Friday, December 30

ตรวจจับช่องโหว่ WMF โดยใช้ SRAN

on Jan 6, 2006 7:52 am.
ตามที่ได้มีการประกาศข่าวช่องโหว่ ตัวใหม่สำหรับระบบปฏิบัติการ Windows ที่ infosec.sran.org ได้ประกาศไว้ในวันที่ 29 ธันวาคม 2548

exploit ใหม่สำหรับโจมตีช่องโหว่ WMF ในวินโดวส์ (ใช้ใน Metasploit
framework) ที่สามารถสร้างไฟล์สำหรับการโจมตีช่องโหว่ที่มีขนาดไฟล์แบบสุ่ม
ไม่มีนามสกุล .wmf แต่เป็น .jpg หรือนามสกุลอื่น ๆ ที่เป็นนามสกุลของไฟล์ image
และการสร้างไฟล์แบบสุ่มเพื่อให้ยากต่อการตรวจจับของ antivirus

มีรายงานถึงช่องโหว่ล่าสุดในวินโดวส์เวอร์ชั่นต่อไปนี้คือ

Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 with SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition

โดยมีช่องโหว่ในด้านการจัดการกับ Windows Metafile (WMF) ผู้โจมตี
สามารถสร้างไฟล์ WMF แบบพิเศษที่เมื่อเปิดดูผู้ใช้วินโดวส์ โดยใช้
application ที่มีช่องโหว่ เช่น Windows Picture and Fax Viewer หรือ
โดยการเปิดเว็บเพจที่ออกแบบมาเพื่อโจมตีช่องโหว่นี้ผ่านทาง
Internet Explorer จะทำให้มีการเอ็กซิคิวท์โค้ดที่ผู้โจมตีต้องการ
และควบคุมระบบนั้นได้

ในขณะนี้ยังไม่มีวิธีแก้ไขหรือป้องกันจากไมโครซอฟท์ มีเพียงการป้องกัน
โดยการระมัดระวังการเปิดไฟล์และเว็บเพจจากการแนะนำของคนที่ไม่รู้จัก
หรือไม่น่าไว้ใจเท่านั้น

ดูรายละเอียดเพิ่มเติมได้จาก
http://www.frsirt.com/english/advisories/2005/3086

exploit ที่ใช้ทดสอบช่องโหว่ (ใช้กับ Metasploit)
http://www.frsirt.com/exploits/20051228.ie_xp_pfv_metafile.pm.php

เมื่อทำการตรวจสอบโดยใช้ SRAN Security Center เพื่อจับ packet exploit ชนิดนี้

เมื่อวันที่ 31 ธันวาคม 2548 เป็นวันสิ้นปีพอดี เราไ้ด้ e-mail เตือนจาก Sensorตัวหนึ่ง ของ SRAN

พบว่าเจอการบุกรุกชนิดใหม่นี้ขึ้น โดยเริ่มทำการบุกรุกครั้งแรกจับภาพดังนี้

พบว่ามีการจับเหตุการณ์ได้ โดยปรากฎชื่อ Signature ตาม Clamav ที่จับได้เป็น (spp_clamab) Virus Found:Exploit.WMF.A

จาก IP 10.10.10.250 ทำการติดต่อไปที่ IP 69.50.188.132 มีความเสี่ยงที่สามารถเกิดช่องโหว่ใหม่ของ Windows ได้

เพื่อทำการวิเคราะห์ เราจึงทำการเฝ้าสังเกต และพบว่ามีการติดต่อกันระหว่างเครื่องทั้ง 2 อยู่ 22 เหตุการณ์ โดยเครื่องที่เป็นเหยื่อพบเหตุการณ์ Web-client Microsoft wmf metafile access เกิดขึ้น 2 เหตุการณ์

เมื่อทำการเจาะจงเพื่อดูค่า payload พบว่ามีการติดต่อไปที่ host aaa.anunah.com ทาง protocol HTTP โดย domain ดังกล่าวคือ IP 69.50.188.132 นั้นเอง

เมื่อทำการเปิด URL ดังกล่าวคือ http://aaa.anunah.com/koks.html ได้พบ file ให้ download ขึ้นมา

แสดงให้เห็นว่ามีการจงใจเพื่อทำการหลอกลวง คนทั่วไปที่ไม่ทราบช่องโหว่ได้รับ file ดังกล่าวและเข้าถึงระบบเครื่องนั้นต่อไป

วิธีแก้ไข / ป้องกัน

ในขณะที่เขียนยังไม่มี patch อย่างเป็นทางการ ไมโครซอฟท์ได้แนะนำวิธีป้องกันไว้ดังนี้คือ

• ยกเลิกการ register โปรแกรม Windows Picture and Fax Viewer (Shimgvw.dll) ใน Windows XP Service Pack 1; Windows XP Service Pack 2; Windows Server 2003 และ Windows Server 2003 Service Pack 1 วิธีการนี้ไม่ใช่การแก้ไขช่องโหว่ แต่ช่วยบล็อกหนทางในการโจมตี โดยวิธีการนี้จำเป็นต้องทำโดยใช้สิทธิ์ของ Administrator หลังจากนั้นจึง รีสตาร์ทระบบหรือโดยการ log out แล้วจึง log in เข้าใหม่

การยกเลิกการ register Shimgvw.dll มีขั้นตอนดังต่อไปนี้คือ

• คลิกที่ Start , คลิก Run , พิมพ์ " regsvr32 -u %windir%\system32\shimgvw.dll " ( ใส่ไปโดยไม่มีเครื่องหมาย "") จากนั้นจึงคลิก OK

• มี dialog box ปรากฏขึ้นเพื่อยืนยันว่าการยกเลิกการ register เสร็จสมบูรณ์ จากนั้นจึงคลิก OK เพื่อปิด dialog box

การป้องกันช่องโหว่ด้วยวิธีนี้จะทำให้โปรแกรม Windows Picture and Fax Viewer ไม่ทำงานเมื่อผู้ใช้คลิกที่ลิงค์ที่เป็นภาพที่เปิดด้วยโปรแกรม Windows Picture and Fax Viewer

ถ้าต้องการยกเลิก และต้องการ register Shimgvw.dll ใหม่ ให้ทำตามขั้นตอนข้างต้นใหม่ เพียงแต่เปลี่ยนขั้นตอนที่ 1 ด้วยคำสั่ง “regsvr32 %windir%\system32\shimgvw.dll” แทน ( ใส่ไปโดยไม่มีเครื่องหมาย “” )

นอกจากนี้ไมโครซอฟท์ยังได้แนะนำให้ผู้ใช้งานระมัดระวังการเปิดดูอีเมลและลิงค์ในอีเมลจากต้นตอที่ไม่น่าเชื่อถือ เปิดการทำงานของ Firewall อัพเดท Windows บ่อยครั้ง และติดตั้งซอฟท์แวร์แอนตี้ไวรัสด้วย

สวัสดีปีใหม่ครับทุกคน

1/01/49

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Friday, December 16

แนวโน้มเทคโนโลยีด้านป้องกันภัย 2006

7 แนวโน้มเทคโนโลยีด้านป้องกันภัย


เป็นบทความที่ผู้เขียนได้ลง หนังสือ Micro Computer ประจำเดือน มกราคม 2006 เป็นแนวโน้มเทคโนโลยีป้องกันภัยข้อมูลในปี 2006 โดยแบ่งหมวดหมู่ได้ 7 แนวทาง รายละเอียดทั้งหมดสามารถอ่านได้ที่นี้

7 แนวโน้มเทคโนโลยีด้านป้องกันภัยคุกคามข้อมูลสารสนเทศ ในปี 2006

ในรอบปีที่ผ่าน อาจกล่าวได้ว่าระบบความปลอดภัยข้อมูลสารสนเทศถูกจัดให้เป็นประเด็นที่ได้รับการกล่าวอ้างและพูดถึงกันอย่างกว้างขวางที่สุด ทั้งในการเกิดขึ้นและเปลี่ยนแปลงของรูปแบบของภัยอันตรายประเภทใหม่ๆ และการเปิดตัวและแนะนำของผลิตภัณฑ์ใหม่สู่ท้องตลาด รวมทั้งในเรื่องของการควบรวมกิจการ ที่เกิดขึ้นอย่างต่อเนื่องตั้งแต่ต้นปี อาทิ บริษัท Foundstone ผู้ผลิตระบบ VA (Vulnerability Assessment) และเจ้าของตำราที่มีประโยชน์ต่อผู้ดูแลระบบอย่างมากมาย ได้ถูกบริษัท Mcafee ผู้ผลิตระบบ Anti-virus เข้าควบรวมกิจการ เมื่อต้นปีที่ผ่าน และข่าวใหญ่สำหรับวงการด้านความปลอดภัย คือบริษัท Sourcefire ผู้พัฒนา ระบบ IDS/IPS ที่เรียกว่า Snort โดนควบรวมกิจการจากบริษัท Checkpoint อันมีชื่อเสียงในเรื่องโซลูชั่นทางด้าน Firewall จึงเป็นที่น่าจับตามองว่าอันดับหนึ่งผู้ผลิต IDS/IPS จับมือกับ อันดับหนึ่งผู้ผลิต Firewall รวมด้วยกันแล้วจะเกิดอะไรขึ้นในปี 2006 การควบรวมกิจการดังกล่าว หากมองในแง่มุมของผู้บริโภคแล้ว อาจจัดได้ว่ามีประโยชน์ในแง่การใช้เทคโนโลยีที่ทันสมัยและสารพัดประโยชน์มากขึ้น ซึ่งในมุมมองของเทคโนโลยีทางด้านการรักษาความปลอดภัยที่จะเกิดขึ้นในปี 2006 ผู้เขียนขอทำนายถึงสิ่งที่จะเกิดขึ้นกับเทคโนโลยีทางด้านสารสนเทศในปี 2006 โดยจะมีเรื่องที่จะถูกกล่าวหรืออ้างถึงทั้งสิ้น 7 หัวข้อ โดยประกอบด้วยเรื่องดังนี้

Signature Signature and Signature

ในส่วนของผลิตภัณฑ์ป้องกันภัยบนระบบเครือข่าย ณ ปัจจุบัน มีให้เลือกหลายเทคโนโลยี จากหลายผู้ผลิตซึ่งอุปกรณ์หรือโซลูชั่นจากแต่ละผู้ผลิตเองก็มีความสามารถใกล้เคียงกัน แต่สิ่งสำคัญที่จะทำให้สินค้านั้นมีข้อแตกต่างเหนือคู่แข่งนั้นคือ เรื่องฐานข้อมูลการบุกรุกต่างๆ ( Signature) ซึ่งยิ่งมีมาก ยิ่งเร็วและถูกต้อง ยิ่งมีข้อได้เปรียบเหนือคู่แข่ง หากผลิตภัณฑ์ใดสามารถตอบสนองของภัยคุกคามนั้นได้ภายในระยะเวลาที่สั้นกว่า จะเป็นผลิตภัณฑ์ที่ได้การรับเลือกใช้และชนะคู่แข่งได้ในปี 2006 ที่จะถึงนี้

1.1 ระบบ NIDS/IPS (Network Intrusion Detection & Prevention) ที่ได้รับความนิยมสูงขึ้นเรื่อยๆ เนื่องจากหลายองค์กรมี การติดตั้ง Firewall แล้วแต่ยังไม่เพียงพอ การทำงานของ IDS/IPS อาศัยรูปแบบการตรวจจับในฐานข้อมูล ที่เรียกว่า Signature

1.2 โปรแกรม Anti-virus , Anti-Spyware ก็ต้องอาศัยฐานข้อมูลไวรัสชนิดใหม่ๆ

1.3 ระบบ Anti-Spam ทั้งที่เป็นรูปแบบของ software และที่เป็น Appliance (Spam Firewall) ก็ต้องอาศัยฐานข้อมูล Spam ที่เกิดขึ้นทั่วโลก

1.4 ระบบกรองเว็บที่ไม่เหมาะสม ทั้งที่เป็น software และ Appliance ก็ต้องอาศัยฐานข้อมูล

1.5 ระบบประเมินความเสี่ยงเครือข่าย ที่เรียกสั้นว่า VA (Vulnerability Assessement) ยิ่งจำเป็นต้องมี ฐานข้อมูลในการประเมินความเสี่ยง การ Scan หาช่องโหว่ที่เกิดขึ้น และ Bug ใหม่ๆ ที่ค้นพบ เพื่อทำการตรวจสอบว่าระบบนั้นมีช่องโหว่ และควรป้องกันเช่นไร

ผู้เขียนตั้งข้อสังเกตว่า ในอนาคตจะเกิดบริษัทในเชิงวิจัยและพัฒนา signature เพื่อขายฐานข้อมูลให้กับผู้ผลิตภัณฑ์ด้านความปลอดภัยจำนวนมากขึ้น รวมทั้งจะมีผู้ผลิตรายใหม่เกี่ยวกับโซลูชั่นทางด้านระบบป้องกันภัยข้อมูลทั้งที่เป็น software และ Hardware มีจำนวนเพิ่มขึ้นอย่างมากด้วย

2. Anti-Malicious Web

ระบบป้องกันเว็บที่ฝัง code ไม่เหมาะสม เป็นการบุกรุกเข้าเครื่องผู้ใช้งาน โดยอาศัยช่องโหว่ของ Application ในการท่องเว็บไซด์ นั้นคือบราวเซอร์ที่เราใช้นั้นเอง เช่น Internet Explorer (IE) , Firefox , Opera เป็นต้น ในตลอดทั้งปี 2005 ที่ผ่านเราจะได้รับข่าวที่เกิดจากช่องโหว่ของ บราวเซอร์ จำนวนมาก เช่น ล่าสุดมีข่าว Bug IE ที่ สามารถอ่านข่าวนี้ได้ http://infosec.sran.org ณ ขณะที่ได้เขียนบทความนี้ ก็ยังเป็น 0 day นั้นคือยังไม่มี patch ที่รักษาจาก Microsoft ผู้ใช้ IE มีความเสี่ยงที่เกิดขึ้นจากการท่องอินเตอร์เน็ท โดยการเปิด web ที่ไม่เหมาะสม จะรันโปรแกรมเข้าเครื่องและได้มีสิทธิที่เข้าถึงระบบปฏิบัติการเครื่องนั้นได้โดยทันที ทั้งนี้ระบบป้องกันทางเครือข่ายไม่สามารถป้องกันได้หากไม่มีการ update รูปแบบการบุกรุกในฐานข้อมูล เนื่องจากการติดต่อดังกล่าวผ่านที่ port 80 และเป็นการใช้งานที่ปกติ แต่ในความปกติ มี code ที่สามารถเข้าถึงเครื่องได้โดยอาศัยช่องโหว่ของ application บราวเซอร์ จึงเป็นการยากที่จะตรวจจับ

รูปแบบการโจมตีชนิดนี้จะผูกพันไปกับเทคนิค หลายอย่างเข้าด้วยกัน

ตัวอย่างการผสมผสานรูปแบบการโจมตีเข้าด้วยกัน

เริ่มจาก Spam ที่เข้าสู่ E-mail ในเนื้อหา Spam นั้น หลอกคน ( social engineering ) ไปที่เว็บไซด์แห่งหนึ่ง โดยเทคนิคใช้เทคนิค Phishing หรือ Pharming เมื่อติดกับดัก ก็จะเข้าไปเว็บไซด์กลลวง โดยไซด์ดังกล่าวไม่เพียงแค่หลอก แต่ยังใส่ code เพื่อเข้าถึงระบบปฏิบัติการเครื่องที่เป็นเหยื่อด้วย เพื่อต้องการสร้าง zombie นั้นคือเมื่อเข้าถึงระบบแล้วจะรัน bot ในเครื่องที่เป็นเหยื่อ เพื่อไปเข้าใน Dark site ที่เป็น IRC server หรือรูปแบบการติดต่ออื่น จากนั้นกลุ่มอิทธิพลเครือข่าย (Mafia Net) ก็จะกำหนด zombie เหล่านี้ให้โจมตี เครือข่ายใดๆ ที่ต้องการได้ หากจำนวน zombie เยอะขึ้น เรียกว่า botnet ใช้การโจมตีชนิด Distributed Denial of Service (DDoS) กับเว็บไซด์ หรือระบบเครือข่ายที่ถูกว่าจ้างมาเพื่อทำลายให้เสียหายต่อไป

