว่าเช้าแล้ว อนันต์ได้เปิดม่านข้างเตียงเห็นท้องฟ้าใสเหมือนไม่มีแววว่าฝนได้ตกเมื่อคืนนี้เลยแม้แต่น้อย

“อากาศวันนี้ช่างสดใสดีจัง”  อนันต์ได้ปิดไฟที่เปิดตั้งแต่ตีสามกว่า แล้ว
 ได้เวลาที่ต้องแต่งตัวไปทำงาน ที่ทำงานของอนันต์อยู่ไม่ไกลจากที่พัก อนันต์เดินทางไปทำงานด้วยจักรยาน ชีวิตแบบคนเมืองเต็มรูปแบบ ขณะที่ปั่นอยู่นั้นอนันต์ยังครุ่นคิดถึง
การ Login fail ที่ได้รับมา ข้อความนั้นบอกว่าเพียงมีการ Login ผิดจาก IP Address 77.247.181.162 เวลา 23:19:54 5/05/58

7:35 น จอดรถจักรยานที่หน้าตึกที่ทำงาน แล้วเดินทางไปทานอาหารเช้าเราเริ่มต้นที่โรงอาหารภายในโรงพยาบาล

“สวัสดีครับ” อนันต์กล่าว เมื่อพบ ศิรินท์  หญิงสาวที่มาจากบริษัท Out source ที่ซอฟต์แวร์ประเภท ERP ที่ Implement ไม่เสร็จดีมากว่า 3 เดือนแล้ว

 “อยากได้ไลน์ไอดีเธอจัง น่ารักดี จะส่งสติ๊กเกอร์น่ารักๆ ให้ทุกวันเลย” อนันต์คิดในใจ  เราพบกัน
บ่อยแต่แทบไม่ได้คุยกัน
“… อาหรายหว่า… โลกนี้ไม่เป็นธรรมสำหรับคนปอนๆ แบบเราเสียเลย” อนันต์บ่น

ผมนะรู้จักชื่อศิรินท์ ชื่อเล่นว่า ริน
นั่งทำงานอยู่ด้านหลังห้องผม เป็นห้องของโปรแกรมเมอร์จากบริษัทใหญ่ที่รับงานจากโรงพยาบาลไป เราจะเจอกันส่วนใหญ่ช่วงพักทานอาหารเที่ยง
โรงอาหารที่นี้กว้างก็จะจริงแต่บังเอิญเจอกันทุกที ส่วนช่วงเช้านี้ถือว่าวันนี้โชคดีที่พบเธอ  ผมมีกำลังใจขึ้นอีกนิด อนันต์แอบยิ้ม ทั้งที ศิรินท์ไม่ตอบสนองใดๆ

เหมือนการทักทายผม เปรียบเสมือนการ Ping ที่ไม่ผลตอบรับจากเธอ

++++++++++++++++++++++++++++++++++
Pinging ศิรินท์ with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for ศิรินท์ :
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
+++++++++++++++++++++++++++++++++++
ผลลัพธ์คือไทม์เอ๊าครับ Loss 100%

++++++++++++++++++++++++++
เสริม
Ping เป็นคำสั่งหนึ่งที่มีทั้งระบบปฏิบัติการ Windows และ Linux เป็นคำสั่งพื้นฐาน มีหน้าสำหรับตรวจสถานะเครื่องคอมพิวเตอร์ที่ต้องการสื่อสาร หากมีการ Response กลับมาแสดงว่าเครื่องดังกล่าวสามารถติดต่อถึงกันได้  Ping  ใช้ Protocol  ICMP   ซึ่งบางครั้งที่ Ping แล้วเกิด Time out เป็นไปได้ 2 สาเหตุคือเครื่องที่ต้องการติดต่อไม่อยู่ในสถานะติดต่อสื่อสารได้ (เครื่องปิด)  และ ติดระบบป้องกันโดยเฉพาะหากมี Firewall ป้องกันนั้นจะปิดการสื่อสารประเภทนี้

+++++++++++++++++++++++++++++

ระหว่างตักข้าวเข้าปาก อนันต์เปิดมือถือขึ้นเพื่อตรวจข้อความที่พบอีกครั้ง
login fail ครั้งที่ 1  เวลา  23:18:23  IP : 77.247.181.162
login fail ครั้งที่ 2 เวลา 23:19:12  IP:77.247.181.162
login fail ครั้งที่ 3 เวลา 23:19:54  IP:77.247.181.162

Server ที่อนันต์ดูแลนั้นมีการตั้งระบบรักษาความปลอดภัย ผ่านอุปกรณ์ Firewall ที่เป็นประเภท Next Generation Firewall ชนิดที่ตรวจระดับ Application Layer ได้
ราคา 7 หลัก และมีระบบตรวจจับผู้บุกรุก ที่เรียกว่า NIDS/IPS Network Intrusion Detection and Prevention System) แต่ตัวนี้ทำให้เป็น mode passive คือดูอย่างเดียวให้ Firewall เป็น
ตัวป้องกัน ถึงกระนั้น ราคา NIDS ก็ไม่น้อยกว่า Firewall แถมยังใช้มานานกว่า 3 ปีแล้ว ข้อความที่ถึงแจ้งเตือนมาจาก NIDS ส่ง และตัวที่เกิดการพยายามเข้าถึงโดยการ Login นั้นคือ Web Server ประจำโรงพยาบาลนี้เอง

+++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม :
Firewall คืออุปกรณ์ที่ทุกหน่วยงานต้องมี ทำหน้าเป็น Gateway เพื่อเชื่อมต่อข้อมูลทางอินเทอร์เน็ต ทำการแบ่งระดับการเข้าถึงข้อมูลผ่าน rule base และการตั้งค่า NAT เพื่อได้มีการแบ่งชั้นการเข้าถึงข้อมูลจากโลกอินเทอร์เน็ตเข้าสู่ระบบเครือข่ายคอมพิวเตอร์ภายใน
Firewall Next generation หรือเรียกสั้นว่า Firewall NG  นั้นเป็นการพัฒนาไปอีกขั้นโดยการสามารถตรวจข้อมูลเพื่อป้องกันภัยคุกคามที่เกิดขึ้นได้ในระดับ Application Layer ซึ่งตาม OSI 7 เป็น layer ที่อยู่บนสุดและสำคัญที่สุดในการใช้งานในปัจจุบัน

NIDS/IPS  คือ อุปกรณ์ที่ตรวจผู้บุกรุกทางเครือข่าย เปรียบเสมือนกล้องวงจรปิดทางเป็น NIDS เฉยๆจไม่สามารถป้องกันได้ แต่ถ้าเป็น IPS ด้วยจะป้องกันได้  ทั้งนี้ส่วนมากอุปกรณ์พวกนี้จะทำได้ทั้ง 2 mode เป็นอยู่แล้ว ขึ้นกับการติดตั้งถ้าติดตั้งแบบ in-line ก็จะเป็น NIPS  ส่วน passive การเป็น NIDS เป็นต้นการทำงานจะทำการตรวจจับเป็นทั้งที่เป็น Signature base คือตรงตามฐานข้อมูลจึงแจ้งเตือน และ ตรวจด้วยการวิเคราะห์จากพฤติกรรม  ซึ่งต่อมาได้มีการรวมกันกับ Firewall จนเป็น Firewall NG ขึ้น นั้น

ดังนั้นหากโรงพยาบาลแห่งนี้มี Firewall NG อยู่แล้ว และระบบเครือข่ายที่ไม่ซับซ้อนมาก (แยกเป็นหลายๆ วง VLAN) ก็ไม่จำเป็นที่ต้องมี NIDS/IPS ก็ได้ ยกเว้นแต่ว่า ขา interface ของ Firewall NG ไม่พอและไม่สามารถ Monitor บางจุดได้ จำเป็นต้องมี NIDS/IPS มาช่วยเสริมให้การมองเห็นได้ครอบคลุมขึ้น

++++++++++++++++++++++++++++++++++++++++++

Server ตัวนี้เป็น Server ที่มีด้านหนึ่งติดต่อกับอินเทอร์เน็ตได้รับค่าไอพีสาธารณะ (Public IP) มาด้วย อีกด้านหนึ่งติดต่อในวง LAN
ทีมงานที่ดูแลส่วนนี้มีด้วยกัน 3 คน  คือ
พี่องอาจ ดูแลด้านระบบเครือข่าย  และ Log file ตาม พรบ.คอมพิวเตอร์ฯ เป็นคนที่เปิดดู Log Management ได้ อีกทั้งเป็นคนเขียนนโยบายด้านความปลอดภัยด้าน
ข้อมูลสารสนเทศให้กับโรงพยาบาลอีกด้วย รู้สึกว่าจะทำกันไปเมื่อ 2 ปีก่อนโดยจ้างบริษัทข้างนอกมาช่วยกันเขียน จนสำเร็จและประกาศใช้ก่อนผมมาทำงานที่นี้
วิชัย ดูแลเรื่องการ access internet  ภายในองค์กร โดยเฉพาะเรื่อง account ทั้งหมด
ไม่ว่าเป็น e-mail , การเข้าถึงระบบ wifi และทุกอย่างที่เกี่ยวข้องกับการ Authentication (การระบุตัวตนผู้ใช้งานอินเทอร์เน็ตในองค์กร)
และผม อนันต์เด็กใหม่ที่นี้ที่ดูแลด้านระบบรักษาความปลอดภัยข้อมูล Server สำคัญของโรงพยาบาล ปัจจุบันผมดูแล 10 ตัว กำลังงาม
มีทั้งส่วนที่อยู่ใน DMZ และในระบบเครือข่ายภายใน (Internal) ทั้งนี้รวมถึง Server development ของทีมงานศิรินท์ที่มาพัฒนาซอฟต์แวร์ ERP ด้วย

โรงพยาบาลใช้งานคุ้มครับเรามีด้วยกัน 3 คน แต่ต้องดูระบบเครือข่ายทั้งโรงพยาบาล ประสานกันทำงานได้อย่างดีมาโดยตลอด 4 เดือนที่ผมอยู่ที่นี้ พวกเราทั้ง 3 เป็นพนักงานประจำ
เป็นมนุษย์เงินเดือนเต็มขั้น เงินเดือนไม่มากไม่น้อย พออยู่พอกิน ข้าวแกงที่ทำงานราคา 30 บาท แถมรสชาติอร่อยอีกตังหาก

ส่วนด้านไอที เราแบ่งเป็น 3 ส่วน คือ
– ส่วนที่ดูระบบเครือข่ายเครื่องแม่ข่ายและการเข้าถึงอินเทอร์เน็ต  คือพวกเราทั้ง 3
– ส่วนที่โปรแกรมเมอร์  ที่ดูแลโปรแกรมโรงพยาบาล มีอีก 2 คนที่เป็นพนักงานประจำ ผมรู้จักแค่ชื่อหนุ่ม เป็นรุ่นน้อง พวกนี้มีการจ้าง out source มาช่วยเขียนโปรแกรมในบางโปรแจค
– ส่วนที่เป็นกลุ่มงานสนับสนุน Support  พวก Helpdesk นั้นจ้าง out soruce ทั้งหมด

ตัว Web Server ที่ติดต่อกับโลกภายนอกนี้แหละคนอื่นไม่กล้ายุ่งเนื่องจากรับมรดกมาจากบริษัทที่ติดตั้ง Web Server ไว้แล้วทิ้ง code ที่
แก้ไขแทบไม่ได้เลยมาให้ ยังดี Server ตัวนี้ส่วนใหญ่ใช้ Open Source ที่ คือ Web Server เป็น Apache มี Data Base ในตัวเป็น Mysql
ส่วน OS เป็น Ubuntu 12.04  แต่ code นี้สิ ใช้ php  java  ผมรู้เรื่องโค็ดไม่มากนัก เพราะมีน้องคนหนึ่งเป็นฝั่งโปรแกรมเมอร์ชื่อเล่นหนุ่ม เป็นคนดูโค้คทั้งหมด
รวมทั้งที่เป็น front end ของการเว็บไซต์ประจำโรงพยาบาล ซึ่งน้องหนุ่มเป็นคนทำงานร่วมกับบริษัทที่ได้งานมาพัฒนาเว็บไซต์
ผมมีความรู้ Linux ดีพอควร ผมเริ่มจาก System admin โดยงานแรกผมเป็นผู้ดูแลเครื่องแม่ข่าย (Server) ที่ธนาคารเอกชนแห่งหนึ่ง และผมพึ่งเปลี่ยนงานมาที่นี้ได้สัก 4 เดือน
พึ่งพ้นโปรงาน นะครับ ซึ่งที่ไหนที่ผมดูแลให้ไม่เคยโดนแฮก คือยังไม่เคยโดนน็อคว่ากันง่ายๆ อย่างงี้แหละครับสถิติสวย (หรือว่าไม่รู้ว่าโดนกันแน่)

อันที่จริงแล้ว เว็บไซต์ ก็มีโอกาสถูกแฮกได้ง่าย ถึงแม้จะมีระบบป้องกันที่ดีพอแล้ว อันเนื่องจากช่องโหว่ (bug ใหม่ๆที่เรียกว่า zero day) ยังมีอีกมากที่ผุดขึ้นมาใหม่ๆแทบทุกวัน
เพียงว่าเราจะแจ็ตเพ็ตเจอหรือเปล่า ตรงกับ Server ที่เราดูแลหรือเปล่าเท่านั้น   อนันต์คิดแบบปลอบใจตนเอง ขออย่าให้ถูกแฮก

+++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม
Zero day หรือ เขียน 0day คือ ช่องโหว่ที่ค้นพบโดยที่ยังไม่มีวิธีการรักษาหรือป้องกัน ถือว่าอันตรายมาก ช่วงเกิด 0day คือช่วงที่ยังไม่มียารักษานั้นเอง

+++++++++++++++++++++++++++++++++++++++++++++++++++

ระหว่างที่นำอาหารไปวางที่ชั้นวางจาน  เสียงแววมาว่า “นี้เธอตะกี้เราเข้าเว็บโรงพยาบาล หน้าแรกขอเว็บไซต์โรงพยาบาลเรามันเป็นรูปหัวกระโหลก  แถมมีเสียงเพลงเหมือนเพลง Rock ด้วย”
ผู้หญิงสองคนที่ผมไม่รู้จักชื่อ แต่รู้ว่าคนที่พูดเป็นหน้าห้อง ผู้อำนวยการ (ผอ.) โรงพยาบาล  จากนั้นเสียงนั้นก็บ่นพึ่มพัมต่อแต่ผมไม่ได้ยินเสียแล้ว

เหงื่อผมก็ไหลออกมาโดยไม่รู้ตัว  แล้วรำพึงว่า “เอาแล้วตรู งานเข้าแล้ว”

3G มือถือผมเริ่มทำงานทันทีเปิดบราวเซอร์ในมือถือ แล้วเข้า URL ของโรงพยาบาล  ขึ้นหน้าหัวกระโหลก ชูนิ้วกลาง แถมเป็นภาษาอังกฤษ แปลเป็นไทยว่า “แอดมินหน้าโง่  ไม่ปลอดภัย โดย อะไรก็ไม่รู้ตัวภาษาอังกฤษผสมตัวเลข อ่านยากจริงๆ ”

เพลงบรรเลงกีตาร์ดังขึ้น นี้มันเพลง Thunderstruck ของวง AC/DC แทรกอยู่ในเว็บหน้าแรกของเว็บไซต์โรงพยาบาลด้วย  เพลงดังกล่าวนี้ บังเอิญผมเกิดไม่ทันเพลงนี้หลอกแต่รู้เพราะ ปาเกียวที่พึ่งชกกับฟอร์ยเมื่อวันอาทิตย์ที่ 3  พ.ค.  ที่ผ่านมา สร้างข่าวว่าเป็นคู่มวยนัดหยุดโลก แต่เมื่อชกเสร็จผลออกมาตรงข้ามกับสายตาคนดู  ผมจำได้ว่าปาเกียวใช้เพลงนี้เป็นการเปิดตัวตอนที่เดินขึ้นเวทีมวย (แพ้เลย กั๊กๆ)

เวลา 08:29 แล้ววิ่งเข้าห้องทำงานชนิดที่ไม่แลมองผู้คน
“ไม่คิดว่าจะเกิดกับเรา เกิดขึ้นกับ Server ที่เราดูแล้ว” อนันต์กล่าวเบาๆ

ทันใดนั้นเองก็มีเสียงเรียกดังขึ้น “นี้เธอลืมของ” เหมือนมีเสียงแววมาด้านหลังผม   ศิรินท์พูด  ครั้งแรกที่ผมได้ยินเสียงเธอ  ของนั้นคือกระเป๋าเป้ใส่โน้ตบุ๊ค IBM รุ่นตกพื้นไม่ช้ำ ตัวเครื่องหนักเอาเรื่องจึงทำให้ เป้ของผมแลดูหนัก

“เสียงเธอช่างแอ๋บแป้วเสียจริง แต่ไม่มีเวลาคิดเรื่องนี้แล้ว บัดโถความสุขมันชั่งสั้นเสียจริง” อนันต์ได้แค่รำพึงในใจ

ศิรินท์ ยื่นให้ ด้วยแขนซ้าย ผมยื่นมือรับ  “เธอถนัดซ้ายหรือเปล่าเนี้ย” อนันต์แค่คิด
และแล้วก็วิ่งกลับมาอย่างรวดเร็ว แทนที่จะได้คุยกันนานกว่านี้ อนันต์ตอบว่า “ขอบคุณครับ”

แล้วหันหลังให้วิ่งไปต่อ ยังห่วงเรื่องไลน์ไอดีของเธอ  “เวงกำจริงๆ”  พอถึงห้องทำงาน อนันต์ลงนั่งโต๊ะทำงานอย่างรวดเร็ว พร้อมเปิดคอมพิวเตอร์ตั้งโต๊ะที่นั่งประจำซึ่ง พีซีเครื่องนี้น่าเป็นมรดกตกทอดมาหลายช่วง Admin  เป็น WindowXP ระบบปฏิบัติการที่ทาง Microsoft ทอดทิ้งไปแล้ว

โชคยังดีวันนี้ผมมาห้องนี้ก่อนใคร  วิชัย ยังไม่มา พี่องอาจ มาสายทุกวันอยู่แล้วเพราะต้องไปส่งลูกไปโรงเรียน

เวลาขณะนี้คือ 8:35 นาที
“ผมจะต้อง remote จากเครื่องผมเพื่อเข้าไปปิดเครื่อง Web Server ก่อน” อนันต์คิด

ระหว่างที่รอการบูทเครื่องเจ้าคุณปู่ ไม่นานเสียงโทรศัพท์ที่โต๊ะพี่องอาจ ดังขึ้น   “ตายๆ แน่ตรู”  อนันต์เริ่มทำอะไรไม่ถูก  จะ remote ก็รอเครื่องบูทอยู่  จึงรับสายโทรศัพท์ขึ้น

“สวัสดี มีใครอยู่ไหม ฝ่ายไอทีหรือเปล่า  ช่วยดูเว็บไซต์โรงพยาบาลเราที มันเกิดอะไรขึ้นเหรอ”  เสียงหนักแน่นมากเป็นเสียงที่ผมคุ้นเคยเพราะเป็นคนรับผมเข้าทำงานที่นี้ ผู้ช่วยผู้อำนวยการโรงพยาบาล คุณหมอจารึก  ตำแหน่งทางการของแกเป็นผู้ช่วยก็จริง แต่ด้วยวัยวุฒิและดีกรีเป็นถึงคุณหมอเลยถูกให้มาดูแลด้านไอซีทีด้วยเปรียบเสมือนเป็น CIO (Chief Information Officer)  ทุกอย่างที่เกี่ยวกับการจัดซื้อมาลงที่แกทั้งสิ้น

“สวัสดีครับอาจารย์หมอ”  ผมจะรีบดูให้คร๊าาาบบบ
แก้ไขโดยด่วน พร้อมทั้งให้องอาจ มารายงานผมฟังด้วย ก่อนที่ ผอ. จะรู้เรื่อง
คร๊าาบบบบบ  ผมตอบเสียงยาว   ในขณะเดียวกันที่มือด้านขวารับสายโทรศัพท์ มือด้านซ้ายก็ใส่ password  PC ตั้งโต๊ะขึ้น  กด Enter  แล้วเปิดโปแกรม SSH  เพื่อ remote ไปที่ Web Server สักพัก มือถือผมดังขึ้น พี่องอาจ โทรมา ผมรู้แล้วว่าต้องเป็นเรื่องนี้  เลยยังไม่กดรับเสียทันที
รอ Shell ให้ติดก่อนแล้วกัน แล้วจะโทรกลับ  ผมคิด สักพัก โทรมาอีก แต่ตอนนี้ผมพยายาม Shell ไป Web Server ตัวที่มีปัญหาแล้วเข้าได้ผมสัก shut down ไปก่อน  halt โร๊ด (ภาษาอีสาน ลอยมา ผมเป็นคนขอนแก่นครับ จากอีสานมาทำงานเมืองกรุงฯ)  ไม่นาน เสียงโทรศัพท์มือถือผมดังขึ้นอีกครั้ง ในระหว่างที่ผมรอการติดต่อกลับจาก Web Server “รีโมตนี้ช้าจังโว้ย”  เสียงโทรศัพท์ก็ดังอยู่
ครั้งนี้ผมจึงตัดสินใจรับ  ผมต้องตั้งสติ และพร้อมรับทุกสถานะการณ์ที่เกิดขึ้นต่อไปจากนี้

+++++++++++++++++++++++++++++++++++++++++++
เสริม

คำว่า Shell เป็น”การกระทำ” โดยการใช้โปรแกรมที่ชื่อ SSH เพื่อทำการ Remote ระยะไกล ซึ่งถือได้ว่า เป็นคำที่เรียกติดปากในกลุ่มผู้ดูแลระบบ

คำสั่ง halt  เป็น command หนึ่งบนระบบปฏิบัติการ Linux คือการสั่ง Shutdown เครื่อง

++++++++++++++++++++++++++++++++++++++++++++

ประโยคแรกดังขึ้น “ไอ้นันต์  เอ๊งรีบไปดู Web Server ด่วนเรื่องใหญ่ ผอ. ประเสริฐ โทรมาพี่”
บุคลลิกพี่องอาจ เป็นหนุ่มใหญ่ ผิวขาวร่างอ้วนกลม เชื้อสายจีนแน่นอน ตาชั้นเดียวใส่แว่นค่อนข้างหนา เป็นคนตรงไปตรงมา พูดจาไม่น่าฟังแต่ใจดี และช่วยเหลือน้องๆ

พี่องอาจ กล่าวต่อว่า “เว็บเราโดนแฮกใช่ไหม ?”   เสียงพี่องอาจ กระแทกที่หูผม   สวัสดีครับพี่ ผมมาถึงที่ทำงานแล้ว  ผมกำลัง shell อยู่พี่ ใจเย็นนะครับ

วันนี้ทาง ผอ. มี present  Application บนมือถือของโรงพยาบาลเรา เพื่อใช้บริการประชาชน ให้กับ ท่านรัฐมนตรี สาธารณะสุข ช่วงบ่ายวันนี้แหละ ซึ่ง Application นี้มัน Run อยู่บน Web Server นี้แหละ
พี่องอาจ  เสียงดังกล่าว

“พี่ครับ ผมรอพี่อยู่ เพราะ log file พี่ถืออยู่อ่ะ ผมจะช่วยดูว่าเกิดไรขึ้น”  อนันต์เริ่มแถ ใช้มุขเก่าเรื่อง Log เป็นข้ออ้างไปก่อน

“ถึงผมจะมีความรู้ด้านการดู log หรือ ศัพท์ทางการเรียกว่า “Computer Forensic” อยู่ไม่มากเทียบก็หางอึ่งอยู่มิใช่มืออาชีพ แต่ผมก็เคยดู Log ของเครื่อง Server ของงานธนาคารมาแล้วนะ สมัยที่มีการ Fraud” กัน อนันต์รำพึงอีกครั้ง

++++++++++++++++++++++++++++++++++++++++++++
เสริม
Computer Forensic : คือศาสตร์ในการแกะร่องรอยการกระทำความผิดอันเกิดจากการใช้งานอุปกรณ์สื่อสารและคอมพิวเตอร์เป็นเครื่องมือในการกระทำ ซึ่งในที่นี้จะเหมารวมกันก็ได้ว่าเป็นทั้งการแกะร่องรอยทางระบบเครือข่าย Network Forensic เบื้องต้นจะเป็นการดู Log file เทียบกับเวลา Log จาก Centralization log เป็นหลัก และ Computer Forensic เป็นพิสูจน์หาหลักฐานหากได้เครื่องคอมพิวเตอร์ที่สงสัยว่าเป็นเครื่องก่อเหตุมาทำการยืนยันและเป็นหลักฐานในชั้นศาลต่อไป