1. Spam mail à 2 . Social Engineering à 3. Phishing or Pharming à 4. Malicious Web à 5. Zombie or 6. Backdoor à 7. Botnet à 8. DDoS

เทคโนโลยี การโจมตีแบบ DDoS ยังป้องกันลำบากถึงแม้จะมีระบบป้องกันภัยอย่างดีแล้วก็ตาม เนื่องจากการโจมตีชนิดนี้ ตั้งอยู่บนพื้นฐานการติดต่อตาม OSI layers มีช่องทางการหลีกหนี การตรวจจับได้หลายๆทาง และเมื่อมีส่งข้อมูลจำนวนมาก และเป็นระยะเวลาต่อเนื่องก็ทำให้ ระบบป้องกันเองไม่ว่าเป็น Router , Firewall และ IDS/IPS จะเสียหายได้ ก็ป้องกันภัยทาง DDoS ต้องมีการเฝ้าระวังภัยจาก ISP ก็ดีและหน่วยความปลอดภัยข้อมูลสารสนเทศในองค์กรนั้นๆอีกด้วย

3. Anti Rootkit ภัยคุกคามที่ไม่ค่อยได้รับการกล่าวถึงแต่อาจกล่าวได้ว่ายากแก่การตรวจจับ นั้นคือ ภัยจาก Rootkit ในปี 2005 มีข่าวสำคัญที่จะมองข้ามเรื่องนี้ไม่ได้ นั้นคือ มีการตรวจพบ Rootkit ใน แผ่น CD ของค่าย Sony ผู้ค้นพบ Rootkit ตัวนี้คือเจ้าของเว็บ Sysinternals สามารถอ่านได้ที่

http://www.sysinternals.com/blog/ 2005/11/ more-on-sony-dangerous-decloaking.html

ในปี 2006 นอกจากมีระบบ Anti-virus, Anti-spyware และ anti-spam แล้วจะต้องมีเครื่องมือที่ช่วยหา rootkit อีกอย่าง ภัยของ rootkit น่าสนใจ และสามารถยกเป็นประเด็นที่น่าศึกษาต่อไป นั้นคือเรื่องความเป็นส่วนตัวของผู้บริโภคสื่อ ซึ่งผู้เขียนเองอยากจำแนกภัยอันเกิดจากการโจมตีโดย rootkit ว่ามีได้ทางใดบ้างโดยอาจสรุปเป็นกรณีศึกษาได้ดังนี้

3.1 ภัย Rootkit จากผู้พัฒนา software เกิดขึ้นได้ 2 มุม มุมแรกเป็นเรื่องป้องกันการละเมิดลิขสิทธิ์ เป็นส่วนหนึ่งของ DRM (Digital Right Management) http://en.wikipedia.org/wiki/Digital_rights_management ในเมื่อป้องกันลำบากจึงต้องเขียนโปรแกรมเพื่อทำลาย สำหรับคนที่ต้องการลักลอบและ Copy ข้อมูล เมื่อมีการละเมิด เพื่อทำการ Copy จะถูก Rootkit ที่ฝั่งใน software นั้นทำงานขึ้นมาทันที

อีกมุม เป็นการพัฒนาซอฟแวร์ขึ้นเพื่อมุ่งหวัง สร้างทางลัดให้กับผู้พัฒนาซอฟแวร์นั้นการติดตามผลประดิษฐ์ ของตน มุมนี้น่ากลัว เพราะเป็นการยากที่จะรู้ว่า โปรแกรมเมอร์ที่เราให้มาเขียนระบบต่างๆ ที่เกิดขึ้นจะมีการฝั่ง rootkit หรือ backdoor กับ ซอฟแวร์ที่พัฒนาหรือไม่ หากไม่มีนโยบาย และกระบวนการควบคุมการเขียนโปรแกรม ก็อาจจะทำให้เกิดมี backdoor ฝั่งอยู่ในโปรแกรมที่เราใช้อยู่ก็เป็นได้

3.2 ภัย Rootkit จากนักโจมตีระบบ นักโจมตีระบบ หรือที่เรียกว่า (Hackers) ทั้ง มักหยอด โปรแกรมที่ไม่พึ่งประสงค์ เช่น sniffer , backdoor ต่างๆ เพื่อหวังผลคืบคลานไปสู่ระบบอื่น ต่อไป ทั้งนี้ต้องใช้ Rootkit ฝั่งระบบเพื่อ ป้องกันไม่ให้ ผู้ดูแลระบบเกิดความสงสัยว่าเครื่องตน โดน Hack เสียแล้ว วิธีการป้องกัน ต้องมีเทคโนโลยีในการตรวจ integrity ใน file ที่สำคัญ เป็นต้น ดังนั้นระบบ Host Base Integrity จึงมีความสำคัญในอนาคตอย่างยิ่ง

4. Insider Attack Detection

เป็นที่ปฏิเสธไม่ได้ว่า มีผู้คนจำนวนมากที่ทำงานในองค์กรที่ใหญ่ เช่น ธนาคาร , ผู้ให้บริการสื่อสาร , เงินทุนหลักทรัพย์ และอื่นๆ จำนวนพนักงานเหล่านี้หากมีความรู้ด้านคอมพิวเตอร์ที่ดี และเกิดมีช่องโหว่ในขั้นตอนการควบคุมภายในองค์กร ก็ย่อมมีการบุกรุกและขโมยข้อมูลภายในองค์กรได้ ในงานตรวจจับผู้กระทำผิด อาชญากรรมคอมพิวเตอร์ พบว่าส่วนใหญ่การขโมยข้อมูลเกิดจากพนักงานภายในองค์กร ยิ่งสื่อการสอนและหนังสือจำนวนมากที่เปิดเผยวิธีการเข้าถึงระบบ ก็จะมีผู้คนจำนวนไม่น้อยที่ศึกษาและนำมาลองใช้ภายในองค์กรที่ตนเองทำงานอยู่ รวมถึงการใช้งานบนทรัพยากรในบริษัทที่ผิดวัตถุประสงค์ เช่น การใช้เครื่องในบริษัท เล่น P2P (Peer to Peer) คือการติดต่อโดยตรงกับเครื่องที่ทำการแชร์ข้อมูล , files ต่างๆที่ต้องการ เป็นการ สิ้นเปลือง Bandwidth เครือข่ายขององค์กร

การตรวจจับผู้กระทำผิดภัยในองค์กรได้นั้น ต้องมีทั้งเทคโนโลยีตรวจจับผู้บุกรุกเช่น HIDS (Host Base Intrusion Detection) และ NIDS (Network Base Intrusion Detection) เข้ามาใช้ภายในองค์กรโดยว่างตามโซนระบบเครือข่ายและเครื่อง PC พนักงานเอง เปรียบเสมือนกล้องวงจรปิดที่ติดตามอาคารนั้นเอง ทั้งนี้ต้องอาศัยนโยบายด้านความปลอดภัยที่ดี ที่ควบคุมการใช้งานของพนักงานได้ และจิตสำนึกของพนักงานด้วยถึงสามารถป้องกันภัยคุกคามชนิดนี้ได้

5. Digital Identity การระบุภัยคุกคามที่เกิดขึ้น และตรวจได้ว่ามาจากที่ใด ทำเมื่อไหร่ และทำสิ่งใด แบ่งได้ดังนี้

5.1 ระบบการเข้าใช้งาน Authentication บน Network , Wireless LAN และ การใช้งานคอมพิวเตอร์ในองค์กรเพื่อทำการ login สู่ระบบ ต้องมีการระบุตัวตน เช่นกัน

5.2 DRM (Digital Right Management) การสามารถตรวจหาการ Copy และลบ file ที่เป็นเอกสารสำคัญ ภายในองค์กร และเรื่องลิขสิทธิ์ ซอฟแวร์ เพลง หนัง และอื่นๆ ซึ่งเป็นเรื่องอ่อนไหว ต่อความมั่นคง ด้านข้อมูล เนื่องจากบ้างข้อมูลในบริษัทอาจมีค่าเกินที่ประมาณเป็นราคาได้

5.3 การระบุภัยคุกคามที่เกิดขึ้นบนระบบเครือข่าย (Network Security Identity) เป็นการระบุตำแหน่ง และชนิดการบุกรุก ไม่ว่าเป็นการโจมตีบนระบบปฏิบัติการ , การพยายมที่เข้าถึงระบบโดยการเดา password , การแพร่ระบบ Virus/worm ในเครือข่าย เป็นต้น สามารถอ่านเพิ่มเติมได้ที่ http://www.sran.org/index_html/NetworkIDs

6. Human Firewall

เมื่อมีการใช้ข้อมูลมากขึ้น มีผู้คนที่เชื่อมต่ออินเตอร์เน็ทจนกลายเป็นส่วนหนึ่งของการใช้ชีวิต สิ่งที่จำเป็นอย่างมากนั้นคือการสร้างความตะหนักในการใช้ข้อมูลสารสนเทศ Human Firewall การสร้างภูมิต้านทานภัยคุกคามที่เกิดจากการใช้ระบบสารสนเทศ ประกอบด้วย

6.1 การเข้าใจถึงภัยคุกคาม ในการใช้งานระบบสารสนเทศ

6.2 การป้องกันตัวเบื้องต้นเมื่อเกิดปัญหากับการบุกรุกบนระบบสารสนเทศ และการเลือกใช้สื่ออินเตอร์เน็ท อย่างปลอดภัย เพื่อหลีกเลี่ยงภัยคุกคามที่อาจจะเกิดขึ้นกับตนเอง

6.3 การมีจิตสำนึกที่ใช้ สื่อสารสนเทศอย่างถูกต้องและมีจริยธรรม

หลายองค์กรที่ลงทุนด้านเทคโนโลยีด้านความปลอดภัยไปแล้วต้องใช้ คนในองค์กรควบคุมเทคโนโลยี บน กรอบนโยบายด้านความปลอดภัยข้อมูลที่กำหนดขึ้น ถึงจะเกิดประโยชน์สูงสุดสำหรับองค์กรและการคุ้มค่าการลงทุนเทคโนโลยีให้ได้มากที่สุด

7. Standard Compliance : Centralized Data Management

คือการนำข้อมูลด้านเทคโนโลยีความปลอดภัยมารวมศูนย์ (Centralized Data Management) เพื่อเป็นส่วนหนึ่งในการจัดการข้อมูลเพื่อเปรียบเทียบตามกรอบและนโยบายด้านความปลอดภัยอย่างเป็นระบบและตามมาตรฐาน โดยทั่วไประบบรวมศูนย์ข้อมูลทางความปลอดภัยจะประกอบด้วยการรวม log ที่เกิดจาก Firewall , Router , IDS/IPS , Anti-virus/Spam/Spyware/ Phishing และ VA เป็นต้น มาทำการประมวลผลหาค่าความเสี่ยง และออกรายงานผลให้ผู้บริหารระบบเครือข่าย ให้ได้รับความสะดวก ทั้งหมดนี้เรียกเทคโนโลยีนี้ว่า SIM (Security Information Management) แต่ในปี 2006 องค์กรทั่วไปโดยเฉพาะในภาคธนาคารและการเงิน รวมถึงหน่วยงานหรือองค์กรขนาดใหญ่ จะเริ่มให้ความสำคัญของการจัดเตรียมองค์กรเพื่อให้ผ่านมาตรฐานสากล โดย แต่ละองค์กรที่ต้องการได้รับการรับรองมาตรฐานสากล ไม่เพียงแต่ จะต้องรวบรวม Log จาก SIM เท่านั้น แต่จะต้องรวมถึง log ที่เกิดขึ้นจากการ Infrastructure และ Application อื่นๆอีก อาทิเช่น Log จาก Operating System , Database , Web/App Server/ File Server/Third party หรือแม้กระทั่ง Log จากระบบ ERP/Financial/HR/Patient Management แล้วทำการรวบรวมและออกรายงานผล จากนั้นทำการ Compliance ให้ตรงกับมาตรฐาน ISO17799 , FFIEC, HIPAA, SOX และอื่นๆเป็นต้น ยกตัวอย่าง โรงพยาบาล ต้องมีการ Compliance ตาม HIPAA Framework เพื่อรักษาความลับข้อมูลคนไข้ ระบบ Centralized Data Management ก็จัดการรวบรวม log ด้านการรักษาความปลอดภัย มาเพื่อทำการ Compliance ให้ตรงกับมาตรฐาน HIPAA และออกรายงานว่าไม่เป็นตามข้อกำหนดในด้านใดบ้าง ซึ่งเทคโนโลยีนี้ ทำให้สะดวกแทนที่จะจ้างที่ปรึกษามานั่งเขียนนโยบายด้านความปลอดภัย และกำหนดกระบวนการปฏิบัติ ซึ่งค่อนข้างสิ้นเปลืองเวลาและบุคลากร และที่สำคัญคือต้องจ้างคนระดับมืออาชีพและประสบการณ์สูงในสาขานี้มา ซึ่งเป็นเรื่องลำบากและซับซ้อน เสียเวลาในการปฏิบัติงานค่อนข้างมาก

ทั้ง 7 เทคโนโลยี ที่กล่าวมา เป็นแนวโน้ม อีกก้าวหนึ่งของการรักษาความปลอดภัยระบบข้อมูลสารสนเทศ ที่เราจะพบเจอในปี 2006 ที่ใกล้จะถึงนี้

27 / 11 / 48

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ลงในหนังสือ Micro Computer ประจำเดือน มกราคม 2549

Tuesday, October 25

การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท เชิงทฤษฎี

การสร้างความเข้าใจถึงการสร้างศูนย์เตือนภัยทางระบบเครือข่าย มาเป็นระยะหนึ่ง โดยออกบทความนี้ทั้งในรูปแบบเชิงผลิตภัณฑ์ SRAN System ที่เคยลงในนิตยสาร มาเป็นเวลาหนึ่ง ผู้เขียนต้องการให้ตะหนักถึงภัยคุกคามบนระบบอินเตอร์เน็ท มาโดยตลอด และมั่นใจว่าสิ่งหนึ่งที่จะช่วยให้ระบบเครือข่ายเราปลอดภัยได้ เราจำเป็นต้องมีศูนย์เตือนภัยทางอินเตอร์เน็ต ที่สร้างขึ้นเองได้ภายในหน่วยงาน หรือสร้างเป็นงานบริการระดับ ISP ดังนั้นบทความต่อไปนี้ จะเสนอในเชิงทฤษฎีเพื่อให้ทราบถึงขั้นตอนการสร้างศูนย์เตือนภัย และวิธีการนำไปใช้อย่างถูกต้องต่อไป

รูป The Heart of The Network ของ Military Information Technology , USA

เป้าหมายในการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท

1. เพื่อเฝ้าระวังสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

2. เพื่อแก้ไขสถานการณ์ เพื่อลดความเสี่ยงที่เกิดจากการบุกรุกบนระบบเครือข่ายได้อย่างทันเหตุการณ์