+++++++++++++++++++++++++++++++++++++++++++++++++++++

“วันนี้พี่ต้องพาลูกไปโรงเรียน เป็นวันปฐมนิเทศลูกชายพี่หว่า” รถโครตติดเลย สงสัยว่าอาจถึงที่ทำงานเกือบ 10 โมงเป็นอย่างเร็ว  เอ๊ง ก็ไปเปลี่ยนหน้าเว็บกลับมาแบบเดิมก่อน ดูที่ backup server restore กลับมาสิ ไอ้นันต์”  พี่องอาจเริ่มกิ้ว

shell ได้แล้ว แต่ login ใน user เดิมที่เคยเข้าไม่ได้ ลองแล้วมันบอกว่า ไม่มี username นี้ในระบบ.มันเฮง—.ปู๊ดๆ–censor .. เอ่ย : อนันต์เซ็ง

“เออ พี่ครับ ผม shell ได้แต่ login ไม่ได้ครับ ผมว่าผมโดนเข้าให้แล้ว”  ผมตอบเสียงสั่น ผมหน้าตาเริ่มซีด

เอ๊งรีบไปปิดเครื่องเลย  เข้าห้อง server แล้วไป กดปุ่ม power ไปก่อน  พี่องอาจ กล่าว

อนันต์ วิ่ง 4 x 100  ด้วยความเร็ว 2Gbps  เข้าห้อง Server  ปล่อยให้เสียงตะคล๊อกของพี่องอาจ ดังอยู่ไกลๆ  web server ตัวนี้มันตัวไหน หว่า  ชิบหาย Label ก็ไม่มีเขียน  มันน่าจะอยู่ใต้ Firewall หรือเปล่านะ
ล่าสุดผมเข้าห้องนี้ก็เมื่อ 3 เดือนก่อนที่บริษัทดูแลด้านระบบเครือข่ายส่งมอบตัวอุปกรณ์ Firewall
เลยวิ่งกลับมาถามเพื่อความมั่นใจ

“พี่ครับมันเครื่องไหนครับ” อ้าวพี่องอาจวางหูไปเสียแล้ว  

ผมเริ่มกุมขมับ  เสียงเปิดประตูมา  วิชัยเดินเข้ามาในห้อง

“วิชัย นายรู้ป่ะว่าเครื่อง Web server เครื่องไหน” อนันต์ถามเสียงดัง

วิชัย ถึงแม้อายุใกล้เคียงกับผม แต่เขาอยู่มานานกว่าใครเพื่อน เห็นว่าเป็นลูกคุณหมอในโรงพยาบาลนี้ ให้มาทำงานที่นี้ตั้งแต่ 5 ปีก่อน อาจกล่าวได้ว่ามาพร้อมๆ กับพี่องอาจ แต่ด้วยความอาวุโส
ยังไม่มาก   และได้รับภาระกิจสำคัญคือดูระบบ account หรือ user ทั้งโรงพยาบาล เขาเป็นคนคุมรหัสผ่านของทุกคนในโรงพยาบาล ….

เครื่องที่ห้านับจากล่างขึ้นบน  ตู้ซ้ายสุด    ตู้ Rack 1 ใส่ได้ 42U
วิชัย ตอบอย่างรวดเร็ว พร้อมคำถาม  เกิดอะไรขึ้นเหรอ ?
ผมยังไม่ตอบวิชัย วิ่ง 4×100 เข้าห้อง Server แล้ว กดปุ่ม power  เพื่อปิดเครื่อง Server แล้ววิ่งกลับมาที่หน้าเครื่อง PC ตั้งโต๊ะ พร้อมเปิดบราวเซอร์เพื่อดูผลลัพธ์

ขอบคุณวิชัย เราหยุดการแสดงผลเว็บไซต์ได้แล้ว

วิชัยเริ่มทำสีหน้าสงสัย พร้อมกับถามต่อว่า ” เกิดอะไรขึ้น ? “

“ผมก็ไม่รู้มันเกิดจากกอะไร ผมได้รับข้อความแจ้งเตือนจาก NIDS ว่ามีการบุกรุกโดยการ login ผ่าน services SSH port 22 และพบการผิดพลาด 3 ครั้ง  จากนั้นช่วงเช้าเที่ผ่านมาเข้าเว็บไซต์โรงพยาบาลพบว่ามี Defacement” อนันต์กล่าว

+++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม 
SSH  ย่อมาจาก Secure Shell  เป็นโปรแกรมชนิดหนึ่ง ลักษณะเป็นการ Remote ระยะไกลผ่านเครือข่ายอินเทอร์เน็ต ใช้ Port Services 22 เป็นการติดต่อแบบ TCP เป็นโปรแกรมยอดฮิตสำหรับผู้ดูแลระบบ
และมักถูกการโจมตีที่เรียกว่า “Brute Force” ได้ง่ายโดยที่ตั้ง Server ที่มีค่า Public IP Address

Brute Force คือชนิดการโจมตีประเภทหนึ่งเป็นวิธีการสุ่มเดารหัสผ่านโดยมักจะเกิดกับหน้าเพจที่มีการต้องใส่ค่า Login และระบบ Remote ระยะไกลไม่ว่าเป็น Telnet , SSH , VNC , Remote Desktop เป็นต้น

Defacement คือวิธีการแสดงตัวตนของแฮกเกอร์วิธีหนึ่ง โดยจะอาศัยเว็บไซต์ที่มีช่องโหว่แล้วเข้าไปทำการเปลี่ยนหน้าเว็บเพจ เพื่อแสดงเจตนารมณ์  หรือประกาศว่ามีความเสี่ยง โดยแฮกเกอร์ที่มีมารยาทจะไม่พยายามเปลี่ยนหน้าเว็บเพจในหน้าหลัก โดยส่วนใหญ่การแฮกพวกนี้เป็น ออโต้สคิปต์ (Automatic script) ซึ่งไม่ได้หมายความว่าแฮกเกอร์รู้จักหน่วยงานที่จะแฮกนั้น จึงแฮกแต่ที่ไหนมีช่องโหว่ตรงกับสคิปต์ที่เขียนไว้อาจจะโดนแฮกได้เสมอ

+++++++++++++++++++++++++++++++++++++++++++++++++++

“แล้วเราจะทำอย่างไงต่อ” วิชัยถามต่อ

“ผมไม่รู้เหมือนกัน ต้องรอพี่องอาจมาก่อนครับ เพราะ log อยู่ที่แก” อนันต์ตอบ (อ้างต่อเนื่อง)

สักพักมีเสียงโทรศัพท์เข้ามือถือ พี่องอาจ  โทรมา

“นันต์เอ่ย พี่จะไปถึงเร็วๆนี้  พี่ให้แม่ไปนั่งฟังแทนแล้ว ต้องมาช่วยพวกเราก่อน ตอนนี้พี่ติดอยู่ถนนแจ้งวัฒนะ  จะเลี้ยวขึ้นทางด่วนแล้ว บังเอิญพี่นึกได้แถวนี้ พี่รู้จักเพื่อนคนหนึ่ง ไม่คุยกันกว่า 8 ปีแล้ว  เขาทำงานด้านนี้โดยตรง เผื่อจะช่วยแก้ไขสถานการณ์ได้บ้าง ” พี่องอาจกล่าว

“ใครอ่าพี่ จะมีใครช่วยเราได้นอกจากเราจะช่วยตัวเราเอง  พี่ไม่มั่นใจผมหรือไง” อนันต์พูด

“แล้วเอ๊งจะทำไง ล่าสุดพี่เข้าเว็บไซต์ไม่ได้แล้ว เอ๊งบอกพี่มาสิ ว่าจะทำไงต่อ” พี่องอาจพูดโต้ตอบในโทรศัพท์

ถามเหมือนวิชัยเลย “จะทำไงต่อ”

ต้องรอพี่ครับ พี่คนเดียวเข้าไปดู Centralized logging ได้

++++++++++++++++++++++++++++++++++++++
เสริม
Centralized Log คือ การรวม log จากอุปกรณ์ระบบเครือข่าย เครื่องแม่ข่าย (Server) ที่สำคัญ ส่งค่า log  ซึ่งจะทำการส่งผ่าน Protocol syslog  ที่เป็นการติดต่อสื่อสารชนิด UDP และใช้ Port Services คือ 514 โดยทำการส่งค่า syslog เข้าไปเก็บไว้ที่ส่วนกลางเครื่องศูนย์กลางที่เดียว เพื่อเป็นการเก็บบันทึกเหตุการณ์ และตาม พรบ คอมพิวเตอร์ที่กฎหมายกำหนด

โดยแบบพื้นฐาน คือเก็บอย่างเดียวเป็น raw log  ไม่มีการวิเคราะห์
และแบบที่เก็บด้วยพร้อมทั้งสามารถวิเคราะห์ได้ โดยอาจจะใช้เทคโนโลยีเสริม อันได้แก่  SIEM (Secure Information Management) มาช่วยอ่านเพื่อคัดกรองว่าเหตุการณ์ใดเป็นมีความเสี่ยง ระบุได้ว่ามีความเสี่ยงระดับสูง กลาง ต่ำจากเหตุการณ์ใดได้บ้าง ซึ่งราคา SIEM  ค่อนข้างสูง ในเมืองไทยจะมีใช้สำหรับหน่วยงานใหญ่ขึ้นไป ส่วนหน่วยงานขนาดเล็ก และขนาดกลางมีวิธีการอื่นที่ช่วยทดแทน SIEM ได้โดยใช้ NIDS มาช่วยทดแทนได้ระดับหนึ่งเพียงแค่เป็นการดูข้อมูลผ่านทางระบบเครือข่ายเท่านั้นมิได้ออกมาจาก log โดยตรงจากเครื่อง สำหรับเครือข่ายที่ไม่ซับซ้อน และไม่มีเครื่องแม่ข่าย (Server) ที่สำคัญ และบุคคลากร และ Process ยังไม่พร้อมนัก จะใช้วิธีนี้สะดวกทั้งงบประมาณและการติดตั้งมากที่สุด

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

“อะไรก็ Log เอ๊งจะดู Log ทำแป๊ะ อะไรตอนนี้ต้องทำให้เครื่องเปิดได้ก่อน ท่านรัฐมนตรีจะดู App อ้ายนี้” องอาจกล่าว

“ผมยังไม่รู้จะเปิดด้วยวิธีไหนนะพี่ บัดโถ (เรื่องขึ้นเสียง) ” อนันต์ตอบ

“ก็พี่บอก ธีรานนท์ เพื่อนพี่ ขับรถตามแล้ว”  องอาจกล่าว

ขณะนั้นเป็นเวลา 9:25 นาที

ที่สำนักงานบริษัท Ghostnet Buster Team จำกัด  หรือใช้ตัวย่อว่า “GBT” ที่ตึก ณ บางกอก เป็นอาคารเช่าสำนักงานรวม  พื้นที่บริษัทนี้เช่าอยู่ราวกับแมวนอน  ขนาด 15 ตารางเมตร  ค่าเช่าเดือนละหมี่น ตั้งโต๊ะนั่งได้เต็มที่ 3 โต๊ะพร้อมเก้าอี้ เป็นห้องริมสุดในชั้น 7 มีหน้าต่างซ้ายมือที่มองเห็นถนนแจ้งวัฒนะ ด้านขวามือมองเห็นสวน แอร์เย็นฉ่ำ มีโต๊ะทำงาน 3  ตัว วางเป็นตัว L มีเครื่อง Fax , กาต้มน้ำ , โทรศัพท์ และ เร้าเตอร์ 1 เครื่อง โน้ตบุ๊คอีก 2 เครื่อง ตู้เย็นขนาดเล็กหนึ่งประตู โดยบนตู้เย็นมีบะหมี่สำเร็จรูป 2 โหล

สายโทรศัพท์สำนักงานดังขึ้น  เวลา 9:10 นาที

“สวัสดีครับ  ขอสาย ธีรานนท์หน่อย”

พี่นนท์ เข้าห้องน้ำอยู่  ไม่ทราบว่าเรื่องอะไรให้เราช่วยเหลือค่ะ”

หลังจากสนทนาเสร็จ วางสาย
ทันใดนั้นเอง ธีรานนท์เดินเข้ามาในห้องทำงาน

“พี่นนท์ค่ะ  เดือนนี้เราจะรอดตายแล้วพี่  มีงานเข้ามาแล้ว”   จุฑามาส พูด
จุฑามาศ เป็นพนักงานบัญชี ทำงานที่บริษัท Ghostnet Buster ตั้งแต่เปิดบริษัทแรก
ส่วนใหญ่จะเรียกชื่อสั้นๆ ว่า “นนท์”