3. เป็นการเก็บสถิติเหตุการณ์ต่างๆ ที่เกิดขึ้นบนระบบเครือข่าย เพื่อทำรายงานผลประจำ วัน/เดือน/ปี

4. เพื่อสร้างความแข็งแรงและปรับปรุง ให้กับระบบเครือข่ายอยู่อย่างสม่ำเสมอ

5. ควบคุมและจัดการด้านการรักษาความปลอดภัยเครือข่าย ได้อย่างเป็นระบบ

ส่วนประกอบของศูนย์เตือนภัยทางอินเตอร์เน็ท

1. ออกแบบศูนย์เตือนภัยทางอินเตอร์เน็ท (Design Security Operation Center)

1.1 อุปกรณ์ที่เพื่อจัดการข้อมูลบนศูนย์เตือนภัย

ประกอบด้วย

ระบบที่ใช้ในการตรวจและรวบรวม log ที่เกิดขึ้นบนระบบเครือข่าย ที่เรียกว่า SIM

1.2 ผู้ปฏิบัติงาน ในศูนย์เตือนภัย ประกอบด้วย 4 หน้าที่คือ

- นักเฝ้าระวังเครือข่าย (Network Security Monitoring Operation) ตำแหน่ง วิศวะกร เพื่อดูแลความเป็นระเบียบเรียบร้อยในระบบเครือข่าย มีหน้าที่ประจำ ประเมินความเสี่ยงระบบเครือข่าย (Security Assessment) , ออกผลรายงานประจำวัน ทั้งผลการประเมินความเสี่ยง และผลการเฝ้าตรวจตาความปกติระบบเครือข่าย รวมถึงการแจ้งเตือนเมื่อมีเหตุฉุกเฉิน จำนวนผู้ปฏิบัติงาน 6 คน เวลาในการปฏิบัติงาน เช้า 8 ชั่วโมง กลางวัน 8 ชั่วโมง กลางคืนอีก 8 ชั่วโมง 24×7 ชั่วโมง

- นักวิเคราะห์ความผิดปกติระบบเครือข่าย (Network Forensics Analysis Packets) ตำแหน่ง ผู้เชี่ยวชาญในการวิเคราะห์หาความผิดปกติระบบเครือข่าย รับหน้าที่ต่อจากวิศวะกร เมื่อเกิดเหตุการณ์สงสัยว่าจะเป็นภัยต่อระบบเครือข่าย จำนวนผู้ปฏิบัติงาน 2 คนอย่างน้อย จำเป็นต้องมีประสบการณ์ในงานด้านความปลอดภัยไม่น้อยกว่า 3 ปี

- นักกู้ระบบฉุกเฉินเมื่อเกิดเหตุผิดปกติบนระบบเครือข่าย (Incident Response Team) ตำแหน่ง ทีมกู้ระบบฉุกเฉิน หน้าที่ประจำคือ onsite เพื่อทำการแก้ไขปัญหาฉุกเฉินเมื่อ นักวิเคราะห์ความผิดปกติระบบเครือข่ายได้แจ้งมา จำนวนผู้ปฏิบัติ 2 คนอย่างน้อย

- ผู้บัญชาการศูนย์เตือนภัยทางอินเตอร์เน็ต (Head Security Operation Services) หน้าที่ประจำ เป็นผู้ดูแลศูนย์ รับผิดชอบ และออกคำสั่งในการปฏิบัติงานโดยดู SLA (Services Level Agreement) ที่กำหนดในการให้บริการ จำเป็นต้องเป็นผู้ที่มีประสบการณ์งานระบบเครือข่าย เป็นอย่างน้อย 7-8 ปี และมีประสบการณ์ด้านความปลอดภัยเครือข่ายเป็นอย่างดี

1.3 วิธีการปฏิบัติงาน

- เรียนรู้และเข้าใจถึงอุปกรณ์ในการใช้งานบนศูนย์เตือนภัยทางอินเตอร์เน็ท

- เรียนรู้ขั้นตอนการทำงานจากผู้บังคับบัญชา เพื่อกำหนด บทบาทและหน้าที่การปฏิบัติงาน

- ประชุมสรุปถึงปัญหาที่เกิดขึ้น เป็นระยะๆ

- ดูแลและบำรุงรักษาอุปกรณ์ที่ใช้เฝ้าระวังภัยทางอินเตอร์เน็ท

2. การจัดหาอุปกรณ์เพื่อจัดการในศูนย์เตือนภัย

จุดที่ควรพิจารณา แบ่งเป็น 3 ส่วนคือ

2.1 อุปกรณ์บนระบบเครือข่าย

- ส่วนที่เป็นชายแดน ของระบบเครือข่าย : เมื่อนับจากการให้สัญญาณอินเตอร์เน็ทเข้าสู่ระบบเครือข่ายของเรา

อุปกรณ์ที่พิจารณา คือ อุปกรณ์ Router

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดจากอุปกรณ์ Router

- ส่วนที่เป็นการควบคุมทางออกทางเข้าของระบบเครือข่าย (Network Gateway) : คืออุปกรณ์ที่ใช้เป็นตัวกลางในการแบ่งโซนระบบเครือข่าย และทำตัวเป็นตัวกลางในการเชื่อมโยงระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ Firewall หรือ Proxy

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log Firewll หรือ Proxy

- ส่วนที่เป็นระบบตรวจจับผู้บุกรุก (Intrusion Detection System) : คือ อุปกรณ์ที่ใช้ในการตรวจจับสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ NIDS sensor (Network Intrusion Detection System sensor) / NIPS (Network Intrusion Prevention System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log NIDS หรือ NIPS

2.2 บนเครื่องแม่ข่าย

- ส่วนที่เครื่องแม่ข่าย

อุปกรณ์ที่พิจารณาคือ Web Server , Mail Server , Data Base Server เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่องแม่ข่าย

- ส่วนที่เป็นเครื่องป้องกันภัยที่เป็นคอมพิวเตอร์แม่ข่าย

อุปกรณ์ที่พิจารณา คือ Anti-virus Server , Domain Controller Server และ PC Management เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่ืองแม่ข่าย

- เครื่องแม่ข่ายที่ใช้สำหรับประเมินความเสี่ยง (Vulnerability Server Scan)

อุปกรณ์ที่พิจารณา คือ โปรแกรมที่ใช้ทำการประเมินความเสี่ยงระบบ

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ ผลรายงานการประเมินความเสี่ยงระบบเครื่องแม่ข่าย/ ลูกข่าย

2.3 บนเครื่องลูกข่าย

- ส่วนที่เป็นเครื่องลูกข่าย

อุปกรณ์ที่พิจารณา คือ HIDS (Host Base Intrusion Detection System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดขึ้นบน HIDS และเครื่องลูกข่าย

การ นำ log ของอุปกรณ์เครือข่าย , เครื่องแม่ข่าย และ เครื่องลูกข่าย มาทำการวิเคราะห์หาสิ่งผิดปกติที่เกิดขึ้นบนระบบทั้งหมด ที่เกิดขึ้นจากการใช้งานข้อมูลสารสนเทศ มีศัพท์เรียกว่า SIM (Security Information Management)

เรียกง่ายๆว่า SIM จึงเป็นอุปกรณ์ที่สร้างมาเพื่อวิเคราะห์ log ที่เกิดขึ้นบนระบบเครือข่าย โดยจุดประสงค์เพื่อให้ผู้ดูแลระบบสามารถที่จัดการรายงานผลที่เกิดขึ้นได้จาก จุดศูนย์กลาง

SIM จะจัดการรวบรวมข้อมูล ที่เป็นการโจมตีที่รู้จัก และ ไม่รู้จัก (Centralization) โดยคำนึงถึงการซ้ำกันของข้อมูล รวมเป็นข้อมูลเดียว( Normalization) และทำการแยกแยะข้อมูล (aggregation) โดยมีค่าที่กำหนดไว้ให้เป็นชนิดใดและมีความเสี่ยงเท่าใด (Correlation)

ลำดับเหตุการณ์การทำงานของ SIM = Centralization log => Normalization => Aggregation => Correlation

รูปจาก OSSIM

3. วิธีการแก้ปัญหาบริการเฝ้าระวังและจัดการบนศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบ ความปลอดภัยทางอินเตอร์เน็ทที่จัดให้คุณจะมีบริการเฝ้าระวัง และการจัดการ สำหรับระบบเครือข่ายและผู้ให้บริการ ออกแบบโดยเฉพาะสำหรับป้องกันองค์กรจากการโจมตีจากภายในและภายนอกระบบเครือ ข่ายของเขา ที่เป็นส่วนแก้ปัญหาความเสียหายที่เกิดขึ้นในองค์กร บริการที่จัดให้ครอบคลุม 24/7 ผู้เชี่ยวชาญการเฝ้าระวัง การจัดการ และการวิเคราะห์ระบบ ตามเหตุการณ์โต้ตอบปัจจุบัน และการเพิ่มของกิจกรรมที่ไม่เหมาะสมที่อาจเกิดขึ้นทำให้บริษัทมีความเสี่ยง ในการเพิ่มบริการเฝ้าระวังและการแจ้งเตือนที่ศูนย์เตือนภัย รวมถึงการเข้าถึงความชำนาญด้านความปลอดภัยที่ทำได้ ช่วยให้ฟื้นฟูระบบและ ทำให้ความเสี่ยงลดลงอย่างได้ผล

ลักษณะของบริการเฝ้าระวังและจัดการศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบ ความปลอดภัยทางอินเตอร์เน็ท บริการจัดการ IDS สำหรับระบบเครือข่ายและผู้ให้บริการ ครอบคลุมการแก้ปัญหา ออกแบบการบำรุงรักษา และทำให้องค์กรของคุณและสภาพแวดล้อมปลอดภัย ประกอบด้วย

• คืนงบประมาณ การประกันจากบุกรุก โดยใช้พื้นฐาน SLAs (Service Level Agreement)

จัด รับประกันเวลาตอบกลับและการโต้ตอบสำหรับเหตุการณ์ความปลอดภัย พบเป้าหมายขององค์กรหรือบริการฟรี เหล่านี้เป็นการปรับปรุง SLAs การตลาดที่แตกต่างและทำให้แน่ใจทันที การแสดงและการแจ้งเมื่อมีเหตุการณ์ตรวจจับความปลอดภัยตามความเหมาะสม สำหรับการแสดงตัวบุคคลและการโต้ตอบ การบำรุงรักษาความปลอดภัยที่มีประสิทธิภาพ

• การดูแลรักษาความปลอดภัยเครือข่าย

ซึ่ง มีประสิทธิภาพและราคาที่มีประสิทธิผล กระบวนการที่พร้อมสำหรับ patch ที่ปลอดภัย ซึ่งเป็นเรื่องที่กว้างในระบบเครือข่าย โดยเข้าควบคุมสถานการณ์ ระบุชื่อความอ่อนแอและแจ้งเตือน สามารถอัพเดทโดยอัตโนมัติ ประยุกต์นโยบายการป้องกันความอ่อนแอของระบบก่อนการโจมตี ดังนั้น Virtual Patch รวมการตรวจจับความอ่อนแอ เป็นการป้องกันที่ดีที่สุด เทคโนโลยีการแก้ปัญหาและทำการติดตั้งด้วยราคาที่คุ้มค่า ควบคุมกระบวนการที่เกิดขึ้นในระบบเครือข่ายตลอดเวลา

นนทวรรธนะ สาระมาน
Nontawattana Saraman

25/10/48

Monday, October 24

Go to SOC

การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท เชิงทฤษฎี

SRAN Community ต้องการสร้างความเข้าใจถึงการสร้างศูนย์เตือนภัยทางระบบเครือข่าย มาเป็นระยะหนึ่ง โดยออกบทความนี้ทั้งในรูปแบบเชิงผลิตภัณฑ์ SRAN System ที่เคยลงในนิตยสาร มาเป็นเวลาหนึ่ง ผู้เขียนต้องการให้ตะหนักถึงภัยคุกคามบนระบบอินเตอร์เน็ท มาโดยตลอด และมั่นใจว่าสิ่งหนึ่งที่จะช่วยให้ระบบเครือข่ายเราปลอดภัยได้ เราจำเป็นต้องมีศูนย์เตือนภัยทางอินเตอร์เน็ต ที่สร้างขึ้นเองได้ภายในหน่วยงาน หรือสร้างเป็นงานบริการระดับ ISP ดังนั้นบทความต่อไปนี้ จะเสนอในเชิงทฤษฎีเพื่อให้ทราบถึงขั้นตอนการสร้างศูนย์เตือนภัย และวิธีการนำไปใช้อย่างถูกต้องต่อไป

รูป The Heart of The Network ของ Military Information Technology , USA

เป้าหมายในการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท

1. เพื่อเฝ้าระวังสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

2. เพื่อแก้ไขสถานการณ์ เพื่อลดความเสี่ยงที่เกิดจากการบุกรุกบนระบบเครือข่ายได้อย่างทันเหตุการณ์

3. เป็นการเก็บสถิติเหตุการณ์ต่างๆ ที่เกิดขึ้นบนระบบเครือข่าย เพื่อทำรายงานผลประจำ วัน/เดือน/ปี

4. เพื่อสร้างความแข็งแรงและปรับปรุง ให้กับระบบเครือข่ายอยู่อย่างสม่ำเสมอ

5. ควบคุมและจัดการด้านการรักษาความปลอดภัยเครือข่าย ได้อย่างเป็นระบบ

ส่วนประกอบของศูนย์เตือนภัยทางอินเตอร์เน็ท

1. ออกแบบศูนย์เตือนภัยทางอินเตอร์เน็ท (Design Security Operation Center)

1.1 อุปกรณ์ที่เพื่อจัดการข้อมูลบนศูนย์เตือนภัย

ประกอบด้วย

ระบบที่ใช้ในการตรวจและรวบรวม log ที่เกิดขึ้นบนระบบเครือข่าย ที่เรียกว่า SIM

1.2 ผู้ปฏิบัติงาน ในศูนย์เตือนภัย ประกอบด้วย 4 หน้าที่คือ

- นักเฝ้าระวังเครือข่าย (Network Security Monitoring Operation) ตำแหน่ง วิศวะกร เพื่อดูแลความเป็นระเบียบเรียบร้อยในระบบเครือข่าย มีหน้าที่ประจำ ประเมินความเสี่ยงระบบเครือข่าย (Security Assessment) , ออกผลรายงานประจำวัน ทั้งผลการประเมินความเสี่ยง และผลการเฝ้าตรวจตาความปกติระบบเครือข่าย รวมถึงการแจ้งเตือนเมื่อมีเหตุฉุกเฉิน จำนวนผู้ปฏิบัติงาน 6 คน เวลาในการปฏิบัติงาน เช้า 8 ชั่วโมง กลางวัน 8 ชั่วโมง กลางคืนอีก 8 ชั่วโมง 24x7 ชั่วโมง

- นักวิเคราะห์ความผิดปกติระบบเครือข่าย (Network Forensics Analysis Packets) ตำแหน่ง ผู้เชี่ยวชาญในการวิเคราะห์หาความผิดปกติระบบเครือข่าย รับหน้าที่ต่อจากวิศวะกร เมื่อเกิดเหตุการณ์สงสัยว่าจะเป็นภัยต่อระบบเครือข่าย จำนวนผู้ปฏิบัติงาน 2 คนอย่างน้อย จำเป็นต้องมีประสบการณ์ในงานด้านความปลอดภัยไม่น้อยกว่า 3 ปี

- นักกู้ระบบฉุกเฉินเมื่อเกิดเหตุผิดปกติบนระบบเครือข่าย (Incident Response Team) ตำแหน่ง ทีมกู้ระบบฉุกเฉิน หน้าที่ประจำคือ onsite เพื่อทำการแก้ไขปัญหาฉุกเฉินเมื่อ นักวิเคราะห์ความผิดปกติระบบเครือข่ายได้แจ้งมา จำนวนผู้ปฏิบัติ 2 คนอย่างน้อย

- ผู้บัญชาการศูนย์เตือนภัยทางอินเตอร์เน็ต (Head Security Operation Services) หน้าที่ประจำ เป็นผู้ดูแลศูนย์ รับผิดชอบ และออกคำสั่งในการปฏิบัติงานโดยดู SLA (Services Level Agreement) ที่กำหนดในการให้บริการ จำเป็นต้องเป็นผู้ที่มีประสบการณ์งานระบบเครือข่าย เป็นอย่างน้อย 7-8 ปี และมีประสบการณ์ด้านความปลอดภัยเครือข่ายเป็นอย่างดี

1.3 วิธีการปฏิบัติงาน

- เรียนรู้และเข้าใจถึงอุปกรณ์ในการใช้งานบนศูนย์เตือนภัยทางอินเตอร์เน็ท

- เรียนรู้ขั้นตอนการทำงานจากผู้บังคับบัญชา เพื่อกำหนด บทบาทและหน้าที่การปฏิบัติงาน

- ประชุมสรุปถึงปัญหาที่เกิดขึ้น เป็นระยะๆ

- ดูแลและบำรุงรักษาอุปกรณ์ที่ใช้เฝ้าระวังภัยทางอินเตอร์เน็ท

2. การจัดหาอุปกรณ์เพื่อจัดการในศูนย์เตือนภัย

จุดที่ควรพิจารณา แบ่งเป็น 3 ส่วนคือ

2.1 อุปกรณ์บนระบบเครือข่าย

- ส่วนที่เป็นชายแดน ของระบบเครือข่าย : เมื่อนับจากการให้สัญญาณอินเตอร์เน็ทเข้าสู่ระบบเครือข่ายของเรา

อุปกรณ์ที่พิจารณา คือ อุปกรณ์ Router

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดจากอุปกรณ์ Router

- ส่วนที่เป็นการควบคุมทางออกทางเข้าของระบบเครือข่าย (Network Gateway) : คืออุปกรณ์ที่ใช้เป็นตัวกลางในการแบ่งโซนระบบเครือข่าย และทำตัวเป็นตัวกลางในการเชื่อมโยงระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ Firewall หรือ Proxy

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log Firewll หรือ Proxy

- ส่วนที่เป็นระบบตรวจจับผู้บุกรุก (Intrusion Detection System) : คือ อุปกรณ์ที่ใช้ในการตรวจจับสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่าย

อุปกรณ์ที่พิจารณาคือ NIDS sensor (Network Intrusion Detection System sensor) / NIPS (Network Intrusion Prevention System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log NIDS หรือ NIPS

2.2 บนเครื่องแม่ข่าย

- ส่วนที่เครื่องแม่ข่าย

อุปกรณ์ที่พิจารณาคือ Web Server , Mail Server , Data Base Server เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่องแม่ข่าย

- ส่วนที่เป็นเครื่องป้องกันภัยที่เป็นคอมพิวเตอร์แม่ข่าย

อุปกรณ์ที่พิจารณา คือ Anti-virus Server , Domain Controller Server และ PC Management เป็นต้น

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ทั้งหมดที่เกิดขึ้นบนเครื่ืองแม่ข่าย

- เครื่องแม่ข่ายที่ใช้สำหรับประเมินความเสี่ยง (Vulnerability Server Scan)

อุปกรณ์ที่พิจารณา คือ โปรแกรมที่ใช้ทำการประเมินความเสี่ยงระบบ

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ ผลรายงานการประเมินความเสี่ยงระบบเครื่องแม่ข่าย/ ลูกข่าย

2.3 บนเครื่องลูกข่าย

- ส่วนที่เป็นเครื่องลูกข่าย

อุปกรณ์ที่พิจารณา คือ HIDS (Host Base Intrusion Detection System)

สิ่งที่ใช้ในศูนย์เตือนภัยทางอินเตอร์เน็ท คือ log ที่เกิดขึ้นบน HIDS และเครื่องลูกข่าย

การนำ log ของอุปกรณ์เครือข่าย , เครื่องแม่ข่าย และ เครื่องลูกข่าย มาทำการวิเคราะห์หาสิ่งผิดปกติที่เกิดขึ้นบนระบบทั้งหมด ที่เกิดขึ้นจากการใช้งานข้อมูลสารสนเทศ มีศัพท์เรียกว่า SIM (Security Information Management)

เรียกง่ายๆว่า SIM จึงเป็นอุปกรณ์ที่สร้างมาเพื่อวิเคราะห์ log ที่เกิดขึ้นบนระบบเครือข่าย โดยจุดประสงค์เพื่อให้ผู้ดูแลระบบสามารถที่จัดการรายงานผลที่เกิดขึ้นได้จากจุดศูนย์กลาง

SIM จะจัดการรวบรวมข้อมูล ที่เป็นการโจมตีที่รู้จัก และ ไม่รู้จัก (Centralization) โดยคำนึงถึงการซ้ำกันของข้อมูล รวมเป็นข้อมูลเดียว( Normalization) และทำการแยกแยะข้อมูล (aggregation) โดยมีค่าที่กำหนดไว้ให้เป็นชนิดใดและมีความเสี่ยงเท่าใด (Correlation)

ลำดับเหตุการณ์การทำงานของ SIM = Centralization log => Normalization => Aggregation => Correlation

รูปจาก OSSIM

3. วิธีการแก้ปัญหาบริการเฝ้าระวังและจัดการบนศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบความปลอดภัยทางอินเตอร์เน็ทที่จัดให้คุณจะมีบริการเฝ้าระวัง และการจัดการ สำหรับระบบเครือข่ายและผู้ให้บริการ ออกแบบโดยเฉพาะสำหรับป้องกันองค์กรจากการโจมตีจากภายในและภายนอกระบบเครือข่ายของเขา ที่เป็นส่วนแก้ปัญหาความเสียหายที่เกิดขึ้นในองค์กร บริการที่จัดให้ครอบคลุม 24/7 ผู้เชี่ยวชาญการเฝ้าระวัง การจัดการ และการวิเคราะห์ระบบ ตามเหตุการณ์โต้ตอบปัจจุบัน และการเพิ่มของกิจกรรมที่ไม่เหมาะสมที่อาจเกิดขึ้นทำให้บริษัทมีความเสี่ยง ในการเพิ่มบริการเฝ้าระวังและการแจ้งเตือนที่ศูนย์เตือนภัย รวมถึงการเข้าถึงความชำนาญด้านความปลอดภัยที่ทำได้ ช่วยให้ฟื้นฟูระบบและ ทำให้ความเสี่ยงลดลงอย่างได้ผล

ลักษณะของบริการเฝ้าระวังและจัดการศูนย์เตือนภัยทางอินเตอร์เน็ท

ระบบความปลอดภัยทางอินเตอร์เน็ท บริการจัดการ IDS สำหรับระบบเครือข่ายและผู้ให้บริการ ครอบคลุมการแก้ปัญหา ออกแบบการบำรุงรักษา และทำให้องค์กรของคุณและสภาพแวดล้อมปลอดภัย ประกอบด้วย

• คืนงบประมาณ การประกันจากบุกรุก โดยใช้พื้นฐาน SLAs (Service Level Agreement)

จัดรับประกันเวลาตอบกลับและการโต้ตอบสำหรับเหตุการณ์ความปลอดภัย พบเป้าหมายขององค์กรหรือบริการฟรี เหล่านี้เป็นการปรับปรุง SLAs การตลาดที่แตกต่างและทำให้แน่ใจทันที การแสดงและการแจ้งเมื่อมีเหตุการณ์ตรวจจับความปลอดภัยตามความเหมาะสม สำหรับการแสดงตัวบุคคลและการโต้ตอบ การบำรุงรักษาความปลอดภัยที่มีประสิทธิภาพ

• การดูแลรักษาความปลอดภัยเครือข่าย

ซึ่งมีประสิทธิภาพและราคาที่มีประสิทธิผล กระบวนการที่พร้อมสำหรับ patch ที่ปลอดภัย ซึ่งเป็นเรื่องที่กว้างในระบบเครือข่าย โดยเข้าควบคุมสถานการณ์ ระบุชื่อความอ่อนแอและแจ้งเตือน สามารถอัพเดทโดยอัตโนมัติ ประยุกต์นโยบายการป้องกันความอ่อนแอของระบบก่อนการโจมตี ดังนั้น Virtual Patch รวมการตรวจจับความอ่อนแอ เป็นการป้องกันที่ดีที่สุด เทคโนโลยีการแก้ปัญหาและทำการติดตั้งด้วยราคาที่คุ้มค่า ควบคุมกระบวนการที่เกิดขึ้นในระบบเครือข่ายตลอดเวลา

นนทวรรธนะ สาระมาน
Nontawattana Saraman

on Oct 24, 2005 12:00 pm.

Monday, October 10

Network jail

on Oct 24, 2005 12:15 pm.
เครือข่ายในกรงขัง หรือ เรียกว่า "Network Jail"

เป็นศัพท์ที่เิกิดจากจิตนาการของผู้เขียนเอง ยังไม่ได้ระบุที่ใดมาก่อน ดังนั้นบทความนี้จึงเป็นเพียงแนวความคิด

จุดประสงค์หลักของบทความนี้ เพื่อที่จะเสนอแนวความคิด การกักขังข้อมูลที่ไม่พึ่งประสงค์ ในเครือข่ายสำหรับงานวิจัย

บทความนี้แบ่งเป็น 3 ตอน

ตอนแรกจะกล่าวถึง เทคโนโลยีการสร้าง honeynet ในยุค Gen II

ตอนที่สองจะกล่าวถึง การใช้ sinkhole บน WAN เทคโนโลยี และระบุตัวตนของ IP โดยใช้เทคโนโลยี Backscatters

ตอนที่สามเปิดเผย Network Jail ตามจิตนาการของผู้เขียน

ในบทความนี้จะกล่าวถึง

1. แนวความคิดการสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้

2. เทคโนโลยี Honeynet จาก <Honeynet Project> ในยุค Gen II และเป็นแบบ High-Interaction Honeypots

3. เทคโนโลยี Sinkholes และ Backscatter

4. การประยุกต์รวมเทคโนโลยีเพื่อสร้างเครือข่ายในกรงขัง

ในตอนที่ 1 จะกล่าวถึง หัวข้อที่ 1 และ 2 ตามลำดับ

แนวความคิดการสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้

เราทราบกันดีอยู่ว่าไม่สามารถที่จะหยุดยั้งการบุกรุกที่เกิดขึ้นในเครือข่ายได้ ไม่ว่ากรณีใดๆ สำหรับงานวิจัยแล้วการบุกรุกและพัฒนาอุปกรณ์ด้านความปลอดภัย รวมถึง ซอฟแวร์ที่ใช้เพื่อเสริมความปลอดภัยให้กับองค์กร เป็นสิ่งที่ต้องเรียนรู้กันอยู่ตลอดเวลา การสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้ จึงเป็นส่วนหนึ่งของการวิจัยเพื่อที่จะ

- ศึกษาพฤติกรรมการบุกรุกระบบเครือข่าย

- พัฒนาฐานข้อมูลการบุกรุกเพื่อใช้ในการสร้างผลิตภัณฑ์ด้านความปลอดภัยข้อมูล (Firewall /IDS /IPS) และฐานข้อมูลให้บริการโปรแกรมด้านความปลอดภัยไม่ว่าเป็น software Anti-virus/Spyware/Spam

- เพื่อปรับปรุงแนวทางการป้องกันภัยคุกคามใหม่

ใน 3 ข้อนี้เป็นแกนหลักในการสร้างเครือข่ายที่เข้าได้แต่ออกไม่ได้ ที่เรียกว่า Network Jail ขึ้น

เทคโนโลยี Honeynet Gen II

หลักใหญ่ๆ การสร้าง Honeynet มี 3 หัวข้อที่พึ่งสังเกต

1. เรื่อง Data Control คือการควบคุมการเข้าออกข้อมูลสารสนเทศ โดยกำหนด

Interface สำหรับ External Nework , Internal Network และ Remote management โดยผ่านเทคโนโลยี Iptables มาใช้ทำ Bridge (การทำ Bridge ไม่จำเป็นต้องบน iptables อาจใช้ tools บน BSD มาใช้ร่วมได้เช่น ipfw เป็นต้น) ในส่วน Data Control จะใช้ควบคุมพฤติกรรมต่อเนื่องที่เป็นการโจมตี ไม่ว่าเป็นเรื่องของ session limit , Bandwith Rate Limitation รวมถึงการระบุช่วง IP ในการเข้า ออก (Firewall แบบ packet filtering)

ใน Honeynet project การใช้ Data Control จะมี tools หนึ่งที่เรียกว่า Honeywall ซึ่งจากภาพที่นำมาเสนอจะบอกถึงหลักการการขนส่งข้อมูลในแต่ละ interface ที่เกิดขึ้น และบังคับข้อมูลให้ส่งผ่านตามที่ต้องการ

2. Data Capture จะเกี่ยวกับการตรวจตาเฝ้าระวังภัย ประกอบด้วย

- อ่านค่า log เหตุการณ์ที่เกิดขึ้นบนระบบเครือข่าย (Network Intrusion Detection System) จาก Syslog server ต่างๆ ที่เกี่ยวกับการสร้าง Honeynet

- การตรวจค่าความเที่ยงตรงข้อมูล (Host Integrity Monitoring) ไม่ว่าที่เกี่ยวกับ keystrokes, การ uploads files การเปลี่ยนค่าของ files และ การกรอก passwords

เครื่องมือที่ใช้ ใน Honeynet Project ในส่วน Data Capture คือ

1. snort เป็น NIDS และ HIDS

2. Sebek ใช้สำหรับเป็น Keystrokes log

3. Data Analysis จะเกี่ยวกับการวิเคราะห์ข้อมูลระดับ content เพื่อใช้ในการสืบค้นหา และเพื่อวิจัยต่อไป

ใน Honeynet Project มีเครื่องมือที่ใช้ ส่วนใหญ่เป็นเชิงการพิสูจน์หลักฐานทางอิเล็คทรอนิค (Forensics toolkit) ได้แก่

1. Sleuthkit ใช้สำหรับงานวิเคราะห์หลังการเกิดเหตุการณ์ที่ไม่พึ่งประสงค์

2. ACID (Analysis Console for Intrusion Databases ) เป็นตัวแสดงผลการตรวจจับข้อมูลจาก snort ซึ่งพัฒนาจากทีม CERT

ทั้ง 3 ส่วนหลักการของการสร้าง honynet เป็นการบ่งบอกถึงสร้างเครือข่ายเพื่อเป็นหลุมพรางไว้ ให้ผู้บุกรุกและไม่ใช่ผู้บุกรุกระบบเครือข่ายก็ดีได้ติดกับดักไว้

ในส่วนการทำ Low Interaction Honeypots และ High Interaction Honeypots คือการสร้างแบบเสมือนขึ้นบนระบบปฏิบัติการ OS (Operating System)

Low Interaction จะเกิดขึ้นบนเครื่องเดียวที่เรียกว่า honeypots PC หมายถึงหลอกให้เข้าเครื่องนี้เพียงเครื่องเดียวและบันทึกเหตุการณ์ไว้ ในส่วน Low Interaction จะไม่มีเรื่องการทำ Data Control มีเพียง Data Capture และ Data Analysis

High Interaction เกิดจากการพัฒนาเทคโนโลยี สร้างความเสมือนจริงให้เกิดขึ้นกับระบบปฏิบัติการ OS (Operating System) โดยใช้ OS เสมือนเหล่านี้สร้างเป็นเครือข่าย และทำการสร้าง honeynet เกิดขึ้นบนระบบปฏิบัติการ

จากภาพจะเห็นว่า หมายเลข 1 คือการทำ Data Control โดยใช้เครื่องมือ honeywall ทำการกำหนดข้อมูลและส่งไปยังเครื่องเสมือนที่เรียกว่า Honeypot ที่เป็นแบบ Low Interaction และหมายเลขที่ 3 เป็น Honeypots แบบ High Interaction โดยทั้ง 3 ส่วนที่ผสมผสานกัน จะเรียกว่า Honeynet

ภาพเครือข่าย Honeynet ในยุค Gen II จึงเป็นการสมมุติฐานว่าทุกข้อมูลที่เข้าสู่วงเครือข่าย Honeynet จะถูกบันทึกและเก็บเป็นหลักฐานหมด ซึ่งยังไม่ใช่จุดประสงค์ของการทำ Network Jail ที่ผู้เขียนคิดไว้

ในตอนหน้าจะกล่าวถึง การใช้เทคโนโลยี sinkhole และ backcatters และเผยการออกแบบ Network Jail ในบางส่วน

บทความนี้ขอสงวนสิทธิ ในการเผยแพร่ ต้องรับอนุญาตจากทางบริษัท Global Technology Integrated

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Director SRAN Developer Team

24/10/48

ข้อมูลอ้างอิงบทความ

http://www.honeynet.org/papers/gen2/

http://www.honeyd.org/background.php

http://www.nanog.org/mtg-0306/sink.html

http://ebtables.sourceforge.net/

รูปประกอบจาก http://www.honeynet.org.es/papers/vhwall/

Friday, August 19

Network Security Identity # 2

Submitted by classicx. on Oct 24, 2005 12:00 pm.