“Ghostnet Buster Team  (GBT) เปิดทำการวันที่ 14 กุมภาพันธ์ 2556 มีอายุบริษัทเพียง 2 ปี แต่เป็นที่รู้จักกันในกลุ่มคนวงการว่าธีรานนท์คนนี้มีประสบการณ์พอตัวในงานด้านนี้ เน้นทำงานด้านการ Incident Response และการ Forensic เป็นแบบบริการหลัก และเสริมด้วยการรับทำ Penetration test ทั่วราชอาณาจักร ซึ่งเมื่อก่อนถือได้ว่าการทำ Pen-test เป็นงานหลักของเขา และยังเป็นอาจารย์สอน Penetration test ในยุคที่แทบไม่มีคนไทยทำงานประเภทนี้เลย 15 ปีย้อนหลัง
แต่ด้วยตลาดตอนนี้มีการแข่งขันกันสูงแกเลยหันไปทำในเรื่องที่คนอื่นไม่ค่อยทำกันได้  หรือต้องใช้ Know how สูงขึ้นไปอีกถึงจะรับทำงานประเภทนี้ได้

++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม
Penetration Test หรือเรียกย่อได้ว่า Pen-test  คือการทดสอบเจาะระบบ ซึ่งรายละเอียดเคยเขียนไว้ที่ http://nontawattalk.blogspot.com/2009/10/penetration-test-1.html

++++++++++++++++++++++++++++++++++++++++++++++++++

พนักงานที่นี้มี  4 คน คือ ธีรานนท์  เกียรติศักดิ์(ชื่อเล่น ต้อม ทำงานแบบออนไลน์สำคัญจริงๆจึงมา อยู่เกาะสมุย ไม่รับเงินเดือนรับเป็นงานๆไป)   อนุทิน (อ๊อด) ช่างเทคนิคและเป็นโปรแกรมเมอร์อีกด้วย อ๊อดชอบรับจ๊อบนอกมีเวลาไม่เต็มที่กับบริษัทนี้นักแต่ถึงอย่างไรอ๊อดก็ยังร่วมงานกับพี่นนท์อยู่  เหมือนมีงานอยู่ตลอดสำหรับอ๊อดแต่ไม่เคยเก็บเงินได้เลย และดิฉันจุฑามาส พนักงานบัญชีดูการเงิน ทำงานประชาสัมพันธ์ รับสายโทรศัพท์และการตลาดหาลูกค้าทำคู่กันเลย อะเมซิ่งออร์อินวัน อิอิ”

ปกติบริษัทนี้เปิดมานั้นแทบไม่มีงานเข้าอยู่แล้ว รายได้แบบเดือนชนเดือน แต่ธีรานนท์ ยังยืนหยัดทำต่อ  ด้วยงานที่เขารัก

ธีรานนท์ถาม  “แล้วงานที่ไหน?”
โรงพยาบาลสยามเฮลฮอสพิทอล (Siam Health Hospital)
“เขาให้เราไปถึงที่นั้นเร็วยิ่งดี ค่ะ แล้วให้พี่โทรไปคุยรายละเอียดเขาด้วย เบอร์ตามนี้”
จุฑามาส ยื่นกระดาษพร้อมเบอร์โทรศัพท์ให้

ธีรานนท์ ดูกระดาษ  “รายมือจุฑามาส องอาจ ใจสะอาด Web Server เราถูกแฮก ….”

เพื่อนเรานี้หว่า ขณะนั้นแล้วเงยหน้ามองออกไปที่หน้าต่าง ชั้น 7 ที่ทำงานรังหนู มองลงไปที่ ถนนแจ้งวัฒนะ รถเริ่มคลี่คลาย …

“ผมจะไปตามที่นัด คุณประสานงานอ๊อด ให้เอาเครื่องมือ Network Forensic และตัวสำเนาฮาร์ดดิสความเร็วสูง ไปด้วยนะ”  ธีรานนท์กล่าว

10:58 น. ในที่สุดธีรานนท์ ก็มาถึงโรงพยาบาล  แปลกใจมากเลยที่ อ๊อดมาถึงก่อน

ธีรานนท์ ไม่รอช้า ทำการต่อสายโทรศัพท์ไปหาองอาจ

“สวัสดีครับ ผมธีรานนท์ เมื่อเช้าคุณโทรมาหาเราที่ GBT”  ธีรานนท์พูดขึ้น
“สวัสดีครับผมองอาจเอง ผมต้องการให้คุณมาที่ห้อง 304A  ชั้น 3 อาคาร A นะผมและทีมงานรออยู่ที่นั้น” องอาจกล่าว

เฮ้ อ๊อดเอาของมาด้วยป่ะ  “ไม่พลาดอยู่แล้วพี่” ทำไมนายมาถึงเร็วจัง
“คืนก่อนผมมาค้างที่อาคารตรงข้ามนี้ ซอยเล็กๆนั้น นี้เอง ฝนมันตกหนักนี้พี่” อ๊อดพูด เมื่อเหลือบไปดูแล้ว เป็นเหมือนโรงแรมม่านรูดขนาด ตีสัก 3 ดาวก็แทบเต็มกลืน แต่ก็ไม่ได้พูดอะไรต่อ
เออ แล้วอุปกรณ์ของพวกนี้อยู่กับนายได้ไง อ๊อด   ผมเอาไว้ติดตัวพอดีครับในท้ายรถผมนี้ แหะๆ อ๊อดกล่าวแบบละมุนละม่อม

เราทั้งคู่เดินไปที่อาคาร A พร้อมขึ้นลิฟต์ไปยังชั้น 3  เมื่อถึงแล้ว ด้านหน้าห้องเขียนว่า ศูนย์คอมพิวเตอร์

พวกเรา (นนท์ และ อ๊อด) เดินเข้าไปในห้อง เหมือนห้องนี้แบ่งเป็น 3 ส่วน คือส่วนด้านหน้าเป็นที่ทำงาน  ด้านหลังเหมือนมีโปรแกรมเมอร์ ผู้หญิง 1 คน และแลดูเหมือนผู้หญิง 1 คน กำลังนั่งพิมพ์อะไรอยู่ตลอด
ส่วนด้านข้างเป็นห้อง IDC (Internet Data Center) เราเข้าไปในห้องข้างหน้า พบว่า มีชาย 3 คน
นั่งประจำที่โต๊ะใครโต๊ะมันอยู่ หน้าตาเคร่งเคลียด  ทุกห้องมีกล้องวงจรปิดติดที่มุมเพดานอย่างละตัว

สักพักได้ยินเสียง “เอ๊า คุณนนท์ เข้ามาเลย”  เจ้าของเสียงคือ องอาจ   “นันต์เอ่ย เอ๊งไปเอา กล่อง Server มาเรียงด้าน ข้างโต๊ะเอ๊ง 4 กล่องนี้”

ที่นี้ดูเหมือนโรงพยาบาลชั้นนำก็จริงนะครับ  แต่ธุรกิจของเราคือโรงพยาบาล ด้านไอทีเป็นเพียงด้านหลังฉากของความสำเร็จของโรงพยาบาล ห้องทำงานเราเลยไม่ใหญ่โตครับ  ขอโทษทีนะครับที่คับแคบหน่อย
อนันต์เอากล่อง Server  มาวางเรียง 4 กล่องเสร็จแล้ว  เอ๊าพวกเรามานั่งคุยกันตรงนี้  ธีรานนท์  อ๊อด   องอาจ  อนันต์  และวิชัย

“นันต์ และวิชัย สละเก๋าอี๋ให้พี่เขาด้วยนะ”  องอาจพูด
ทุกคนมานั่งสุ่มหัวกันโดยใช้กล่อง Server เป็นที่ประชุม ส่วนวิชัยนั่งหย่องๆ โดยไม่เก้าอี้ และอนันต์
“อ้าวเอ๊งไปยืนพิงเสา ข้างถังขยะทำไม” องอาจพูดถึงอนันต์
“ก็กางเกงผมมันฟิตครับพี่นั่งหย่องๆ เหมือนวิชัยไม่ได้ มันขาดเอ๋านะครับ” อนันต์ตอบ

“โทษทีนะครับ น้ำชา กาแฟ ไม่ต้องนะครับ ถ้าต้องการให้บอกนะ ผมขอเริ่มเลย”
“เรามีเวลาไม่นาน 13:30 โดยประมาณ Web Server เราต้องใช้งานได้ ซึ่งนับจากนี้เรามีเวลาไม่เกิน 2 ชั่วโมงในการกู้ระบบ” องอาจกล่าวด้วยน้ำเสียงชัดเจน

———————– ติดตามตอนต่อไป —————————

แนะนำตัวละคร
1. อนันต์ ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยของเครื่องแม่ข่ายประจำโรงพยาบาล  ตัวเอกของเรื่องในตอนนี้
2. ศิรินท์  ชื่อเล่นริน นักพัฒนาโปรแกรม ERP เป็น Out source จากบริษัทพัฒนาโปรแกรม และมีทีมงานด้วยกัน 2 คนที่มานั่งเขียนโปรแกรมซึ่งในขณะนี้ยังไม่ได้กล่าวถึง
3. พี่องอาจ ดูแลด้านระบบเครือข่าย  และ Log file ตาม พรบ.คอมพิวเตอร์ฯ เป็นคนที่เปิดดู Log Management ได้ เป็นคนที่อยู่ในโรงพยาบาลนี้มานาน อายุราว 39 ปี
4. วิชัย ดูแลเรื่องการ access internet  ภายในองค์กร โดยเฉพาะเรื่อง account ทั้งหมด อายุราว 28 ปี เป็นคนเงียบคุยเฉพาะสิ่งจำเป็น คุณพ่อของวิชัยเป็นหมอที่มีบารีมากในโรงพยาบาลแห่งนี้ เป็นกลุ่มก่อตั้งโรงพยาบาลนี้ขึ้น วิชัยเปรียบได้ว่าเป็นเด็กเส้นที่ไม่ค่อยมีใครอยากมีเรื่องด้วย
5. หนุ่ม ชื่อจริงชื่อ ราเชน เป็นโปรแกรมเมอร์ ผู้เขียนโค้ดพัฒนาเว็บไซต์ ร่วมกับบริษัทเอกชนที่ได้รับงานในขณะนี้ยังไม่ได้กล่าวถึง ดูเหมือนเป็นรุ่นน้้องเพราะหน้าตายังดูเด็กพึ่งจบจากมหาวิทยาลัยผิวขาวผอมสูงใส่แว่น
6. คุณหมอจารึก ผู้ช่วยผู้อำนวยการโรงพยาบาล ถือได้ว่าเป็นผู้ดูแลสายงานด้านไอซีที ทั้งหมดของโรงพยาบาล
7. คุณหมอประเสริฐ ผู้อำนวยการโรงพบาบาล
8. ผู้หญิงไม่รู้จักชื่อ ทำงานหน้าห้องผู้อำนวยการโรงพยาบาล
9. จุฑามาส อยู่บริษัท Ghostnet Buster Team ทำงานเอนกประสงค์ บัญชี การตลาด ประชาสัมพันธ์ เงินเดือนได้ทุกเดือนแบบเชียดชิ่ว มีความซื่อสัตย์ มีความอดทนไม่เลือกงานแม้ว่าจะอยู่ในที่ทำงานที่ไร้ซึ่งความมั่นคง
10. ธีรานนท์ ผู้ก่อตั้งบริษัท Ghostnet Buster Team อดีตพนักงานธนาคารเอกชนที่ทันสมัยที่สุดในประเทศไทย และอดีตที่ปรึกษาตำรวจไซเบอร์ ถึงแม้เบื้องหน้าแทบไม่มีใครรู้จักเขาเลย ชนิด low profile และก็ low profit อีกด้วย แต่เบื้องหลังโดยเฉพาะกลุ่มคนที่ทำงานด้านนี้อย่างแท้จริงเป็นที่รู้จักอยู่พอสมควร และเขามีเครือข่ายกลุ่มคนที่เป็นแฮกเกอร์ใต้ดินรุ่นเดอะในประเทศไทย มีทีมงานทำงานร่วมกันมาเป็น 10 ปี 2 คน คือ ต้อมและอ๊อด

+++++++++++++++++++++++++++++++++++++++++++++++

สงวนลิขสิทธิ์ SRAN Technology (www.sran.net)

นนทวรรธนะ  สาระมาน
Nontawattana  Saraman

ผู้เขียน
06/05/58

ตอนที่ 2 ที่นี้มีแฮกเกอร์ http://nontawattalk.blogspot.com/2015/05/hacker-here-2.html
ตอนที่ 3 ที่นี้มีแฮกเกอร์ http://nontawattalk.blogspot.com/2015/05/hacker-here-3.html