การระบุตัวตน ที่แท้จริงบนโลกอินเตอร์เน็ทเป็นเรื่องที่ยาก ระบบอินเตอร์เน็ทได้เติบโต จนทุกครั้งที่จะใช้งานคอมพิวเตอร์ต้องเชื่อมต่อโลกอินเตอร์เน็ทไปด้วยกันเสี ยแล้ว ภัยคุกคามที่เกิดจาก hackers ก็ดี Spam,Virus computer,worm, trojan horse อื่นๆอีกมากมาย เราผู้ใช้งานก็อาจจะตกเป็นเหยื่อได้หากประมาท และรู้ไม่เท่าทัน ดังนั้นการที่นำการระบุตัวตนบนระบบเครือข่ายจึงเป็นการแสดงความคิด เพียงเพื่อว่าทุกปัญหาที่เกิดขึ้นจะได้มีทางออกที่ถูกต้องและปลอดภัยได้ในที ่สุด



ผู้เขียนได้มีประสบการณ์ได้การตรวจจับหาผู้กระทำความผิดที่เกิดขึ้นบนโลกอิน เตอร์เน็ท มาหลายๆกรณี หลายครั้งเป็นที่เป็นการกระทำของบุคคล และการกระทำที่ไม่ใช่บุคคล ครั้งนี้คงไม่ได้ถ่ายทอดประสบการณ์ที่ผ่านมาในกรณีสำคัญแต่เป็นการแสดงแนวความคิด การป้องกันในเชิงรู้ทันเหตุการณ์ และระบุที่มาที่ไปได้ เป็นหลัก
>การกระทำที่เกิดจากบุคคล => มองได้ว่าเป็นการโจมตีของผู้บุกรุกระบบ (Hackers) โดยอาจใช้เทคนิคต่างๆ ไม่ว่าจะเป็นการโจมตีด้วยฝีมือ และใช้โปรแกรมช่วยก็ตาม หากเป็นการบุกรุก โดยหวังผลให้ระบบเครือข่ายมีความเสียหายและใช้งานไม่ได้เรียกว่า DoS (Denial of Services) การโจมตีผ่าน Web application ที่มีหลากหลายเทคนิค ไม่ว่าเป็น Sql injection , Cross-Site Scripting (XSS) Flaws และอื่นๆ สามารถอ่านรูปแบบโจมตีได้ที่ โครงการ OWASP ในส่วน 10 TOP การโจมตีผ่าน Web application
หรือเป็นเพียงการต้องการศึกษาระบบเครือข่ายเพื่อทำการประเมินความเสี่ยงในเช ิงลึก ที่เรียกว่าการทำ Penetration test หรือในเชิงพื้นฐานเพื่อค้นหาความเสี่ยงจากสิ่งที่มีอยู่เดิม เรียกว่า Vulnerability Assessment ทำเพื่อวิเคราะห์ก่อนที่จะทำการปิดความเสี่ยงที่เรียกว่าการ Hardening ต่อไปไม่ว่าเป็นระบบเครือข่าย ,เครื่องแม่ข่าย รวมถึงเครืองลูกข่ายตามลำดับ ซึ่งในการทำการศึกษาเพื่อประเมินความเสี่ยงนั้น มักใช้กับงานที่ปรึกษาระบบความปลอดภัยเครือข่าย หรือแม้กระทั้งกลุ่ม Security officer ที่ประจำ ตามบทบาทและหน้าที่ในองค์กร
ซึ่งทั้งหมดที่กล่าวมาอาจจะบุคคลที่จงใจทำทั้งหมดโดยเขียนโปรแกรมขึ้นเฉพาะก ิจ แบบอัตโนมัติที่เรียกว่า Script rooter
ก็เป็นได้ หรือเกิดจากความประมาทของคนที่เรียกว่า Human error ก็เป็นได้ ล้วนทำให้เกิดความเสียหายได้ทั้งสิ้น


>การกระทำที่เกิดจากไม่ใช่บุคคล => ซอฟแวร์ต่างๆที่ไม่พึ่งประสงค์ ที่เขียนขึ้นจากบุุคคลเพื่อหวังผลอย่างใดอย่างหนึ่งซึ่งสามารถทำความเสียหาย ให้แก่ระบบและล่วงละเมิดความเป็นส่วนตัวของข้้อมูลนั้น ตัวอย่างเช่น Malware ส่วนใหญ่คนทั่วไปจะรู้จักชื่อ Spyware แต่ในความหมายแล้วคำว่า Spyware เป็นเพียง sub set ของ Malware , Virus Computer / worm , Backdoor รวมถึง Spam ที่เป็นแหล่งที่มาของการกระทำที่ไม่เหมาะสมอื่นๆตามกับ Spam หรือ อีเมล์ขยะ เช่น เทคนิคที่เรียกว่า phishing และ worm ชนิดต่างๆที่แอบฝั่งมากับ file e-mail เป็นต้น
สามารถอ่านได้ในบทความก่อนที่ชื่อว่า The Dark site of Internet

หากเรามองการโจมตีเกิดจาก 2 สาเหตุใหญ่ดังที่กล่าวมา จะมีสักกี่ครั้งที่เราทราบว่า เกิดจากอะไร และเกิดขึ้นได้อย่างไร ใครเป็นผู้ทำ ดังนั้นด้วยความอยากรู้และอยากหาคำตอบสิ่งเหล่านั้น จึงเกิดบทความนี้ขึ้น โดยแบ่งเป็น 2 ตอน ตอนแรกได้กล่าวไปบ้างแล้วถึง การระบุตัวตนบน Local Area Network Security Identity ไปแล้ว มาตอนนี้เราจะมาพูดถึง Global Area Network Security Identity กันบ้าง
ณ ปัจจุบัน ขณะที่เขียนบทความนี้อยู่ ยังไม่มีที่ใดในโลก ที่สามารถ identify ตัวตนได้จริง ดังนั้นการบรรยายว่า Global Area Network Security Identity จึงเป็นเพียงการเสนอความคิดทำนั้น
ได้แบ่งเนื้อหาไว้ 4 ส่วน
ส่วนที่ 1 จะกล่าวถึงวิธีที่จะจัดระเบีียบผู้ให้บริการอินเตอร์เน็ทเพื่อจะสามารถจัดหา ได้ถูกต้องว่า IP นั้นมีที่มาที่ไปอย่างไร
ส่วนที่ 2 การฝังซอฟแวร์พิเศษเพื่อช่วยในการระบุตัวตน ผ่านทางระบบเครือข่าย
ส่วนที่ 3 การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท
ส่วนที่ 4 จริยธรรมในการใช้สื่ออินเตอร์เน็ท

ขยายความในส่วนที่ 1 ในบางประเทศได้จัดทำเรียบร้อยแล้ว โดยเฉพาะประเทศสหรัฐอเมริกา โดยแผนการปฏิบัติคือ ISP ที่เป็นผู้ให้บริการทางอินเตอร์เน็ทจะต้องทำดังนี้
1.1 กำหนดโซน IP ที่ให้บริการ เช่น เขตภาคเหนือ ช่วง IP ถึง IP นี้ เขตภาคตะวันออก ช่วง IP ถึง IP นี้เป็นต้น โดยทุกช่วง IP จะสามารถระบุตัวตนได้ระดับหนึ่งว่ามาจากสถานที่ใด ให้ระบุเจาะจงไปอีก ว่าเขตภาคเหนือ ใน ย่าน A IP ต้องเป็นจำนวนนี้ และค่าเริ่มต้นและค่าสุดท้ายเป็นเท่าไหร่ ยกตัวอย่าง ภาคเหนือที่ได้เป็น IP 202.155.3.x - 202.165.3.x ในย่าน A จะเริ่มที่ 202.156.1.x - 202.156.5.x เป็นต้น โดยคำนวณตาม sub net ที่ยังคงอยู่
ตัวอย่างภาพการตรวจจับ IP ที่ส่ง Spam ในภูมิภาคหนึ่ง
เมื่อขยายส่วนลงไปสู่ย่านการให้บริการ ก็จะทราบว่าเครื่องที่ส่ง Spam mail มาจากถนนสายไหน เป็นต้น
ภาพได้จาก Mailinator ที่อาศัยเทคโนโลยี google map กับการหาเส้นทาง IP ผู้ส่ง Spam mail
1.2 ทำการเก็บ log file ในแต่ละ IP ที่เกิดจากการ Authentication กับตัว Radius server มึการเก็บ log จาก Radius server จะทำให้ทราบถึง เบอร์โทรศัพท์ที่กำลังใช้ อินเตอร์เน็ท และใช้ในช่วงเวลาใด เท่านั้น
1.3 log จากระบบตรวจจับผู้บุกรุก ISP ที่ติดตั้งระบบตรวจจับผู้บุกรุก ตามโหนดต่างๆ ตามภูมิภาค และตามย่าน ที่เกิดจากการผ่านจาก gateway ไปยังที่หนึ่ง ซึ่งตรงนี้จะนำไปกล่าวในส่วนที่ 3 คือการสร้่างศูนย์เตือนภัยทางอินเตอร์เน็ทต่อไป
ข้อเสียที่พบได้ ในส่วนที่ 1 คือ
- ยังไม่สามารถป้องกันการปลอมแปลง IP หรือที่เรียกว่า Spoofing ได้ เนื่องจากผู้บุกรุกสามารถที่จะปลอม IP จากการใช้บริการ Anonymous proxy และการยึดเครื่องเพื่อไปอีกเครื่องและทำการโจมตีอีกเครื่องได้ หรือที่เรียกว่า proxy chain
- ทำการสืบค้นหาผู้กระทำผิดได้ยาก ต้องอาศัยความครบถ้วนของข้อมูลจาก ISP เพื่อทำการ Forensics ต่อไป

ขยายความในส่วน 2 การฝังซอฟแวร์พิเศษเพื่อช่วยในการระบุตัวตน เปลี่ยนเสมือนใช้ RFID ฝังไปยังทุกเครื่องที่ผ่านทางระบบเครือข่าย เป็นวิธีที่เคยทำมานานมากแล้ว แต่ไม่มีการเปิดเผยแก่สาธารณะมากเนื่องจากใช้กับวงการตำรวจ โดยเฉพาะ FBI เพื่อค้นหาผู้กระทำความผิดทางอินเตอร์เน็ท
แนวทางปฏิบัติ ทำได้ 2 แบบ
2.1 ทางออกอินเตอร์เน็ท ที่ฝังสคิป นั้นคือ เมื่อทำการติดต่ออินเตอร์เน็ท เข้าสู่ website หนึ่งจะมีการส่ง script ที่เป็นcookie ฝังไปกับเครื่อง เมื่อต่ออินเตอร์เน็ท จะโดนบังคับให้เปิด ที่ website แห่งหนึ่ง นี้จะเรียกว่า web gateway เและเชื่อมโยงฐานข้อมูลกับ ตัวระบบ Radius เพื่อบังคับให้กรอก user /password ก่อนถึงจะใช้ อินเตอร์เน็ทในการ connect ตาม protocol ต่างๆได้ หลังจาก cookie ที่เขียนไว้ใน web gateway จะส่งค่า ชื่อเครื่องคอมพิวเตอร์ , IP ที่ใช้ , ค่า MAC address เครื่อง และส่งไปที่ศูนย์ ISP นั้น เพื่อทำการเก็บประวัติการใช้งาน

2.2 สร้าง robot ที่เป็นชนิด spiderbot ที่คอยเก็บข้อมูล ช่วง IP แล้วส่งค่าไปที่ศูนย์ ISP เป็นระยะๆ ต่างกับวิธีแรก ตรงที่ไม่บังคับให้เข้า web gateway เสียก่อน แต่ผู้ใช้ ใช้งานได้ปกติ หากเล่นอินเตอร์เน็ทสักพัก จะมี spiderbot ดังกล่าวเข้ามาในเครื่องเมื่อเปิด website ที่ให้ความร่วมมือ อาจจะเป็น website หลักๆท่ีได้รับความนิยมหรือเป็นบริการอื่นๆ ที่ไม่ใช่วิ่งบน protocol html เป็นบริการ IRC (Internet Relay Chat) บน port 6666 - 7000 ที่พอจะเป็นแหล่งที่ผู้ใช้งานอินเตอร์เน็ทนิยมใช้งาน ในกรณีอาจจะหลุดในการติดตามได้ เนื่องจากผู้ใช้งานอาจไม่ได้เข้าไปใน ส่วนบริการดังกล่าว และต้องอาศัยความร่วมมือกับผู้ให้บริการ หลักที่เป็นที่นิยม ซึ่งเป็นการยากที่จะปฏิบัติได้ในส่วนนี้

3. การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท เป็นสิ่งจำเป็นและสามารถหาที่มาที่ไปของการกระทำต่างๆ ที่เกิดขึ้นบนโลกอินเตอร์เน็ทได้ดีและเหมาะสมที่สุด โดยใช้การตรวจจับที่เกิดแบบ Real-time หรือจาก log ก็ดี ทั้งนี้เป็นการกระทำที่บนพื้นฐานของระบบ IDS (Intrusion Detection System) หลายคนเข้าใจว่า IDS กำลังจะตายและจะเปลี่ยนเป็น IPS (Intrusion Prevention System) แทน ความเข้าใจดังกล่าวไม่ผิดและไม่ถูกเสียที่เดียว สิ่งที่เป็นอยู่ปัจจุบันก็ดีเรามองว่าเราต้องการระบบป้องกันระบบเครือข่าย จึงสรรค์หาเพียง IPS เป็นที่ตั้ง เนื่องจากเทคโนโลยีได้เปลี่ยนแปลงไป ทำให้ IDS และ IPS อยู่รวมกัน หากขึ้นอยู่กับการวางและการนำไปใช้งาน เช่นเมื่อไหร่ วางแบบ passive mode คือการวางโดย mirror traffic จากอุปกรณ์ที่เป็นสวิตซ์ ก็ดีหรือจากอุปกรณ์พิเศษก็ดี การวางเช่นนี้จะทำให้เป็นระบบ IDS ทันทีเนื่องจากไม่มีการปิดการเชื่อมติดต่อของข้อมูลได้ (ยกเว้นบางเทคนิคที่ใช้ ควบคู่กับ Firewall โดยส่งค่าสั่งตัว Firewall ให้เป็นตัวปิดการติดต่อแทน) แต่เมื่อวางแบบ Inline หรือการวางขวางทาง เพื่อให้ทุก packet ได้วิ่งผ่านตัวมันและสามารถกำหนดนโยบาย ให้อะไรผ่านและไม่ให้อะไรผ่านโดยจับตาม content เป็นหลัก การตรวจจับจะเริ่มตรวจจับจาก layer 2 - layer 7 บน OSI และการตรวจจับอาจอิงตาม signature สิ่งที่มีในฐานข้อมูล หรือจะเป็นการตรวจจับแบบเรียนรู้วิธีการหรือพฤติกรรมของข้อมูล ก็สุดจะเทคโนโลยีจะทำได้การวางระบบแบบนี้จะเรียกว่า IPS
ดังนั้น การสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท ให้เหมาะสมและเกิดประโยชน์มากที่สุดจำเป็นต้องวาง IDS และ IPS ในแต่ละแบบ ตามจำนวนโหนดทาง ติดตั้งไป เพื่อจะมองเห็นการกระทำ ที่ผิดปกติที่เกิดขึ้นในระบบเครือข่ายได้มากที่สุด ดังนั้นเมื่ออ่านตั้งแต่ต้นแล้ว ผู้เขียนจะเน้นการนำ log มาวิเคราะห์ และส่วนที่เติมเต็มสำหรับการวิเคราะห์ที่มาที่ไปของ การกระทำผิดบนอินเตอร์เน็ทได้อย่างเห็นผลที่สุด ยิ่งมี IDS ติดตามโซนต่างๆบนระบบเครือข่ายมากเท่าไหร่ยิ่งทำให้รู้ความคลื่นไหวของผู้บุ กรุกบนระบบเครือข่ายได้มากเท่านั้น จึงเป็นสิ่งสำคัญที่สุดสำหรับการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท

ตัวอย่าง web dshield ที่เตือนภัยการบุกรุกโดยจับข้อมูลตาม protocol และระบุ top attacker ได้ว่ามาจาก IP อะไร


log การเก็บรวบรวม log ที่เกิดขึ้น log เป็นผลการกระทำที่เกิดจากการเก็บค่าบนระบบเครือข่ายเช่น log จาก router gateway , log จาก firewall , log จาก IDS พวกนี้เป็น log ที่เกิดขึ้นบนระบบเครือข่าย ยังไม่เพียงพอที่จะสามารถระบุภัยคุกคามได้ทั้งหมดทุกด้าน ต้องมีการเก็บ log ในส่วนของ localhost ในแต่ละอุปกรณ์ตลอดจนเครื่อง PC ไม่ว่าเป็น log ของ web server , log ของ data base server รวมถึง log ที่เกิดขึ้นบนเครื่อง PC ต่างๆ ที่ใช้งานอยู่

log พวกนี้เป็นการกระทำที่เกิดขึ้นแล้ว มักเรียกว่าเป็น re-active ซึ่งอาจจะสายเกินไปหากเกิดปัญหา ดังนั้นจึงมีแนวความคิดที่ทำพวก HIDS (Host Base Intrusion Detection System) ขึ้นเพื่อทำ pro-active คือรู้ทันเหตุการณ์เมื่อเกิดปัญหา HIDS ที่กล่าวถึงในปัจจุบันมักจะรวมการตรวจค่า integrity เพื่อตรวจค่าสำคัญบนตัวเครื่องเหล่านั้นหากมีการเปลี่ยนแปลงจะมีการฟ้องหรือเตือนผู้ดูแลระบบได้ link โปรแกรมที่เกี่ยวกับ HIDS และ Host Base Integrity

ฉะนั้นการสัมพันธ์กันอย่างเป็นระบบ ในการสร้างศูนย์เตือนภัยทางอินเตอร์เน็ท อุปกรณ์หลักคือต้องมี ระบบตรวจจับผู้บุกรุกบนเครือข่ายที่เรียกว่า NIDS/NIPS รวมถึงการเก็บ log ที่เกิดขึ้นบนระบบเครือข่ายและในตัวเครื่องคอมพิวเตอร์เอง ตลอดจนมีการตรวจสอบการเปลี่ยนแปลงค่าสำคัญที่เกิดขึ้นบนตัวเครื่องที่เรียกว่า Host Base Integrity ทั้งหมด เมื่อมีการนำไปใช้งานได้ถูก จะทำให้เกิดความสะดวกในการระบุที่มาที่ไปของการโจมตีที่เกิดขึ้นบนโลกอินเตอร์เน็ทได้อย่างดี

4. จริยธรรมในการใช้สื่ออินเตอร์เน็ท คำอธิบายข้อนี้คงเป็นเพียง สิ่งสุดท้ายที่กล่าวตักเตือน แต่เป็นส่ิงแรกที่พึ่งกระทำ เพราะทุกอย่างที่กล่าวมานั้นมีทางหลบเลี่ยงได้ หากผู้ใช้ เป็นผู้มีจิตสำนึกที่ดี เป็นคนดี และมีจริยธรรม ก็คงไม่เกิดเห็นการณ์ที่เสียหาย และถึงมือตำรวจในการหาผู้กระทำความผิดได้ ดังนั้นการสร้างจิตสำนึกที่ดีในการใช้สื่อ ไม่ว่าเป็นสื่อใดๆ ควรปลูกฝังตั้งแต่เด็ก สร้างธรรมะในจิตใจ และให้ตะหนักถึงผลการกระทำที่เกิดขึ้นในอนาคตหากประพฤติผิด นั้นคือกฏแห่งกรรม ที่ตามเป็นเงาของเราตลอดเวลา จนกว่าความจริงจะถูกเปิดเผย

นนทวรรธนะ สาระมาน
Nontawattana Saraman
19 กันยายน 2548

Sunday, August 14

Network Security Identity # 1


การระบุตัวตนบนระบบเครือข่ายความปลอดภัย

ทุกวันนี้มีอัตราการเจริญเติบโตทางอินเตอร์เน็ทจำนวนมาก ทุกวันนี้มีอัตราการเจริญเติบโตทางอินเตอร์เน็ทจำนวนมาก จากผลวิจัยสถิติในการใช้งานอินเตอร์เน็ทในประเทศไทย จัดทำโดย ศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (Nectec)

นับแต่ปี 2534 มีการใช้งานอยู่อินเตอร์เน็ทเพียง 30 เครื่องในประเทศไทยจนถึงปี 2547 จำนวนเกือบ 7 ล้านคนที่ใช้อินเตอร์และมีที่ท่าว่าจะมากขึ้นตามจำนวนประชากร

เมื่อมีการใช้งานทางอินเตอร์เน็ท และทุกองค์กรมุ่งสู่การทำ E-commerce จึงทำให้มีการเจริญเติบโตทางระบบเครือข่าย จนสู่การใช้งานที่บ้าน เป็นผลให้ระบบความปลอดภัยข้อมูลจึงเป็นสิ่งที่สำคัญ เนื่องจากมีการบุกรุกและโจมตีระบบเครือข่าย ต่อเนื่อง และผลกระทบสร้างความเสียหายในเชิงธุรกิจและชื่อเสียง เป็นมูลค่าที่ไม่สามารถประเมินได้

ภัยคุกคามต่างๆ ไม่ว่าเป็นการแพร่ระบาดของไวรัสคอมพิวเตอร์ หรือการส่งจดหมายอิเล็คทรอนิคขยะ ที่เรียกว่า Spam เป็นภัยคุกคามอันดับต้นๆ ที่แสดงความน่ารำคาญและมีผลกระทบกับการใช้งานอินเตอร์ในชีวิตปัจจุบัน

จากผลสำรวจของศูนย์ปฏิบัติการตรวจจับการแพร่ระบาดไวรัสจดหมายอิเล็คทรอนิคส์ สำนักงานพัฒนาวิทยาศาสตร์และเทคโนโลยีแห่งชาติ (สบทร) พบว่า ตั้งแต่ปี 2002 ถึง 2005 อัตราการแพร่ระบาดไวรัสที่แนบมากับจดหมายอิเล็คทรอนิคส์เพิ่มสูงขึ้นจำนวนมาก

จำนวนหนอนอินเตอร์เน็ท หรือที่เรียกว่า worm ที่แพร่ระบบในอินเตอร์มีอัตราการแพร่ระบาดอยู่ที่ 8,000 ครั้งต่อวัน

ส่วนโปรแกรมที่ไม่พึ่งประสงค์ หรือที่เรียกว่า Malware , โปรแกรมที่แอบแฝงในการบุกรุกข้อมูล ที่เรียกว่า Spyware มีจำนวนเพิ่มมากกว่าอัตราของไวรัสคอมพิวเตอร์ชนิดหนอนคอมพิวเตอร์ โดยตกอยู่ที่ 300,000 – 400000 ครั้งต่อวัน โดยที่นี้ ได้นำข้อมูลมาจาก secunia ซึ่งเป็นบริษัทข่าวสารด้านความปลอดภัยข้อมูลสารสนเทศ

ภัยจากการบุกรุกจากผู้ไม่พึ่งประสงค์หรือเรียกว่า Hacker ซึ่งเพิ่มอันตราจำนวน Hacker จำนวนมากทั่วโลกเนื่องจากการเข้าถึงโลกอินเตอร์เน็ทเป็นเรื่องที่ง่าย และค้นหาข้อมูล รวมถึงหา Tools ในการโจมตีมีให้ กันทั่วไปในโลกอินเตอร์เน็ท

ในภาพบ่งบอกถึงการโจมตี Web ในประเทศไทย พบว่า domain .co.th มีสถิติการโดยบุกรุกมากที่สุด รองลงมาคือ .go.th

จากการจัดอันดับของ web SRAN community โดยนำข้อมูลจาก Zone-h พบว่าบุกรุกและเปลี่ยนหน้า web ทั้งหน่วยงานราชการไทย และบริษัท ห้างร้าน สถาบันการศึกษา ทุกหน่วยงาน และทุกวันมีการเปลี่ยนหน้า web ซึ่งเป็นการบ่งบอกได้ว่า มีผู้บุกรุกในระบบอินเตอร์จำนวนมาก ทั้งที่เป็นคนและไม่ใช่คน ที่ไม่ใช่คน อาจจะเป็นสคิป(ส่วนหนึ่งของ botnet)หรือโปรแกรมของนักพัฒนาระบบเพื่อค้นหาช่องโหว่ที่เกิดขึ้นในระบบปฏิบัติการหรือ Application ที่เขียนมีความเสี่ยง โดยสคิป เมื่อมีการดัดแปลงและประยุกต์เข้ากับข่าวสารช่องโหว่ใหม่ที่พบใน web ข่าวสารด้านความปลอดภัยก็จะมีผู้ผลิตเพื่อค้นหาว่าเครื่องใดที่ยังไม่ถูกทำการป้องกัน (Security Patch) หากเครื่องดังกล่าวยังอ่อนแอ หรือยังไม่ได้ทำการหนึ่งการใดเพื่อป้องกันตัวเอง ก็จะถูกบุกรุกและเข้าถึงข้อมูลได้อย่างง่ายดาย

ซ้ำร้ายไปกว่านั้นได้มีการโจมตีชนิดใหม่ๆ ที่แอบแฝงมากับจดหมายอิเลคทรอนิคส์ หรือที่เรียกว่า e-mail และโปรแกรมที่นำมาเป็นเครื่องบันเทิงในการใช้งาน ที่เรียกว่า Phishing โดยมีอัตราเพิ่มขึ้นจำนวนมากและทำให้ผู้สูญเสียความลับ และการทำธุรกรรมผ่านระบบอินเตอร์เป็นเรื่องที่ไม่ปลอดภัย

เมื่อเปรียบเทียบภัยคุกคามต่างๆ จาก Zdnet หรือ ITfacts พบว่าภัยอันดับ 1 ที่คุกคามชีวิตการใช้งานของเรามากที่สุดคือ Spam รองลงมาคือ Phishing และไวรัสคอมพิวเตอร์ ตามลำดับ เพื่อการอ่านเนื้อที่ครบลองกลับไปอ่านบทความ Dark Side of The Internet ที่ผู้เขียนได้เขียนไว้ช่วงต้นปี

หากองค์ที่ต้องการเชื่อมต่อระบบอินเตอร์เน็ท และละเลยเรื่องความปลอดภัยแล้ว ย่อมส่งผลเสียอย่างแน่นอน ทุกวันนี้ได้มีธุรกิจด้าน IT security ที่เปิดเป็นเชิงการค้า เป็นจำนวนมาก มีทั้งผลิตภัณฑ์เพื่อป้องกันข้อมูล ป้องกันระบบเครือข่ายทั้ง Hardwareหรือเรียกอย่างหนึ่งว่าเป็น Applianceและ Software รวมถึงการให้บริการด้านความปลอดภัยข้อมูล แบบมืออาชีพ ให้คำปรึกษาในการสร้างความปลอดภัยให้เกิดขึ้นในองค์กร การอบรมความรู้ด้านการรักษาความปลอดภัยข้อมูล เป็นจุดไฟในการศึกษาและค้นหา จนเกิดบุคคลากรผู้สนใจระบบความปลอดภัยจำนวนมาก ทั้งหมดคือความตื่นตัวของจำนวนผู้ใช้งานระบบเครือข่ายผ่านเข้าสู่โลกไร้พรมแดน ด้วยเหตุนี้เอง หากเราจึงควรมีความเข้าใจและศึกษาระบบความปลอดภัยข้อมูล เพื่อเตรียมความพร้อมในการป้องกันภัยเบื้องต้นให้กับตนเองและองค์กรที่ตนทำอยู่

การสร้างระบบความปลอดภัยข้อมูล อย่างยั้งยืนนั้นประกอบด้วย 3 เรื่องเป็นหัวใจสำคัญ

  1. เทคโนโลยี
  2. คน
  3. กระบวนการ

เทคโนโลยี ต้องมีความทันสมัยและสามารถป้องกันภัยต่างๆที่เกิดขึ้นในการใช้ข้อมูลได้ ได้แก่ ระบบ Firewall , IDS/IPS , Vulnerability Management , SIM ,Anit-virus/Anti-Spam/Anti-Spyware software, Network Management, ระบบ สำรองข้อมูล และอื่นๆจะพบว่าการลงทุนด้านความปลอดภัยให้ครบวงจรนั้นต้องใช้เงินทุนจำนวนมาก และเมื่อเปรียบเทียบการย้อนคืนถึงผลลัพธ์ที่ได้กับการลงทุนหรือที่ เรียก Return Of Investment (ROI) บางอย่างย่อมไม่คุ้มทุนที่เสียไป เนื่องจากอุปกรณ์ดังกล่าวจะมีค่าสึกหร่อ ,ค่าบำรุงรักษา ค่าลิขสิทธิหรือที่เรียกว่า license ที่เพิ่มตามประมาณ และเกินกำลังทรัพย์ของบางองค์กร