ในขณะที่ “Facebook ดับ”ผมนึกว่าเราจะกลายเป็นเหมือนประเทศจีน ที่มีโครงการ “Great China Firewall” เสียอีก แต่นั้นคือเขาทำได้เพราะช่องทางออกอินเทอร์เน็ตที่เชื่อมไปยังต่างประเทศมีไม่กี่ช่อง ทางแต่ปัจจุบันเมืองไทยเรามีช่องทางการออกอินเทอร์เน็ตที่เชื่อม ต่างประเทศ หรือเรียกทางเทคนิคว่า IIG (Internal Internet Gateway) นั้นมีหลายช่องทางและมีแนวโน้มจะเพิ่มขึ้นตามปริมาณการใช้งาน ดังนั้นการที่จะทำการปิดกั้นจากศูนย์กลางที่เดียวแบบ Single Command คงเป็นไปได้ยาก
เนื่องจากผมไม่ได้อยู่ในเหตุการณ์ช่วงที่ Facebook ล่ม ถึงอยู่ในช่วงเวลานั้นก็ไม่กระทบอะไรเพราะตนเองไม่มี account facebook และไม่คิดจะมี account facebook แต่เมื่อหลายคนพูด Talk of the town เลยมานั่งวิเคราะห์ดูว่าสาเหตุที่แท้จริงคืออะไร เผื่อว่าจะเป็นการแชร์ความรู้ให้กับทุกท่านที่ได้ติดตามอ่านบทความของผมอย่างต่อเนื่อง

เมื่อทำการวิเคราะห์สามารถพิจารณาจาก 2 ส่วน  ดังนี้
ส่วน ที่ 1 พิจารณาการเชื่อมต่อข้อมูลบนระบบเครือข่าย (Route Traffic)  ซึ่งในเส้นทางการเชื่อมต่อในส่วนนี้อาจเปลี่ยนแปลงไปเรื่อยๆ ไม่คงทีขึ้นอยู่กับการ config ของฝั่งผู้ให้บริการ ดังนั้นการยกตัวอย่างในบทความนี้อาจไม่เป็นเช่นนั้นเสมอไป

ส่วนที่ 2 พิจารณาการเรียกค่า DNS (Domain Name System)

ส่วนที่ 1 การเชื่อมต่อข้อมูลบนระบบเครือข่าย (Route Traffic)
ซึ่งในส่วนแรกเราจะต้องตั้งต้นที่ Gateway ในขาต่างประเทศ เพื่อวิเคราะห์ว่ามีก Link ใดบ้างทีเชื่อมต่อกับ Facebook จะพบว่า
ASN ในประเทศไทยที่มีขาเชื่อมต่อต่างประเทศ มีดังนี้
1. AS4651 : CAT Telecom
2. AS17565 : ADC (Advance Datanetwork Communications Co.,Ltd. BuddyB service. Bangkok)
3. AS45796 : BB Connect (UIH or DTAC)
4. AS7568 : CSLoxinfo
5. AS45629 : JasTel (3BB)
6. AS45430 : SBN (AIS)
7. AS132876 : Symphony
8. AS58430 : TCCT
9. AS38082 : True Internet
10. AS38040 : TOT

ASN ของ Facebook คือ AS32934 มีค่าไอพี (IPv4) ทั้งหมด 54,272
ซึ่งในนี้จะมีการเชื่อมต่ออยู่จำนวน 152 Link
ที่ ASN ของ Facebook มี Link ไปประเทศสิงค์โปร มีจำนวน 2 Link คือ
– AS7473 : Singapore Telecom
– AS4844 : Super Internet Access PTE

(1) AS7473 : Singapore Telecom มีการเชื่อมต่อในประเทศไทย ดังนี้
1.1 AS38082 : True Internet
1.2 AS4651 : CAT Telecom
1.3 AS7568 : CSLoxinfo
1.4 AS45629 : JasTel
1.5 AS38040 : TOT

(2) AS4844 : Super Internet Access PTE มีการเชื่อมต่อในประเทศไทย ดังนี้
2.1 AS4651 : CAT Telecom
2.2 AS38082 : True Internet
2.3 AS7568 : CSLoxinfo
2.4 AS38040 : TOT
2.5 AS45629 : JasTel
2.6 AS45796 : BBconnect
2.7 AS45430 : SBN-IIG
2.8 AS9587 : DTAC
2.9 AS9931 : CAT Telecom

เพื่อให้เห็นภาพขอทำการทดสอบผ่านผู้ให้บริการอินเทอร์เน็ต ที่ผู้เขียนสามารถจะทำได้ดังนี้
(1) ทำการ Trace route เพื่อค้นหาเส้นทาง ในกรณีที่ใช้เครือข่าย DTAC

ทำการทดสอบวันที่ 28 พค 57 เวลา 16:38  ซึ่งเป็นเกิดเหตุการณ์ Facebook ล่มไปแล้วไม่นาน

จะพบว่าใน hop ที่1 ถึง 13 เป็นการ Routing บนเครือข่ายของ DTAC เอง (เป็น Private IP Address)
จากนั้นใน hop ที่ 14 เริ่มการไปเชื่อมกับ TOT IIG ที่ ไอพี 180.180.248.69
จากนั้นใน hop ที่ 15 มีการเรียกค่าไปที่โดเมน facebook-sg.totiig.net โดย เป็นค่าไอพี 180.180.255.222
และ hop ที่ 16 เป็นการเชื่อมต่อไปที่ ae11.bb02.sin1.tfbnw.net ไอพี 31.13.28.148 ซึ่งเป็นไอพีภายใต้ AS32934
hop 21 และ hop 22 ที่ติดระบบรักษาความปลอดภัยของ Facebook
ใช้ระยะทางเรียกค่า www.facebook.com ทั้งหมด 23 hop

(2) ทำการ Trace route เพื่อค้นหาเส้นทาง ในกรณีที่ใช้เครือข่าย 3BB

ทำ การทดสอบ ที่ AS45629  ช่วงไอพีที่ทำการทดสอบ เวลาทดสอบวันที่ 29 พค 57 เวลา 8:32 ซึ่งเกิดเหตุการณ์ facebook ล่มไปแล้วหลายชั่วโมง และระบบกลับมาปกติแล้ว

เริ่มมีการเชื่อมต่อกับเครือข่ายอื่นที่ hopที่ 7 จะเป็นเครือข่ายอื่น ไอพี 80.77.0.77
AS15412 : Reliance Globalcom Limited จากนั้้น hop ที่ 8 ไปที่ ge-71-1-0.0.ejr03.sin001.flagtel.com ค่าไอพี 62.216.128.9
จาก hop ที่ 7 ถึง 8 จะไปผ่านที่ประเทศอังกฤษ Flag Telecom Global
 และออกไปที่ฮ่องกงใน hop ที่ 10 facebook-10G.hkix.net ไอพี 202.40.161.110 จากนั้นเข้าไปสู่เครือข่ายที่ Facebook
 ใช้ระยะทางเรียกค่า www.facebook.com ทั้งหมด 12 hop

(3) ทำการ Trace route เพื่อค้นหาเส้นทาง ในกรณีที่ใช้เครือข่าย True

ทำการทดสอบในวันที่ 30 พค 57 เวลา 07:43 ทดสอบผ่าน AS132061 Real Move (เป็นช่วงไอพีของ True Internet บนเครือข่ายมือถือ)

จะพบว่ามีการเริ่มออกจากเครือข่าย True ที่ hop 12 SG-ICR-GS1-10GE.trueintergateway.com โดยมีค่าไอพี 113.21.241.162  จากนั้น hop ที่ 13 xe-7-1-1.pr01.sin1.tfbnw.net ค่าไอพี 103.4.96.29 เป็นเครือข่ายของ Facebook AS32934
 ใช้ระยะทางเรียกค่า www.facebook.com ทั้งหมด 15 hop
ซึ่ง True Gateway สามารถมีการเชื่อมต่อไปตรงที่ Facebook ได้

(4) ทำการ Trace route เพื่อค้นหาเส้นทาง ในกรณีที่ใช้เครือข่าย CSLoxinfo

ทดสอบบนเครื่องแม่ข่าย (Server ส่วนตัว) เมื่อวันที่ 30 พค 57 เวลา 9:21 โดยทำการทดสอบบนย่านไอพี AS9891 ผลลัพธ์คือ

จะ พบว่าใน hop ที่ 8 มีการเชื่อมต่อไปยังต่างประเทศ คือ 32934.sgw.equnix.com มีค่าไอพี 202.79.197.65 ซึ่งอยู่ที่ประเทศสิงค์โปร จากนั้นใน hop ที่ 9 ติดต่อไปที่ Facebook
รวมระยะเส้นทางจำนวน 12 hop

หมายเหตุ : ทุกเส้นทางที่แสดงผลในนี้อาจมีการปรับเปลี่ยนได้ตลอดเวลาเนื่องจาก Routing Traffic จะเกิดขึ้นจากผู้ดูแลระบบที่ทำการ Config ค่า

ส่วนที่ 2 การเรียกค่า DNS 
เมื่อทำการ nslookup facebook จะได้ผลลัพธ์ดังนี้

facebook.com    nameserver = a.ns.facebook.com
facebook.com    nameserver = b.ns.facebook.com
facebook.com    text =

        “v=spf1 redirect=_spf.facebook.com”
facebook.com    MX preference = 10, mail exchanger = msgin.t.facebook.com
facebook.com
        primary name server = a.ns.facebook.com
        responsible mail addr = dns.facebook.com
        serial  = 1401416932
        refresh = 7200 (2 hours)
        retry   = 1800 (30 mins)
        expire  = 604800 (7 days)
        default TTL = 120 (2 mins)
facebook.com    internet address = 173.252.110.27
facebook.com    AAAA IPv6 address = 2a03:2880:2110:df07:face:b00c:0:1

a.ns.facebook.com       internet address = 69.171.239.12
b.ns.facebook.com       internet address = 69.171.255.12

ส่วนค่า DNS หลักของผู้ให้บริการอินเทอร์เน็ตในประเทศไทย จะแยกกันไป
ในที่นี้ขอยกตัวเฉพาะ DNS ของ TOT
ได้แก่ dns1.totbb.net มีค่าไอพี 203.113.5.130 , dns2.totbb.net มีค่าไอพี 203.113.7.130  และ dns3.totbb.net มีค่าไอพี 203.113.9.123
เมื่อมี การแจกค่า DNS ไปยังอุปกรณ์ Router ตามบ้าน หรือ ค่าที่ได้รับอัตโนมัติจากผู้ให้บริการจะทำให้เครื่องคอมพิวเตอร์ หรือ มือถือ จะได้รับค่า DNS จากผู้ให้บริการทันที  ยกเว้นกรณีที่ผู้ใช้งานตั้งค่า DNS เอง (Manual) โดยหลายคนอาจตั้งค่า DNS ไปที่ 8.8.8.8 ของ google เป็นต้น ซึ่งคนที่ตั้งค่าเองอาจไม่ได้รับผลกระทบกับการเรียก www.facebook.com
ดัง นั้นเหตุการณ์ที่เกิดขึ้นนี้ สามารถเข้าใช้งานในโดเมนอื่นๆได้ ยกเว้นโดเมน facebook.com มีความเป็นไปได้ที่มีการเปลี่ยนเส้นทาง DNS เพื่อให้ไป Query โดเมนที่ DNS ของผู้ให้บริการรายใดรายหนึ่ง และ DNS การสามารถกำหนด host file ในเครื่อง DNS Server เพื่อไม่ให้ผู้ใช้งานเข้าใช้บริการเมื่อมีการเรียกค่า DNS ได้ และสามารถ Redirect ไปยังเพจที่ขึ้นข้อความอื่นๆเพื่อบ่งบอกถึงว่าปิดระงับชั่วคราวได้  การปิดกั้นช่องทางผ่านเทคนิค DNS ในทางที่ก่อให้เกิดประโยชน์โดยมากเขาจะปิดกั้นไม่ให้เข้าถึง โดเมนที่มีภัยคุกคามเช่น โดเมนที่ติดไวรัส (Malware) โดเมนที่เป็น Phishing และ โดเมนที่มีความเสี่ยงทางอาชญากรรมคอมพิวเตอร์ เพื่อไม่ให้ผู้ใช้งานตกเป็นเหยื่อได้

* การตรวจดูว่า DNS เราใช้อยู่คืออะไรสามารถทำได้โดย ใช้ command  ipconfig /all  หรือใน linux ได้โดย ifconfig ตรวจดูค่า DNS หากใช้ผ่าน Router บ้านหรือองค์กรจะได้ค่าชี้ไปที่ Gateway ขององค์กร นั้นและค่า Router นั้นมักตั้งให้รับค่าอัตโนมัติ จะได้ค่า DNS จากผู้ให้บริการ