คน ต้องมีความตะหนักในการใช้ข้อมูลสารสนเทศ หรือที่เรียกว่า Security Awareness ในสมาคมInformation Systems Security Association (ISSA) ได้จัดตั้งโครงการที่ชื่อว่า Humman Firewall เพื่อสร้างความตะหนักในการใช้ข้อมูลสารสนเทศให้ปลอดภัยดังคำขวัญที่ว่า " Be Aware Be Secure" จุดอ่อนความปลอดภัยไม่ว่าจะเป็นเรื่องข้อมูลหรือเรื่องการใช้ชีวิตประจำวัน ก็จะเกิดจากการผิดพลาดของคนเป็นหลัก หากคนพึ่งปฏิบัติตนเองด้วยสติ และมีประสบการณ์ความรู้ในสายงานที่ทำ ความผิดพลาดย่อมน้อยลง

กระบวนการ ด้านความปลอดภัยข้อมูล หลายองค์กรเริ่มสนใจเรื่องกระบวนการมากขึ้น เพราะเข้าใจกันดีว่า "Security not Product but Security is Process" การจัดทำนโยบายด้านความปลอดภัย(Information Security Policy)ก็ดี การสร้างมาตราฐานตาม ISO17799 หรือ มาตราฐานอื่นๆ แล้วแต่ลักษณะงาน เป็นผลให้การสร้างกระบวนการด้านความปลอดภัยมีรูปธรรมขึ้น อย่างมีกรอบ ที่สามารถนำไปใช้งานกับองค์กรได้เป็นอย่างดี

การสร้างระบบความปลอดภัยข้อมูล เป็นเรื่อง "ใกล้ แต่ ไกล" ที่กล่าวเช่นนั้นเพราะว่าเป็นเรื่องใกล้ตัว แต่ไกลในการปฏิบัติ ผมเองเคยกล่าวในงานสัมนาอยู่หลายครั้งกับประโยคนี้ และยังคงยืนยันว่าหากองค์กรใดทำได้ 3 เรื่องนี้ จะพาองค์กรนั้นสู่ความปลอดภัยข้อมูลที่ยันยืน

ในหัวข้อ Network Security Identity เราจะขอกล่าวเพียงเฉพาะด้านเทคโนโลยี

เมื่อเป็นดังนี้ สิ่งหนึ่งที่จะทำได้ก็คือการสามารถล่วงรู้ได้ว่า สิ่งนั้นคือพฤติกรรมที่ไม่พึ่งประสงค์ในการเชื่อมต่ออินเตอร์เน็ท และสามารถระบุผู้บุกรุกทางระบบเครือข่ายได้ว่า เป็นการบุกรุกชนิดใด ดังนั้น หลักการทำ Network Security Identity จึงเป็นการเปิดเผยตัวตนที่แท้จริงของการบุกรุกในเชิงเทคโนโลยี

โดยมีจุดหลักคือ

  1. ในเชิง Local Area Network Security Identity
  2. ในเชิง Global Area Network Security Identity

1. Local Area Network Security Identity คือสามารถรู้ได้สิ่งผิดปรกติได้ภายในเครือข่ายของตนเอง เช่น ในองค์กรของเราเอง ในเครื่องคอมพิวเตอร์ของเราเอง รู้และป้องกัน ป้องกันและทราบสาเหตุ และแก้ไขสาเหตุที่เกิดขึ้น รวมไปถึงระบุผู้บุกรุกที่เกิดขึ้นใน Local Area เราได้

หลักการออกแบบ Network Security Identity ส่วน Local Area นั้น แบ่งได้ดังนี้

1.1 การแสดงตัวตน และสิทธิในการเข้าถึงระบบเครือข่าย (Security Remote Access Control)

- การแสดงตัวเข้าระบบ (Identification)

- การยืนยันว่าเป็นตัวจริง (Authentication)

- การแสดงสิทธิในการเข้าระบบ (Authorization)

ในการ identification และ Authentication แบ่งได้ 3 ชนิดคือ

สิ่งที่คุณรู้ (Something you know) เช่น Pin , password เป็นต้น

สิ่งที่คุณมี (Something you have) เช่น บัตร ATM , Smart card เป็นต้น

สิ่งที่คุณเป็น (Something you are) เช่น Finger print , retina scan เป็นต้น พวกนี้มักเป็นการแสดงตัวแบบ Biometric

เพื่อให้ระดับความปลอดภัยในการพิสูจน์ตัวตนเพื่อเข้าถึงระบบมีความยากขึ้น มักใช้ศัพท์ที่เรียกว่า 2 factor Authentication คือใช้ 2 อย่างใดอย่างหนึ่งจาก 3 factor ที่กล่าว ซึ่งหลายหน่วยงานที่เป็นระบบเครือข่ายขนาดใหญ่และมีความสำคัญของข้อมูลนิยมใช้กัน

ขึ้นกับการนำไปใช้งานเมื่อระบบเครือข่ายในองค์กร ประกอบไปด้วยเครื่อง PC ที่ไม่สามารถระบุได้ว่าเป็นเครื่องของพนักงานคนไหน ก็จะไม่สามารถที่จะติดตามซ่อมหรือ เก็บข้อมูลต่างๆได้ ดังนั้นในการแสดงตัวตน และสิทธิในการเข้าถึงระบบเชิงเทคนิค ในเครื่อง PC ที่เป็น client จำเป็นต้องทำการ login ผ่าน Domain Controller และรับ DHCP จาก Server หรือจะตั้งเป็น Statistics IP เพื่อง่ายในการค้นหาและจัดการ แต่ยากในการจัดทำเพราะ admin ต้องไป set ค่า IP ให้กับเครื่องใหม่ๆ ที่เกิดขึ้น

จากนั้นเมื่อทำการ สร้าง Proxy Server ที่เก็บค่า LDAP ( Lightweight Directory Access Protocol ) จาก Domain Controller แล้วกำหนดให้ user ทุกคนที่ต้องการออกใช้ อินเตอร์เน็ทต้องผ่านเครื่อง proxy gateway นี้

จากนั้นทำการเก็บข้อมูลเครื่องคอมพิวเตอร์ ที่เป็นเครื่องลูกข่ายและแม่ข่าย ไว้ PC management เพื่อทำเรื่อง change control หากมีการแก้ไขและปรับปรุงเครื่องในอนาคต

1.2 การเก็บข้อมูลเครื่องที่บนระบบเครือข่าย (Network Inventory)

กำหนดการเก็บค่า IP , MAC address , Software ที่ใช้ลงเครื่อง , Hardware ในแต่ละเครื่อง รวมถึง Network การ์ด โดยสามารถออกรายงาน และเก็บบันทึกเพื่อเก็บสถิติได้

เมื่อมีระบบที่ค่อยเก็บข้อมูลด้าน Inventory เครื่อง PC ที่อยู่ในระบบแล้ว จะทำให้ผู้ดูแลระบบ ง่ายในการจัดการ และแก้ไขปัญหาได้ถูกจุด

1.3 การเฝ้าระวังภัยและป้องกันภัยระบบเครือข่าย (Network Intrusion Detection/Prevention system)

การติดตั้งระบบตรวจจับสิ่งผิดปกตินี้เป็นสิ่งจำเป็นอย่างมาก เนื่องจากทุกเครื่องบนระบบเครือข่ายมีการเคลื่อนไหวข้อมูล ย่อมมีทั้งการบุกรุกและการติดเชื้อไวรัสในระบบเครือข่าย โดยที่เราสามารถรู้และเห็นเหตุการณ์เหล่านี้ได้จากระบบ NIDS/IPS

การที่เรามีเทคโนโลยีในการตรวจจับผู้บุกรุก และประกอบกับเครื่องที่เก็บข้อมูลของเครื่องคอมพิวเตอร์ในระบบเครือข่ายจะทำให้เราทราบถึงตำแหน่งและที่มาว่ามีการบุกรุกจากแหล่งไหนและสามารถแก้ไขเหตุการณ์ได้อย่างทันที

ยกตัวอย่างเหตุการณ์

พบสิ่งผิดปกติในหน้าจอตัวตรวจจับสิ่งผิดปกติที่เกิดขึ้นในระบบเครือข่าย

พบว่าเครื่อง IP 192.168.1.246 ชื่อเครื่องว่า big กำลังทำการติดต่อที่มีความเสี่ยงสูงคือสีแดง ไปยังเครื่องอื่นๆอีกหลายเครื่องในระบบเครือข่าย

เราทราบว่าชื่อเครื่องคือ big และ IP 192.168.1.246

ดังนั้นทีมงานที่ดูแลระบบ จึงใช้ระบบจัดการ Inventory และ Desktop Management คอมพิวเตอร์เครือข่าย ในการควบคุม เครื่องที่ติดไวรัส เพื่อสกัดไม่ให้แพร่กระจายในระบบเครือข่าย หรือจะส่ง messages เตือนไปที่เครื่องก็ได้ หรือทำการ ปิดระบบเครื่องที่ติดไวรัสดังกล่าวเพื่อให้ทำการแพร่กระจายไวรัสอีกต่อไป

วิธีการดังกล่าวเป็นการ ระบุ ที่มาที่ไป และตัวตนการใช้งานบนระบบเครือข่ายหรือที่เรียกว่า Network Security Identity ในระดับหนึ่ง โดยส่วนมากเรามักพบคำถามอยู่เสมอว่าเครื่องที่ติดไวรัสมักทำการแพร่กระจายแบบเงียบๆ และไม่รู้ว่าเกิดจากที่ไหน ทั้ง 3 วิธี จะเป็นตัวช่วยให้ระบบเครือข่ายในองค์กรท่านมีความสงบขึ้น

2. Global Area Network Identity

คือการระบุตัวตน ข้ามผ่าน WAN link ระหว่าง ISP และ Network ระดับประเทศ เป็นเรื่องที่น่าสนใจ และปัญหาส่วนใหญ่ก็เพราะระบบเครือข่ายชายแดนของประเทศ ไม่มีความแข็งแกร่งเพียงพอทำให้ การบุกรุกและการโจมตีต่างๆเข้าสู่ระบบเครือข่าย ในประเทศได้ง่าย จะได้กล่าวต่อไปในครั้งหน้า

14/08/48

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Sunday, May 1

Icons วายร้าย

Submitted by classicx. on May 1, 2005 11:33 pm.
ถ้าท่านเป็นคนหนึ่งที่เคยสัมผัสกับ Icons น่ารักๆ ที่ชวนให้คลิก ชวนให้ดาวโหลด และเผลอพลาดด้วยความไม่รู้เท่า เมื่อนั้นอาจจะพบว่า เครื่องคอมพิวเตอร์ของท่านเริ่มไม่ปกติ


และก็มีตัวการ์ตูนที่น่าตา น่ารักชวนเป็นมิตรอยู่หลายๆตัว แต่แปลก การ์ตูนที่ดูแล้วน่ารักพวกนี้ กับถือไม้พร้อมที่ฟาดหัวกันด้วย : )


Icons วายร้าย ที่แฝงมากับความน่ารักและชวนให้ สัมผัส ตัวนี้มีชื่อว่า FunbuddyIcons ผมจึงค้นหาข้อมูลและพบว่ามีการกล่าวถึงโปรแกรมชนิดนี้เป็นพวก Spyware โดยรวบรวมมาให้อ่านกันเล่นๆ เผื่อว่าที่บ้่านของท่าน มีน้องๆเด็กๆ ที่เล่นต่ออินเตอร์เน็ท ทำให้ติด spyware ในเครื่องกัน
อ่านข้อมูลเพิ่มเติมได้ที่ Google : FunbuddyIcons

FunBuddyIcons เป็นการสร้าง plugin บน Internet Explorer และสามารถใช้เป็น icon บน AOL Instant Messager, Yahoo Messenger, และ MSN Messenger ซึ่งเป็นโปรแกรมสนทนาที่ได้รับการนิยม
เครือข่ายของ Fun Buddy Icons มีด้วยกันหลายตัวในนามชื่อว่า Fun Web Products โดยมีชื่อ
1. Smiley Central
2. Cursor Mania
3. My Mail Stationary
4. My Mail Signature
5. PopSwatter
6. Popular Screensavers

7. My Way website portal.

ก็ถือได้ว่าเป็นโปรแกรมพวก spyware, โดยที่ผู้ใช้ที่ติดตั้งโปรแกรมดังกล่าวแล้วจะทำให้ Spyware ที่แนบมากับโปรแกรมดักข้อมูลในส่วนที่เป็น cookies ในเครื่อง PC ของเรารวมถึงการแสดงตัวตนเมื่อเราเชื่อมต่อทางอินเตอร์เน็ท ซึ่งถือได้ว่าเป็นการละเมิดความส่วนตัวในการใช้ระบบอินเตอร์เน็ท โดยข้อมูลเหล่านั้นจะส่งไปยัง site ของ Hackers ซึ่งจะทำการสร้าง spam ต่อไปอีกทั้งยังทำให้ระบบเครือข่ายโดยรวมช้าเนื่องจากขยะข้อมูลที่ส่งกันเป็นลูกโซ่อย่างต่อเนื่อง

และเมื่อทำการติดตั้งโปรแกรม Fun Buddy Icons แล้วจะพบว่า

ใน Internet Explorer จะมี button bar ที่ชื่อ Fun Buddy Icons

ด้วยความน่ารักของ icons จึงมีผู้ติด spyware ชนิดนี้อยู่มาก และความน่ารักนั้นจะส่งผลร้ายกับคอมพิวเตอร์ที่บ้านและที่ทำงานของเรา

เรามาดูกันว่าเมื่อเจ้า FunBuddyIcons เข้าไปฝังในเครื่องเราแล้วจะเกิดอาการอย่างไร
จะพบว่า โปรแกรม ที่ฝังมากับ Icons ชนิดนี้จะทำการ Hijack appliaction เข้ามาใช้งานร่วมกับโปรแกรมดังเดิมแต่เพี้ยนไปเปรียบเสมือนปรสิตที่เข้ามาแฝงกายไว้ดูดอาหาร แต่อาหารของปรสิตชนิดนี้คือข้อมูล ทั้งๆที่ข้อมูลนั้นอาจเป็นของมูลที่ไม่ลับ และอาจจะลับก็ตาม แต่ปรสิตชนิดนี้ ก็ชอบเนื่องจากเป็นแหล่งของการทำ Spam และทำการวิเคราะห์หาตลาดทางการค้าได้อย่างลึกซึ้ง

เมื่อทำการ Install FunBuddyIcons โปรแกรมจะไปฝังตามส่วนต่างของระบบปฏิบัติการโดยเฉพาะอย่างยิ่งระบบปฏิบัติการ Windows ซึ่งมีผู้ใช้มากที่สุดในโลก โดยทำการฝัง file ดังนี้

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL

O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe

O4 - Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Program Files\MyWebSearch\bar\1.bin\MWSOEMON.EXE

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZBYYYYYYYYUS

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/FunBuddyIconsFWBInitialSetup1.0.0.8.cab


วิธีการในการลบโปรแกรม Fun Buddy Icons

ต้องทำการ uninstall Fun Buddy Icons

1) Click บน Start, Settings, Control Panel

2) Double click บน Add/Remove Programs

3) หาคำว่า "My Web Search (FunBuddyIcons)" และทำการ Remove

ยังไม่พอ ต้องหาโปรแกรมที่เชื่อมโยงกับ icons นี้ด้วยเช่น

  • My Web Search (Smiley Central or FWP product as applicable)
  • My Way Speedbar (Smiley Central or other FWP as applicable)
  • My Way Speedbar (AOL and Yahoo Messengers) (beta users only)
  • My Way Speedbar (Outlook, Outlook Express, and IncrediMail)
  • Search Assistant - My Way

4) ทำการ Reboot Computer and run HijackThis

5) ทำการลบ folders ที่ชื่อว่า

  • FunWebProducts

  • MyWebSearch

ุ6) เหมือนว่า icons วายร้ายจะหายไปแล้ว แต่จากบทความที่คัดลอกมานั้นแนะนำให้ใช้ โปรแกรมที่ชื่อว่า Hijackthis เพื่อทำการตรวจสอบว่ายังติดในเครื่องอีกหรือไม่

เอาล่ะครับมาถึงตรงนี้ผมได้หมดหน้าที่การเป็นผู้แก้ไขปัญหาแล้ว ต่อไปผมจะนำท่านดำดิ่งไปสู่รากเหง้าของ Icons วายร้าย ว่ามีแหล่งที่มาที่ไปอย่างไร เอาไว้ blog หน้าแล้วกันครับ ........

นนทวรรธนะ สาระมาน
Nontawattana Saraman
1/05/48

Sunday, March 20

Dark Side of The Internet

Dark Side of The Internet

เมื่อกว่า 30 ปีที่ผ่านมา อัลบัมเพลงของวง Pink Floyd ชุด "Dark Side of The Moon" เป็น กล่าวถึงความซับซ้อนของจิตใจคนในยุคทุนนิยม

แ ละเวลาผ่านไปผมได้นำบทเพลงชุดนี้มาเปิดอีกครั้ง และเขียนเรื่องราวที่ซับซ้อนในโลกอินเตอร์เน็ท ในชื่อบทความว่า Dark Side of The Internet พร้อมกับการบรรเลงบทเพลงที่ยิ่งใหญ่ของ Pink Floyd เพื่อระลึกถึงแนวความคิดที่ก้าวทันสมัย ลองมาอ่านกันว่า Dark Side of The Internet กับบทเพลงอย่างไรจะซับซ้อนกว่ากัน

ทุกวันนี้การใช้งานคอมพิวเตอร์ที่ต่อเชื่อมบนโลกอินเตอร์เน็ทมีจำนวน มาก ลองคิดกันเล่นๆ หากมีใครสักคนติดต่อโลกอินเตอร์เน็ทจากเครื่องพีซีเครื่องใหม่ที่พึ่งซื้อมา ลงระบบปฏิบัติการ windows XP Home โดยไร้ services pack , anti-virus , anti-spyware และระบบป้องกัน Persanol Firewall แล้วทำการท่องอินเตอร์เน็ทไม่นานนัก จะมีผู้มาเยือน โดยไม่ใช่มนุษย์ ไม่ว่าเป็น spyware , worm , adware และ spam จะทำการเข้าสู่เครื่องพีซีของท่านในเวลารวดเร็ว หากคุณเป็นนักออนไลท์ คุณคงไม่กังวล แต่หากเป็นผู้เล่นอินเตอร์เน็ทรายใหม่ ที่เกิดขึ้นใหม่ทุกๆวัน ก็จะตกเป็นเหยื่อเหล่านี้ แล้วทำการแตกลูกโซ่ทำการแพร่เชื้อกระจายไปทั่วโลก และ ณ เวลาที่ผมเขียนบทความนี้ขึ้น ก็จะมีจำนวนคนตกเป็นเหยื่อที่มองไม่เห็นนี้ตลอดเวลา คิดต่อไปอีกว่าไม่นานเวลาผ่านไป อีกสักสามถึงสี่ปีต่อมา โลกในอินเตอร์เน็ทจะเต็มไปด้วยภัยคุกคามอย่างที่เราคาดไม่ถึง
วันก่อนเมื่ออยู่หน้าคอมพิวเตอร์ พบสิ่งผิดปกติที่เกิดซ้ำๆกันไปมา โดยที่ไม่ทราบว่ามาจากไหน และเมื่อนั่งพิจารณาสักพักก็พบว่า นั้นมันคือการโจมตี ของใครบางคนที่อยู่ห่างจากเรา ..
พบความเสี่ยงสูงที่หน้าจอ SRAN Security Center


ผมได้สังเกตการแพร่ตัวของจำนวน robot ที่วิ่งเข้ามาเก็บข้อมูลใน website โดยเป็นเครื่องมือของผู้ผลิตเว็ป search engine , ผู้ทำการขายสินค้า , ผู้เก็บข้อมูล สถิติต่างๆ รวมถึงนักวิเคราะห์การตลาด เครื่องมือของโลกทุนนิยม robot จำนวนมากเกิดขึ้นจากการเขียน code ที่แตกต่าง เพื่อช่วยในการเก็บข้อมูล ผมเคยชี้ภัยที่เกิดจากการ ใช้ทรัพยากรในระบบเครือข่ายไปแล้วในบทความ spider bot

แต่ในบทความที่กล่าวมานั้นเป็นเพียงส่วนหนึ่งในความลึกลับและซับซ้อนบนโลกอิ นเตอร์เน็ท กับจำนวน spider bot หรือ web robot ที่เพิ่มจำนวนอย่างมากในยุคปัจจุบัน จากอดีตจนถึงปัจจุบัน robot พวกนี้ได้พัฒนาตัวขึ้นให้ปรับตัวเข้ากับความซับซ้อนและยากที่จะหาต้นตอของผู ้แพร่กระจายความหายนะได้
The Dark site Internet จึงขอเป็นบทความที่เปิดเผย กลุ่ม robot ที่สร้างขึ้นจากมนุษย์เพื่อทำการทำลายล้างและขโมยข้อมูลมากล่าวให้ฟัง

ในการโจมตีที่เกิดขึ้นโดยใช้ bot IRC

bot ที่ classic ที่สุด และเป็นเป้าหมายแห่งการโจมตีที่ยิ่งใหญ่ ในยุคปัจจุบัน
bot ที่ว่านั้นคือ bot ที่เกิดขึ้นบน IRC เมื่อก่อนสัก 6 - 7 ปีก่อน bot irc มีหน้าที่ไว้เป็นยามเฝ้าห้อง chat room เพื่อป้องกันการยึดห้อง และป้องกันมิให้ใครเข้ามากวนหรือป่วนห้องใน irc นั้นๆ ไม่ว่าเป็น TNT bot , IRC II และ eggdrop ส่วน eggdrop มีใช้การเขียน tcl/tk
สคิปของ bot ได้พัฒนาและแพร่หลายออกไป มีคนที่คิดสร้างสรรค์และคิดในเชิงลบ ทำให้ bot irc วันนี้เต็มไปด้วยอาวุธ และทำความเสียหายให้ระบบเครือข่าย และเป็นที่มาของการโจมตี :แนะนำข้อมูลสำหรับศึกษา bot IRC ที่เป็นภาษาไทยอ่านได้ที่ http://www.sornz.com/
การใช้ Bot IRC ในการบุกรุกข้อมูลมีดังนี้
ี้

1. Network warez

ขณะนี้มีจำนวนการใช้ IRC


พบว่าเป็นจำนวนที่มาก และกว่่า 30% เป็น robot
server IRC ที่มีผู้ใช้บริการมากที่สุด

ที่กล่าวว่าเป็น Network Warez เนื่องจากมีการแชร์ files download กันผ่าน IRC และนี้คือที่มาของโปรแกรมพวก P2P ในยุคปัจจุบัน



จากภาพจะพบว่ามีการแจกเพลงที่มีลิขสิทธิ์และหนัง ใน IRC โดยการทำงานของ bot ที่ตั้งสคิปไว้เพื่อทำการแชร์ file และ download ในที่สุด

2.
DDoS (Distributed Denial-of-Service)
บทความสุด classic สำหรับการโจมตีแบบ Denial of Service เขียนไว้โดย
Steve Gibson ในช่วงปี 2001 ขณะที่เว็ปยักษ์ใหญ่ได้มีการใช้งานไม่ได้เนื่องจากโดนโจมตี http://grc.com/dos/grcdos.htm
จากอ่านประวัติศาสตร์ย้อนหลังการโจมตีลักษณะนี้ในยุคที่ยังมีผลิตภัณฑ์ด้านค วามปลอดภัยข้อมูลยังมีน้อยอยู่ได้ ในบทความของ Steve Gibson ก็ได้กล่าวถึงการใช้ bot ใน irc เป็นผู้โจมตี โดย bot เหล่านี้ได้เกิดขึ้นจากการติด backdoor ของผู้ใช้อินเตอร์เน็ทตามบ้านนั้นเอง โดยมีศัพท์ที่เรียกเครื่องที่ติด backdoor เพื่อใช้ในการโจมตีเครื่องเป้าหมาย ว่า zombie หรือ botnet

คำสั่งที่ใช้ zombie เพื่อการโจมตีระบบเครือข่ายดูได้ใน watching attackers DDoSing others โดย honeynet project




3. Spamming
การ spam เป็นการโจมตีที่ถือได้ว่ามีพร้อมๆกับการใช้ e-mail ในยุคต้นของการเชื่อมโยงระบบเครือข่าย แล้วต่อมาได้มีการสร้าง spam บนระบบ IRC โดย spam นี้เป็นการเชิญชวนให้ผู้้เล่น IRC ได้เข้าห้องของตน หรือการโฆษณา web site รวมไปถึงการหลอก (Social Engineering) หลอกให้คน download backdoor ที่ตนเองได้สร้างขึ้น เมื่อปีที่แล้วก็มีการหลอกเช่นนี้โดยใช้โปรแกรม trojan ที่ชื่อว่า Optix ซึ่งสามารถอ่านได้เพิ่มเติมได้ที่ http://www.sran.org/document/files/optix-SRAN.pdf/file_view
จะเห็นว่าการหลอกลวงในระบบอินเตอร์เน็ทมีหลากหลายวิธีมาก และโยงใยถึงกัน
ภาพความสัมพันธ์ในการบุกรุกด้านความปลอดภัยข้อมูล

4. Sniffing Traffic
robot ที่ใช้บน irc ไม่ว่าเป็น eggdrop หรือชนิดอื่นๆมักจะเก็บ log ดักข้อมูลในส่วนนี้คือ

- จับที่ plain text ข้อความที่เป้นทั้ง public และ private ขึ้นกับวัตถุประสงค์ที่ใช้ มักจะดักจับ password ที่เกิดขึ้นในการ login
- ดักจับ robot ตัวอื่นเพื่อทำการขโมย robot


ทั้งนี้และทั้งนั้นการดักจับที่เกิดขึ้นได้ ก็ต่อเมื่อผู้ใช้ robot ได้เข้าถึงระบบปฏิบัติการที่ไม่ได้เป็นของตนเองแล้ว

- ดักข้อมูลเพื่อเก็บสถิติ จะมี robot จำนวนมากที่ฝังตัวใน irc server และ robot พวกนั้นจะทำการเก็บบันทึก channel, users, และการเกิดใหม่ของ server รวมถึงข้อมูลบ้างอย่างที่ทำการสานถึงหน่วยงานที่เกี่ยวข้องด้านอาชญากรรมคอม พิวเตอร์เก็บไว้เพื่อหาผู้กระทำผิด


จากภาพจะเห็นว่าข้อมูลที่ส่งเป็น real-time โดยค้นหาที่ http://searchirc.com/whois/ ข้อมูลพวกนี้จะไม่สามารถรู้ได้เลย หากไม่มี robot ที่กล่าวมา




5.
Spreading new malware
ส่ง malware ในรูปแบบใหม่ๆ Bot IRC ที่ใช้สคิปโฆษณาต่างๆ มักมีการเข้ามาสนทนากับผู้ใช้งานจริง โดยการสนทนาเกิดจากสคิปทั้งสิ้นไม่ใช่มนุษย์ที่พิมพ์ และการสนทนา มักอยู่ในบรรทัดเดียว โดยใช้วิธีการหลอกลวงให้ download


ตัวอย่างการเข้าถึงระบบโดยใช้เทคนิค BHO ติดทาง IE , MSN และอื่นๆ



การโจมตีที่นอกเหนือการใช้ทรัพยากรบนเครือข่าย IRC
1.
Installing Advertisement Addons and Browser Helper Objects (BHOs)
เป็นอีกช่องทางหนึ่งที่ทำให้ พวก roboat adware/spyware ที่เกาะตาม website ที่เราเข้าไปซึ่งโปรแกรมพวกนี้สามารถแนบติดกับ BHO และทำการรันตัวเพื่อเป็นเข้าถึงเครื่อง PC ได้ สามารถอ่านรายละเอียดเพิ่มเติมได้ที่ http://www.thaicert.nectec.or.th/paper/spyware/ParasitewareAndHowtoProtect.pdf



ตัวอย่างการเข้าถึงระบบโดยใช้เทคนิค BHO ติดทาง IE , MSN และอื่นๆ


2.
phishing mails
เป็นการหลอก ที่สมเหตุสมผล และแนบเนียนมากเนื่องจาก E-Mail ที่เราได้รับโดยเฉพาะมาจากหน่วยงานที่มีความน่าเชื่อถือด้วยแล้ว ยิ่งทำให้การตัดสินที่คลิก URL ที่ link มาพร้อมได้อย่างรวดเร็ว เมื่อคลิก link ที่มากับ E-Mail ก็พบว่า website ที่เราเปิดกลับเป็น website ของ hacker โดย เทคนิค phishing จะเน้นการหลอกเพื่อได้มาถึง รหัสผ่านของการใช้บริการนั้นๆ หรือเป็นการหลอกเพื่อให้ download โปรแกรมที่ hacker สามารถ remote เข้ามาควบคุมเครื่องของผู้ใช้งานได้และเพื่อขยายผลต่อไป ดูภาพความสัมพันธ์ในการบุกรุกด้านความปลอดภัยข้อมูล

3. Anonymous Proxy
Free proxy ที่แจกกันมีภัยแฝงสำหรับผู้ไม่หวังดี ตรงที่การติดต่อ proxy จะทำให้ไม่ทราบ IP ต้นทาง โดยเฉพาะผู้บุกรุกใช้เทคนิคที่ชื่อว่า proxy chain จะทำให้ตรวจจับได้ยากขึ้น

แบบที่ 1 HTTP proxy >> HTTP proxy
แบบที่ 2 SOCKS proxy >>>> HTTP proxy >>>> CGI proxy
แบบที่ 3 SOCKS proxy >>>> HTTP proxy
แบบที่ 4 HTTP proxy >>>> CGI proxy

ทำให้มี address ที่ติดต่อกับ robot ได้มากขึ้น
ลูกเล่นการหลบหลีก การตรวจค้นหามีหลายวิธี robot ที่ิวิ่งในระบบเครือข่ายจึงมากด้วยวิธีการ บาง robot เก็บข้อมูลบางชนิดเพื่อใช้ในการวิเคราะห์ตลาด บาง robot เขียนขึ้นเพื่อใช้ในการค้นหา



หากเรามีเครื่องมือที่ใช้ในการตรวจพวก robot ไม่ว่าเป็น robot ที่ใช้ค้นหาเพื่อเก็บสถิติในเว็บค้นหา และ robot ที่ใช้ในการตรวจสถิติการใช้งานของ web server จะพบว่ามีการใช้แบนด์วิทธ์พอสมควร ซึ่งในอนาคตหากไม่มีหน่วยงานมาควบคุมจำนวนเพิ่มขึ้น robot พวกนี้ก็ลองคิดดูว่าแบนด์วิทธ์ที่ใช้ในอนาคตอาจโดนบางส่วนที่มี robot ใช้ทรัพยากรระบบเครือข่ายเราได้เช่นกัน

robot ที่กล่าวมาทั้งหมดอาจจะเชื่อมโยงกันเป็นเครือข่ายที่อยู่ที่ใดสักแห่งบนโลกน ี้ และเฝ้าดักเก็บข้อมูล (Information) ได้อย่างสมใจ เราผู้รับข้อมูล ได้แต่พึ่งสติด้วยความระวัง และสมถะ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

20/03/48