ตัวอย่าง Log DNS จากของจริงจาก srandns.com

30-May-2014 11:10:30.446 client 101.108.xx.xx#11240: query: mesu.apple.com IN A + (x.x.x.x)
30-May-2014 11:10:19.702 client 180.183.xx.xx#65484: query: sran.net IN A + (x.x.x.x)
30-May-2014 11:09:56.150 client 124.122.xx.xx#11540: query: m.ak.fbcdn.net IN A + (x.x.x.x)
30-May-2014 11:09:49.712 client 180.183.xx.xx#29337: query: www.facebook.com IN A + (x.x.x.x)
30-May-2014 11:09:36.869 client 180.183.xx.xx#19924: query: dnl-15.geo.kaspersky.com IN A + (x.x.x.x)
30-May-2014 11:09:33.959 client 180.183.xx.xx#19922: query: dnl-15.geo.kaspersky.com IN A + (x.x.x.x)
30-May-2014 11:09:14.741 client 101.108.xx.xx#11237: query: z-m.c10r.facebook.com IN A + (x.x.x.x)
30-May-2014 11:08:56.400 client 180.180.xx.xx#17540: query: imap.gmail.com IN A + (x.x.x.x)
30-May-2014 11:08:56.098 client 180.180.xx.xx#17539: query: www.sran.org IN A + (x.x.x.x)

จาก log จะเห็นว่าเราพบวันเวลา ค่าไอพี ของเครื่อง client ที่ใช้ DNS ค่าความต่อเนื่อง #ตามด้วยตัวเลข การ Query โดเมน

 และค่า x.x.x.x จะเป็นค่าไอพีของฝั่ง DNS Server 

ยกตัวอย่างเบื้องต้นประมาณนี้ก่อน

สรุปได้ว่า : ปัญหาที่เกิดขึ้นอาจจะเกิดจากการเปลี่ยนค่า DNS ที่ฝั่งผู้ให้บริการจะทำให้ผู้ใช้งานทั่วไปเรียกค่าโดเมนผ่าน DNS ใหม่ที่อาจทำให้เป็นการปิดกั้นช่องทางได้  หรือ ที่ผมเคยเขียนไว้ในบทความ “เตือนภัยเรื่อง DNS ที่มีผลกระทบต่อผู้ใช้งานตามบ้าน http://nontawattalk.blogspot.com/2014/04/dns.html ” สิ่งที่เกิดขึ้นอาจเป็นเพราะคนที่เข้าไปแก้ไขค่า config เส้นทางการเรียกข้อมูลในช่วงเวลานั้นอาจจะยังไม่เข้าใจในระดับผู้ให้บริการ (ISP) ดีพอจนปล่อยให้เกิดผลกระทบที่ทำให้ทุกคนรับรู้และเป็น Talk of the town ได้ขนาดนี้

แนวทางที่ควรปฏิบัติในอนาคต

   ถึงแม้เหตุการณ์นี้จึงเป็นบทเรียนสำคัญสำหรับคนที่คิดจะทำการปิดกั้น โดยเฉพาะการปิดกั้นทั้งโดเมนสามารถทำได้ แต่อาจมีผลกระทบเยอะ และหากเปิดกั้นจากจุดเดียวด้วยวิธีนี้จำเป็นต้อง Route เส้นทาง การเรียกค่าโดเมนแนม ให้ออกไปยังจุดใดจุดหนึ่ง แต่ผลลัพธ์ก็อย่างที่เห็นคือไม่สามารถใช้งานได้ ซึ่งมีเหตุผลรองรับ เช่น อุปกรณ์ Load Balancing ที่อยู่หน้า DNS Farm Server หรือ DNS Server ใหม่ไม่สามารถรองรับ ปริมาณ traffic ได้ การ Query DNS ไม่สมารถรับค่าปริมาณเยอะๆพร้อมกันได้ อุปกรณ์ฝั่งระบบเครือข่ายไม่สามารถรองรับปริมาณข้อมูลได้ในเวลาจำกัด การปิดกั้นควรปิดกั้นเป็นบางเพจหรือค่า URI page นั้น ในอดีตการเปิดกั้นเว็บเพจ มักใช้เทคนิคเรียกว่า “TCP Hijack session” ปิดการเชื่อมต่อ session ของ ไอพีผู้ใช้งาน (Client) เพื่อไม่ให้เรียกเพจ เช่น http://xx.com/abcd/xx.html อันนี้ทำได้ในอดีต

http://www.abc.com/abc.html  แบบนี้ปิดได้
https://www.abc.com/abc.html แบบนี้ปัจจุบันยังปิดไม่ได้
แบบ facebook.com โดเมนทั้งหมด ปิดได้อยู่แล้ว  (ไม่ควรทำ) แต่อย่างไรก็ดีก็ยังไม่สามารถปิดกั้นจากจุดเดียวแบบ Single command ได้ ไม่ว่าเป็น โดเมนแนม หรือ URI ต้องบอก ISP แต่ละทีให้ปิด

กรณีเฝ้าระวังการใช้งาน HTTP
การเฝ้าระวัง (monitoring) ขอยกตัวอย่างโดยใช้อุปกรณ์ SRAN Light รุ่นเล็กติดตั้งที่ office
หน้าจอเฝ้าระวังโดยการเขียน signature จับค่า HTTP GET

 จากภาพ กรณี HTTP จะเห็นว่าเห็นทั้งค่าไอพีต้นทาง (ผู้ใช้งาน) ไอพีปลาย และ URI ที่เรียกใช้งาน
ส่วน MAC Address เครื่องเป็นค่า MAC ของอุปกรณ์ Switch ในองค์กร ซึ่งไม่ต้องสนใจเพราะค่าจะเป็นค่าเดียวเนื่องจากทำการ Mirror traffic มา

กรณีการเฝ้าระวัง  HTTP ผ่าน Proxy

จากภาพก็ยังเห็นว่า ถึงแม้จะผ่าน Proxy ก็ยังสามารถเห็นไอพีต้นทาง ไอพีปลายทาง (ก็คือ Proxy server) และ URI ที่ไปได้

กรณีการเฝ้าระวัง  HTTPS

จากภาพหากผ่าน HTTPS จะเห็นแค่ ไอพีปลายทาง ไม่เห็น URI ทำให้ไม่รู้รู้เปิด path ไหนของเว็บ เว็บนั้นๆหาได้จากไอพีปลายทางเอาไป whois หรือ covert IP to Host เอาไม่ยากสำหรับคนรู้หาได้ แต่อย่างไรก็หา URI ไม่ได้

แต่อย่างไรก็ดี HTTPS สามารถมองเห็นได้แต่ต้องทำ MITM (Man In The Middle Attack) ซึ่งในระดับองค์กรทำได้ แต่ระดับประเทศทำยาก และไม่ควรทำ

ปัจจุบันเครือข่ายสังคมออนไลน์ facebook , twitter , youtube หันมาใช้บริการ SSL คือผ่าน https หมด จึงไม่สามารถใช้เทคนิคเดิมเพื่อปิดกั้นได้เนื่องจากมีการเข้ารหัสจนไม่ สามารถล่วงรู้ถึง URI ปลายทางได้รู้แต่ค่าไอพี และทำการ covert กลับเป็นชื่อโดเมนทำให้ปัจจุบันไม่สามารถปิดกั้นได้  แต่หากทำการปิดกั้นก็มีหนทางโดยมากจะทำในระดับองค์กร แต่หากทำในระดับผู้ให้บริการระดับ ISP และในเมืองไทยมีผู้ให้บริการที่ออกโครงข่ายต่างประเทศหลายรายที่นับได้คือ เป็น 10 ที่ การทำวิธีดังกล่าวจึงมีออกแบบทั้งปริมาณข้อมูลที่รับได้ และทางฉุกเฉินเมื่อไม่สามารถเชื่อมต่อได้ ซึ่งโดยรวมนั้นอาจมีผลกระทบต่อผู้ให้บริการ (ISP) และผู้ใช้ งาน (User) โดยเฉพาะอาจได้รับ Certificate ที่ไม่ได้มาจากแหล่งต้นทาง  ดังนั้นการปิดกั้นควรคำนึงถึงเรื่องนี้ไม่งั้นอาจเป็นภัยคุกคามต่อผู้ใช้งาน ได้ เช่นกรณีคนที่ ใช้เทคนิค MITM (Man In The Middle attack) ในพื้นที่สาธารณะ บนเครือข่ายไร้สาย หรือ องค์กรขนาดเล็กก็จะได้รับค่า Certificate ที่ไม่ได้มาจากแหล่งต้นทางที่แท้จริงได้เช่นกัน และช่องทางพิเศษในการอำพรางตัวตนนั้นมีมากมาย ค้นหาใน Google หรือ Search engine อื่นก็สามารถใช้งานได้ง่ายและปัจจุบันใครก็ทำได้ ยิ่งทำการปิดกั้นก็ยิ่งมีคนอยากเข้าถึง และหาทางหลีกเลี่ยงการหลบซ๋อนค่าไอพียิ่งทำให้หาตัวผู้กระทำความผิดได้ยากขึ้น ซึ่งสิ่งที่ควรปิดกั้นคือช่องทางที่อำพรางตัวตนแบบออนไลน์มากกว่าการปิดกั้นเว็บเพจ 
(อาจดูเหมือนทำยากแต่สามารถทำได้และไม่กระทบต่อผู้ให้บริการและผู้ใช้งาน ซึ่งหากมีโอกาสจะแนะนำวิธีการให้ต่อไป)

ค่าไอพี (IP Address : Who) และ เวลา (Time : When) ส่วน What ทางเทคนิคหาได้จาก Log file  ถ้าไม่ใช้เทคนิคการหาทางการข่าวได้ เหล่านี้จะเป็นตัวบ่งบอกถึงความเป็นตัวตนของผู้ใช้งาน หากมีการอำพรางตัวตนก็เท่ากับไม่สามารถหาค่าไอพีที่แท้จริงได้ และโดยมากผู้มีเจตนาไม่ดีมักทำการอำพรางตัวตนที่แท้จริง เพราะคนที่เจตนาดีมักจะไม่มีความจำเป็นต้องอำพรางตัวตนในการใช้งาน

สรุปแนวทางในอนาคต
1. ไม่แนะนำให้มีการปิดกั้นการเข้าถึงข้อมูลไม่ว่าเป็นสื่อสังคมออนไลน์หรือเว็บเพจ เพราะยิ่งปิดกั้นคนก็จะพยายามหาทางเข้าถึง และหลีกเลี่ยงโดยไปใช้โปรแกรมอำพรางตัวเอง เช่นโปรแกรม Tor Network , Proxy Anonymous ต่างๆ และทำให้การหาผู้กระทำความผิดได้ยากขึ้น และการปิดกั้นปิด หนึ่งเว็บก็เปิดใหม่ได้อีกเรื่อยๆ เป็นลักษณะแมววิ่งไล่จับหนู ซึ่งไม่มีทางจบสิ้น และอีกอย่างสังคมปัจจุบันเป็นสังคมเปิด โดยเฉพาะสื่อออนไลน์จะมีข่าวสารฉับไว จนสามารถทำให้ผู้คนที่เข้าถึงอินเทอร์เน็ตรู้ทันกันไปหมด คิดอะไรไม่ออกก็ค้นหา google ก็รู้ได้ ดังนั้นการปิดจึงเป็นวิธีการที่ผมเองไม่เห็นว่าจะเกิดประโยชน์ในระยะยาว

2. เมื่อพบเนื้อหาไม่เหมาะสม ต้องไม่ขยายผลต่อ ไม่ว่าเป็นชื่อเพจ หรือการแชร์ ควรส่งให้หน่วยงานที่รับผิดชอบเพื่อไม่เป็นการขยายผลต่อ

3. หากจะทำการปิดกั้น ควรจะทำการปิดกั้นค่าไอพีที่ได้จากโปรแกรมอำพรางตัวตน หรือทำการปลอมตัวตนที่แท้จริงจนไม่สามารถตรวจสอบได้
 และควรปิดกั้นการเข้าถึงโดเมนที่ติดเชื้อ Malware  โดเมนที่หลอกลวงประชาชน (Phishing) ในฝั่งผู้ให้บริการอินเทอร์เน็ตไทย ซึ่งเป็นการสร้างความปลอดภัยให้กับคนในชาติ ที่ใช้งานอินเทอร์เน็ตไม่ตกเป็นเหยื่อทางอาชญากรรมคอมพิวเตอร์โดยไม่รู้ตัว

4. ควรรณรงค์ให้มีการเก็บ Log ให้ถูกต้องตามกฏหมาย พรบ. คอมพิวเตอร์ฯ เพราะ Log จะเป็นตัวช่วยสืบหาผู้กระทำผิดได้ Log บ่งบอกถึงพฤติกรรมและเหตุการณ์ที่ขยายผลในการหาผู้กระทำความผิดทั้งตัวบุคคลและเครือข่ายได้ ,Log ที่เก็บไม่ว่าผู้ให้บริการ ISP หรือ ผู้ให้บริการทาง Application ต่างๆที่มีความเสี่ยงต่อการกระทำความผิดควรเก็บ Log และไม่ว่าเป็นองค์กร บริษัท โรงเรียน โรงแรม ผู้ให้บริการไร้สาย (Wi-Fi) Log every where เป็นต้น ควรเก็บ Log ทั้งหมด ซึ่งประโยชน์ของ Log ที่สามารถเชื่อมโยงหลักฐานต่างๆ เพื่อเป็นประโยชน์ในการสืบสวนได้ เปรียบได้กล้องวงจรปิดหากมีหลายจุดก็ย่อมปะติดปะต่อข้อมูลได้ อ่านเพิ่มเติมได้
http://nontawattalk.blogspot.com/2010/08/4.html
http://nontawattalk.blogspot.com/2009/04/blog-post.html

5. ควรพัฒนาวิจัยเทคโนโลยีของคนในชาติเองอย่าไปพึ่งคนอื่น ประเทศชาติอื่นให้มาก อย่าเชื่อฝรั่งมาก ในกรณีที่เห็นได้ชัด เช่น facebook หรือ Line เราไม่สามารถขอหลักฐานได้มากมายเพราะการเก็บข้อมูลอยู่ที่ต่างประเทศทั้งหมด ซึ่งต่างประเทศก็มีกฏหมายคอมพิวเตอร์ที่แตกต่างกับเราใช้กันไม่ได้ และอีกไม่นานเมื่อ 4G มาถึงเราจะพบว่าการโทรศัพท์เราก็จะไม่ใช้เบอร์โทรอีกต่อไป เป็นหมายเลข account ของ Line หรือ google หรือ Apple หรือ facebook  และโทรศัพท์ผ่านเครือข่ายอินเทอร์เน็ตหมด พอถึงวันนั้นเราจะยืนอยู่ที่ไหน? เพราะ Server ต่างๆเราฝากชีวิตไว้ที่ Cloud Services กับผู้ให้บริการ Application ต่างชาติหมด ไม่ว่ารูปภาพ คลิป เว็บ ข้อมูลต่างๆ ก็เสมือนว่าชีวิตเราฝากไว้กับเขา
เรื่องที่เห็นชัดเจนอีกเรื่อง คือ CDN (Content Delivery Services) ที่ให้บริการ facebook ก็ยังมีเส้นทางผ่านไปประเทศสิงค์โปร CDN หลักฐาน facebook การเก็บข้อมูลส่วนที่ใกล้ที่สุดก็ยังอยู่ที่สิงค์โปรไม่ได้อยู่ในประเทศไทย … พอเสียที่กับการเป็นแค่ตัวแทนขาย ถึงเวลาที่เราต้องมาร่วมกันสร้างชาติให้เข้มแข็งขึ้นได้แล้ว เราควรมีของที่เราใช้เองพัฒนาเองบางได้แล้ว อาจถึงเวลาที่เรามานั่งทบทวนเรื่องเหล่านี้ให้มากก่อนที่ตกหลุดพรางเสรีภาพออนไลน์แบบไร้พรมแดนแบบนี้ต่อไป

Nontawattana  Saraman
SRAN Dev Team
30/05/57

 DNS ที่ส่งผลกระทบต่อผู้ใช้งานตามบ้าน  เรื่องใกล้ตัวที่คนไทยถูกเปลี่ยนเส้นทางในการเข้าถึงข้อมูลทางอินเทอร์เน็ตจนถึงขั้นตกเป็นเหยื่อทางอาชญากรรมทางไซเบอร์กว่าแสนเครื่อง เรื่องเก่าที่จำเป็นต้องขยายความเพื่อความตะหนักถึงภัยคุกคามที่อาจเกิดขึ้นกับตัวคุณเองได้
  
บทความนี้ขอแบ่งเป็น 3 หัวข้อ คือ
หัวข้อที่ 1 การสำรวจและสถิติข้อมูล (Internet Discovery and Census)
หัวข้อที่ 2 พิสูจน์หาความจริงเกี่ยวกับค่า DNS ที่ถูกเปลี่ยน และผลกระทบที่เกิดขึ้น
หัวข้อที่ 3 การป้องกัน (Protection)

1. การสำรวจและสถิติข้อมูล (Internet Discovery and Census)

เมื่อเดือนมกราคม 2557 ที่ผ่านมาได้มีการเผยแพร่ช่องโหว่ของอุปกรณ์เราเตอร์โดยสามารถเข้าถึงอุปกรณ์ได้และทำให้นักเจาะระบบสามารถเข้าไปควบคุมอุปกรณ์เราเตอร์ตามบ้านและทำการเปลี่ยนเส้นทางการเรียกข้อมูลโดยเปลี่ยนค่า DNS ในอุปกรณ์เราเตอร์ที่บ้านเรา ซึ่งส่งผลกระทบต่อผู้ใช้งานตามบ้าน (User) โดยตรง ปัญหานี้ถึงแม้ในปัจจุบันผู้ให้บริการได้มีการเขียนสคิปเพื่อเปลี่ยน DNS แก้กลับคืนได้ผ่านหลากหลายวิธีที่สามารถทำได้ผ่านผู้ให้บริการอินเทอร์เน็ต (ISP) แต่ถึงอย่างไรก็ไม่สามารถแก้ไขเครื่องเราเตอร์ที่มีช่องโหว่ได้ทั้งหมด โดยทั้งนี้ผู้เขียนจะขอรวบรวมสถิติที่ทางทีมงาน SRAN ได้สำรวจผ่านสคิปบอทที่จัดทำขึ้นเฉพาะเพื่อประเมินค่าทางสถิติบทวิเคราะห์รวมถึงวิธีการป้องกันต่อไปนี้ 
1.1 เครื่องมือในการสำรวจ
เป็นการพัฒนาโปรแกรมขึ้นมาเพื่อสำรวจข้อมูลโดยเฉพาะ และใช้การทำ Log Analysis เพื่อทำการวิเคราะห์ข้อมูลที่ได้จากสคิปบอท

 ภาพ หน้าจอระบบสำรวจ (Internet Census) เมื่อนำเข้าสู่ระบบ Log Analysis ทำการสำรวจข้อมูล ASN จำนวนกว่า 4 ล้านค่าไอพีตลอดระยะเวลา 2 เดือน

สคิปบอทที่จัดทำขึ้นเฉพาะนั้นทำการสำรวจผ่านเทคนิคตรวจสอบการ HTTP port 80 ลักษณะตรวจ Basic Authentication และ HTTP Header โดยมีลักษณะเหมือน Crawler เช่นเดียวกับ google และ shodanhq โดยเราตั้งชื่อระบบสำรวจนี้ว่า “SRAN Internet Exposed” โดยสำรวจ 2 ครั้งต่อ 1 ค่า ASN โดยมีการระบุค่า MAC Address ที่อุปกรณ์เราเตอร์เพื่อไม่เกิดการซ้ำของค่าข้อมูล
โดยทำการตรวจสอบข้อมูลลักษณะช่องโหว่ของอุปกรณ์เราเตอร์ (Router Fingerprint) ที่พบว่ามีช่องโหว่ได้แก่ ช่องโหว่ Exploit ตาม CVE ได้แก่ d-link,tp-link,zyxel และ Huawai , rom-0 และ default password  โดยผลลัพธ์คือ

1.2 ระยะเวลา 2 เดือน คือเดือน กุมภาพันธ์ – เมษายน 2557 ทำการสำรวจค่า IPv4 ทั้งหมดจาก ASN ทั้งหมด 7 ตัวที่คิดว่าอาจมีผลกระทบต่อผู้ใช้งานอินเทอร์เน็ตบ้าน

1.3 ผลลัพธ์จากการสำรวจจัดทำเฉพาะผู้ใช้งานอินเทอร์เน็ตตามบ้าน
ซึ่งมีทั้งค่า IPv4 ที่ใช้สำรวจทั้งหมดจำนวน 4,704,557

ค่าการสำรวจถึงวันที่ 13 เมษายน 2557 พบช่องโหว่ที่พบจำนวน  616,294
ซึ่งคิดเครื่องที่มีความเสี่ยง 13.09% 

โดยสำรวจจากค่า ASN ดังนี้

(1) AS9737 จากจำนวน IPv4 ทั้งหมดจำนวน 1,238,528  พบช่องโหว่ 427,405 เครื่อง ซึ่งพบว่าเป็น Default password จากผู้ให้บริการอินเทอร์เน็ต ถึง 241,372 เครื่อง 

(2) AS45758 จากจำนวน IPv4 ทั้งหมดจำนวน 1,059,328 พบช่องโหว่ 149,381 เครื่อง

(3) AS23969 จากจำนวน IPv4 ทั้งหมดจำนวน 71,680 พบช่องโหว่ 23,547 เครื่อง

(4) AS17552 จากจำนวน IPv4 ทั้งหมด 1,594,112 พบช่องโหว่ 14,545 เครื่อง

(5) AS131090 จากจำนวน IPv4 ทั้งหมดจำนวน 90,112 พบช่องโหว่ 1,391 เครื่อง

(6) AS45455 จากจำนวน IPv4 ทั้งหมดจำนวน 7,936 พบช่องโหว่ 14 เครื่อง

(7) AS7470 : จากจำนวน IPv4 ทั้งหมด 642,861 พบช่องโหว่ 11 เครื่อง

หมายเหตุ : จำนวน IPv4 ทั้งหมดไม่ได้หมายถึงว่าจะมีเครื่องตามนั้น แต่ที่พบช่องโหว่เป็นไปตามจำนวนเครื่องจริงเนื่องจากสคิปบอทที่ทำขึ้นตรวจค่า MAC Address เป็นหลัก

2. พิสูจน์หาความจริงเกี่ยวกับค่า DNS ที่ถูกเปลี่ยน และผลกระทบที่เกิดขึ้น
 
2.1 ค่า DNS : ผลการสำรวจพบว่าเราเตอร์ที่ถูกเข้าถึงข้อูลได้นั้นมีการถูกเปลี่ยนค่า DNS ดังนี้

ซึ่งจะพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 87,613 เครื่อง รองลงมาคือ AS23969 จำนวน 4,133 และ AS17552 จำนวน 420 เครื่อง และ AS45758 พบ 191 เครื่อง และ AS131090 จำนวน 152 เครื่อง

(2) kolteranka.info

สรุปความเชื่อมโยงค่า Hostname ที่ต้องสงสัยกับการ
jiopjieraee.info และ kolteranka.info มีค่าไอพี  68.168.98.196 ตั้งอยู่ที่ Lenexa, United States
ใช้ Name Server ตัวที่ 1 ชื่อ ns1.regway.com มีค่าไอพี   176.74.216.129 ตั้งอยู่ที่ Czech Republi
ใช้ Name Server ตัวที่ 2 ชื่อ ns2.regway.com มีค่าไอพี   5.153.15.74 และ 159.253.133.210 ตั้งอยู่ที่ Netherlands

  (3) ประวัติไอพีและโดเมนข้อมูลจาก Virustotal ได้ข้อมูลดังนี้

Scanning 68-168-98-196.dedicated.codero.net (68.168.98.196)

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.3 (protocol 2.0)
|_banner: SSH-2.0-OpenSSH_5.3
| ssh-hostkey: 1024 32:35:a6:b2:2d:61:47:71:f2:b5:3b:5a:6e:58:e0:05 (DSA)
|_2048 d6:8e:d0:93:1b:f8:12:54:cb:4b:58:2d:ed:8f:cf:86 (RSA)
53/tcp open  domain
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.9
Uptime guess: 8.881 days (since Sat Apr  5 19:12:49 2014)

ซึ่งส่วนนี้คงต้องวิเคราะห์กันอีกทีว่าทำไมทาง Symantec จึงมีการเปลี่ยนค่า DNS เราเตอร์ในประเทศไทยด้วย อาจเป็นเพื่อการทดลอง วิจัย (Honeypot) หรือเป็นการป้องกันภัยให้กับผู้ใช้งานอินเทอร์เน็ตก็เป็นไปได้ 

2.2.3 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 74.82.207.26  มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 47,944 เครื่อง

เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้

ซึ่งจากข้อมูลพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 42,268 เครื่อง รองลงมาคือ AS23969  จำนวน 2,441 และ AS45758 พบ 2,434 เครื่อง และ AS17552 จำนวน 700 เครื่อง และ AS131090 จำนวน 66 เครื่อง

ตรวจดูค่า whois ได้ผลลัพธ์คือ

Host script results:
| asn-query: 
| BGP: 74.82.192.0/19 | Country: CA
|   Origin AS: 53612 - CARAT-NETWORKS - Carat Networks Inc,CA
|_    Peer AS: 174 13768
| whois: Record found at whois.arin.net
| netrange: 74.82.192.0 - 74.82.223.255
| netname: CLEARANCE-RACK
| orgname: Carat Networks Inc
| orgid: CLEAR-73
| country: CA stateprov: ON
| 
| orgtechname: Fromm, James
|_orgtechemail: fromm@caratnetworks.com
|_whois-domain: You should provide a domain name.

เคยมีประวัติติดแพร่เชื้อไวรัส พบเมื่อวันที่ 30 มีนาคม 2557  

รายละเอียดที่  https://www.virustotal.com/en/ip-address/74.82.207.26/information/

14/04/57
Nontawattana Saraman
SRAN Dev Team

ข้อมูลและเขียนโดย นนทวรรธนะ  สาระมาน  ทีมพัฒนา SRAN
ขอสงวนสิทธิข้อมูลในบทความนี้หากต้องการนำเผยแพร่ควรอ้างอิงแหล่งที่มา
แหล่งข้อมูลอ้างอิง
https://www.robtex.com/
https://www.virustotal.com/
http://he.net

มีประเทศต่าง ๆ มากมายถึง 21 ประเทศที่ได้ใช้สปายแวร์ที่อ้างว่าไม่สามารถสืบหาร่องรอยถึงต้นตอได้ ที่ชื่อว่า “Remote Control System” (RCS)  ที่จัดจำหน่ายโดยบริษัท Hacking Team ที่ตั้งอยู่ที่เมืองมิลาน ประเทศอิตาลี 

นักวิจัยจากซิติเซ่นแล็บ (Citizen Lab) ซึ่งเป็นห้องปฏิบัติการของมหาวิทยาลัยโทรอนโต (University of Toronto) ในแคนาดา ได้ค้นหาความจริงเกี่ยวกับสปายแวร์นี้เป็นเวลาหลายเดือน ก่อนที่จะได้พบความจริงเกี่ยวกับสปายแวร์ตัวนี้ จนถึงขั้นบอกตำแหน่งที่ตั้งได้ 

รายละเอียดการค้นพบอยู่ในรายงานที่เกี่ยวข้องฉบับที่สอง กลุ่มนักวิจัยได้เปิดเผยว่าได้มีการทำการตลาด และขายสปายแวร์ตัวนี้ให้กับหน่วยงานระดับรัฐบาลเท่านั้น โดยบริษัท Hacking Team ที่ตั้งอยู่ที่เมืองมิลาน มากกว่าสองปีแล้ว และสปายแวร์นี้ได้ถูกใช้เพื่อล้วงความลับจาก Mamfakinch สื่อมวลชนโมร็อคโกที่ได้รับรางวัล และนักเคลื่อนไหวทางการเมืองชาวอาหรับเอมิเรตส์ Amed Mansoor และเมื่อเร็ว ๆ นี้ กลุ่มนักข่าวชาวเอธิโอเปียตกเป็นเป้าหมายล่าสุด โดยสปายแวร์นี้ได้ทำการตลาดว่าไม่สามารถสืบหาร่องรอยกลับไปยังผู้ควบคุมที่เป็นหน่วยงานของรัฐบาลได้ 

Hacking Group โฆษณา RCS7 ว่าเป็นชุดซอฟท์แวร์การเจาะระบบสำหรับรัฐบาล เพื่อการดักข้อมูล (hacking suite for governmental interception) ส่วนเวอร์ชั่นถัดมาเรียกว่า “ชุดของการฝังตัว เพื่อการเฝ้าดูจากระยะไกล” (suite of remote monitoring implants) ซึ่งขายให้กับหน่วยงานของรัฐบาลประเทศต่าง ๆ ซอฟท์แวร์ทั้งสองตัวนี้สามารถดักจับข้อมูลที่อยู่ในอุปกรณ์ต่าง ๆ สำเนาข้อมูลที่อยู่ในฮาร์ดดิสก์ บันทึกการโทรศัพท์ผ่านสไกป์ (Skype) และข้อความที่ส่งผ่านโปรแกรม instant messaging ไปจนถึงการบันทึกรหัสผ่านในเว็บบราวเซอร์ และเปิดการใช้งานเว็บแคมและไมโครโฟน โดยผู้ใช้ไม่จำเป็นต้องเชื่อมต่อกับอินเทอร์เน็ตแต่อย่างใด 

 RCS ควบคุมคอมพิวเตอร์ของเหยื่อโดยอาศัยการโจมตีช่องโหว่ในซอฟท์แวร์ นักวิจัยได้อ้างว่ามีผู้จัดหาข้อมูลเกี่ยวกับช่องโหว่ (exploit)ในเชิงพาณิชย์ ได้แก่ Vupen จากฝรั่งเศษ อาจให้ข้อมูลเกี่ยวรายละเอียดของช่องโหว่ที่ใช้โจมตีกับ Hacking Team ตั้งแต่ปีค.ศ. 2012 และหลบหลีกการการตรวจจับโดยการส่งข้อมูลผ่านทาง proxy server ที่ต่างกันสี่แห่งทั่วโลก ทั้งที่ใช้วิธีการเหล่านี้ นักวิจัยกล่าวว่าพวกเขาสามารถตามรอยสปายแวร์นี้ได้ 

“การวิจัยของเราเปิดเผยว่า โครงสร้างพื้นฐานของการรวบรวมข้อมูลของ RCS ใช้เทคนิคที่เรียกว่า proxy-chaining คล้าย ๆ กับวิธีการที่ใช้เพื่อซ่อนตัวตนในอินเทอร์เน็ต อย่างการใช้ Tor โดยใช้เส้นทางหลายจุด เพื่อปกปิดปลายทางของข้อมูลข่าวสาร” นอกจากนี้ยังบอกอีกด้วยว่า “ทั้งที่มีการใช้เทคนิคนี้ เรายังสามารถ บอกตำแหน่งของห่วงโซ่ และปลายทาง (endpoint) เหล่านี้ได้ โดยใช้การวิเคราะห์แบบพิเศษ” ซิติเซ่นแล็บพบว่ามีรัฐบาล 21 แห่งที่ใช้หรือเคยใช้ RCS ได้แก่ อาเซอร์ไบจาน โคลอมเบีย อียิปต์ เอธิโอเปีย ฮังการี อิตาลี คาซัคสถาน เกาหลี มาเลเซีย เม็กซิโก โมร็อกโก ไนจีเรีย โอมาน ปานามา โปแลนด์ ซาอุดีอาระเบีย ซูดาน ไทย ตุรกี สหรัฐอาหรับเอมิเรตส์ และ อุซเบกิสถาน 

นักวิจัยได้ชี้ว่าในประเทศที่กล่าวข้างต้นนี้ มีเก้าประเทศที่มีดัชนีชี้วัดประชาธิปไตย (จัดขึ้นโดยนิตยสารดิ อีโคโนมิสต์ ปีค.ศ.2012) ในอันดับต่ำสุด นอกจากนี้ประเทศอียิปต์และตุรกียังมีปัญหาการประท้วงในประเทศอีกด้วย หลังจากมีรายงานที่ซิติเซ่นแล็บเผยแพร่ออกมา 


บริษัท Hacking Team ได้แถลงว่าซอฟท์แวร์ของตนมีจุดประสงค์เพื่อต่อสู้กับอาชญากรรมและการก่อการร้ายเท่านั้น และจะไม่ขายให้กับประเทศที่ถูกจำกัดสิทธิ์หรือขึ้นบัญชีดำโดย สหภาพยุโรป อเมริกา และนาโต้ อย่างไรก็ตามซิติเซ่นแล็บได้โต้แย้งในประเด็นนี้ และยกตัวอย่างมาประกอบ โดยกล่าวถึงกิจกรรมจากปลายทางของ RCS ในอาเซอร์ไบจาน ในระหว่างเดือนมิถุนายนและพฤศจิกายนปีที่แล้ว และชี้แนะว่าเทคนิคคล้าย ๆ กันนี้อาจใช้เพื่อจารกรรมข้อมูลจากนักข่าวสืบสวน Khadija Ismayilova ก่อนการเลือกตั้งระดับชาติ นอกจากนี้ องค์การเพื่อสิทธิมนุษยชน ฮิวแมนไรท์วอทช์ได้รายงานว่า การวิจารณ์รัฐบาลคาซัคสถานได้จางหายไป ในขณะที่ปลายทางของ RCS ได้ทำงานอยู่ในประเทศ ส่วนกิจกรรมของ RCS ในอิตาลีที่เป็นต้นกำเนิดของ RCS พบว่ามีความเข้มข้นมาก นักวิจัยจากซิติเซ่นแล็บได้กล่าวสรุปการค้นพบว่า การบุกรุกระบบโดยใช้สปายแวร์ส่วนใหญ่เหล่านี้อาจได้รับการรับรองทางกฏหมาย และสังเกตเห็นถึงการร่วมมือกันระหว่างบริษัทที่ขายโปรแกรมโจมตีช่องโหว่ซอฟท์แวร์ (exploit kit) และบริษัทที่ขายโทรจันที่ขโมยข้อมูลผู้ใช้ และกล่าวเพิ่มเติมว่าการบุกรุกในลักษณะนี้ “ไม่เหมาะสม” และ “ไม่รับผิดชอบ” อย่างยิ่ง 


รายการของปลายทาง RCS ในประเทศต่าง ๆ 

Endpoint IP    ประเทศ    พบครั้งแรก    พบครั้งสุดท้าย     
109.235.193.83    อาเซอร์ไบจาน    6/2/2013    11/26/2013     
190.242.96.49    โคลอมเบีย    10/21/2013    1/7/2014     
41.33.151.150    อียิปต์    3/10/2013    10/29/2013     
216.118.232.xxx    เอธิโอเปีย    11/18/2013    2/3/2014     
81.183.229.xxx    ฮังการี    6/16/2012    ยังทำงานอยู่     
2.228.65.226    อีตาลี    10/26/2012    ยังทำงานอยู่     
82.104.200.51    อีตาลี    9/17/2012    12/2/2013     
88.33.54.xxx    อีตาลี    6/4/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/18/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/17/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/18/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/18/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/17/2012    ยังทำงานอยู่     
95.228.202.xxx    อีตาลี    9/15/2012    ยังทำงานอยู่     
89.218.88.xxx    คาซัคสถาน    8/21/2013    ยังทำงานอยู่     
211.51.14.129    เกาหลี    8/26/2012    1/7/2014     
203.217.178.xxx    มาเลเซีย    5/28/2012    ยังทำงานอยู่     
189.177.47.xxx    เม็กซิโก    1/30/2014    ยังทำงานอยู่     
189.177.65.13    เม็กซิโก    11/13/2013    12/10/2013     
189.177.74.147    เม็กซิโก    11/1/2013    11/1/2013     
201.157.43.60    เม็กซิโก    10/13/2013    1/7/2014     
200.67.230.2    เม็กซิโก    5/25/2012    ยังทำงานอยู่     
41.248.248.xxx    เม็กซิโก    6/3/2012    ยังทำงานอยู่     
41.248.248.xxx    เม็กซิโก    7/25/2012    ยังทำงานอยู่     
41.248.248.xxx    เม็กซิโก    6/12/2012    ยังทำงานอยู่     
41.248.248.xxx    เม็กซิโก    5/27/2012    ยังทำงานอยู่     
81.192.5.xxx    เม็กซิโก    7/25/2012    ยังทำงานอยู่     
62.251.188.xxx    เม็กซิโก    5/31/2012    ยังทำงานอยู่     
197.210.255.178    ไนจีเรีย    9/15/2013    10/21/2013     
95.49.xxx.xxx53    โปแลนด์    8/10/2012    ยังทำงานอยู่     
37.242.13.10    ซาอุดิอาระเบีย    1/7/2014    1/7/2014     
62.149.88.20    ซาอุดิอาระเบีย    6/5/2012    7/2/2013     
41.78.109.91    ซูดาน    12/14/2012    1/12/2014     
203.149.47.xxx    ไทย    10/4/2013    ยังทำงานอยู่     
95.9.71.180    ตุรกี    11/13/2013    11/19/2013     
81.95.226.134    อุซเบกิสถาน    8/7/2013    9/2/2013     
81.95.224.10    อุซเบกิสถาน    1/22/2013    1/26/2013     
217.29.123.184    อุซเบกิสถาน    7/21/2013    9/16/2013    


SRAN Dev Team
02/2557

อ่านรายละเอียดเพิ่มเติมได้จาก 

https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/ 
https://citizenlab.org/2014/02/hacking-team-targeting-ethiopian-journalists/ ข้อมูลอ้างอิงจาก http://www.scmagazineuk.com/21-governments-have-used-untraceable-spyware/article/334346/ http://www.spiegel.de/netzwelt/web/software-von-hacking-team-dient-der-hatz-auf-dissidenten-a-954027.html