Tuesday, October 30

Network Time Machine ตอนที่ 1


... หากเราสามารถย้อนเวลาได้ เราจะทำอะไร? แน่นอนเราคงทำในสิ่งที่เราตัดสินใจผิดพลาดมาในอดีต แต่ในความเป็นจริงเราไม่สามารถย้อนเวลาได้ นอกจากจะยอมรับในการตัดสินใจของเราเอง ...

ในสมัยก่อนย้อนเวลาไป ในปี 1985 หรือ ปี พศ. 2528 เคยมีหนังเรื่องหนึ่งที่ผมชอบมาก คือ Back To The Future ภาค 1 นำแสดงโดย Michael J. Fox ตัวพระเอกในเรื่องเองสามารถย้อนเวลากลับไปได้ โดยใช้รถยนต์ ที่เรียกว่า เป็น Time Machine เป็นหนังตลก และสนุก มีสีสัน รวมถึงมีฉากที่สวยๆ น่ารัก สมควรแก่การสะสม

การสืบค้นร่องรอยเพื่อพิสูจน์หลักฐานทางข้อมูลสารสนเทศ นี้ ศัพ์ทางภาษาอังกฤษเรียกว่า Chain of Custody หรือ Chain of Evidence ที่มีความสอดคล้องกับสิ่งที่ต้องการรู้ เพื่อรับทราบถึงเหตุปัจจัย Network Time Machine คือศัพท์ที่เกี่ยวข้องกับวิธีการย้อนเวลาเพื่อสืบหาต้นเหตุของหลักฐาน โดยใช้เทคโนโลยีบนระบบเครือข่าย ผมจึงระบุศัพท์คำนี้ขึ้น โดยไม่ได้สนใจพจนานุกรมทางคอมพิวเตอร์ อีกแล้ว ..

ในโลกระบบเครือข่ายคอมพิวเตอร์แล้ว เมื่อเกิดเหตุการณ์ไม่คาดฝันขึ้น และเราต้องการทราบถึงที่มาที่ไป หรือที่เรียกว่า กระแสของเหตุปัจจัย หรือ อิทัปปัจจยตา สิ่งใดมีเพราะมีเหตุปัจจัยให้มี ส่ิงใดไม่มีเพราะไม่มีเหตุปัจจัยให้มี ไม่มีอะไรมีหรือไม่มีโดยตัวของมันเอง "สิ่งนี้เกิดสิ่งนี้จึงเกิด สิ่งนั้นไม่เกิดสิ่งนั้นจึงไม่เกิด"
เรามักจะนึกถึงการเก็บบันทึกข้อมูลจราจร หรือภาษาอังกฤษที่เรียกว่า Log จาก Data Traffic เราถึงจะวิเคราะห์ย้อนหลังไปได้ ว่ามีเหตุการณ์อะไรเกิดขึ้น ซึ่งเป็นที่มาของศาสตร์ที่เรียกว่า Network/Computer Forensics นั้นเอง แน่นอนการเก็บบันทึกเหตุการณ์เหล่านั้นเป็นไปตามเนื้อผ้า เก็บอย่างที่เห็นว่าควรจะเป็น หากไม่มีการแก้ไขข้อมูลจากผู้ไม่หวังดี เสียก่อน
บทความนี้ส่วนหนึ่ง ผมเขียนขึ้นเพื่อสร้างความเข้าใจถึงกรรมวิธีการเก็บข้อมูลจราจร (Data Traffic) อย่างน้อยคงได้ประโยชน์สำหรับการนำไปใช้ประยุกต์กับ การเก็บข้อมูลตาม พรบ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ ที่ประกาศใช้ เมื่อไม่นานนี้
กรรมวิธีในการเก็บข้อมูลจราจร มีด้วยกัน 3 วิธี แบ่งได้ดังนี้
1. ข้อมูลที่เกิดขึ้นบนระดับเครื่อง (Local Host Log) ไม่ว่่าจะเป็นระดับเครื่องลูกข่าย (Client) หรือ เครื่องแม่ข่าย (Server) การเก็บในหัวข้อนี้เป็นเรื่องละเอียดอ่อน และมีคุณค่าในการทำ Computer Forensics หรือที่เรียกว่า การสืบหาหลักฐานทางคอมพิวเตอร์ เรามักจะเก็บ Log จาก System , Application และ User เป็นหลัก ในแต่ละเครื่องย่อมมี Application ที่แตกต่างกัน ส่วน User แล้วจะมีประโยชน์มากสำหรับเครื่องที่เป็นแม่ข่าย (server) การเก็บบันทึกข้อมูลจราจรขึ้นอยู่กับระบบปฏิบัติการ และมีซอฟต์แวร์ทุ่นแรงมาแล้วจากระบบปฏิบัติการ โดยเฉพาะระบบปฏิบัติการ Windows ซึ่งมี GUI ที่ดูแล้วสะดวกในการใช้งาน ทั้งหมดนี้ขึ้นตรงกับเวลา (Time) ที่เป็นตัวกำหนดชะตาบนเครื่องนั่นๆ ไม่ว่าเป็น
System มีความผิดปกติ จากอะไร ช่วงเวลาใด
Application ใดที่ใช้งาน บนเครื่องคอมพิวเตอร์ของเรา ก็ได้แก่ Web Browser Application ที่ใช้ก็ได้แก่ Firefox หรือ IE , Chat , Mail Client POP3 ไม่ว่าเป็น Outlook , Thunderbird เป็นต้น เราต้องพิจารณาการเก็บบันทึกเหตุการณ์ตาม ช่วงเวลาที่ใช้ Application ต่างๆ ที่กล่าวมา รวมถึงการติดต่อสื่อสารบน Application จากเครื่อง สู่ ระบบเครือข่าย (Network) ซึ่งอาจต้องกล่าวในขั้นตอนต่อไป เป็นความสัมพันธ์ ชนิด 3 in 3 out หากต้องพิสูจน์หาหลักฐาน ต้องพิจารณาการเชื่อมโยงเครือข่าย จะเข้าสู่แนวทางการปฏิบัติแบบ Network Forensics จากความสัมพันธ์ส่วนนี้เอง

2. การบันทึกข้อมูลจราจรระดับเครือข่ายคอมพิวเตอร์ (Network Data Traffic) การเก็บบันทึกเหตุการณ์ส่วนนี้ มักดูจากอุปกรณ์เครือข่าย ไม่ว่าเป็นการอุปกรณ์ที่ใช้สำหรับวิเคราะห์ปัญหาเครือข่าย และอุปกรณ์ดักจับข้อมูลต่างๆ ได้แก่ อุปกรณ์ Sniffer หรือ IDS (Intrusion Detection System) ที่ปรับแต่งการตรวจจับให้รองรับข้อมูลจราจรบางสิ่งบางอย่าง อย่างจงใจ จากผู้ดูแลระบบ ซึ่งในส่วนนี้เป็นที่มาการสร้างระบบเฝ้าระวังภัยคุกคามทางความมั่นคงข้อมูลอย่าง SRAN (Security Revolution Analysis Network) ขึ้น ซึ่งการบันทึกข้อมูลจราจรจากระดับเครือข่าย นี้ไม่ละเอียดเหมือนกรรมวิธีที่หนึ่ง แต่จะเห็นภาพรวมเหตุการณ์ ที่มีการติดต่อสื่อสารกันได้แบบเชิงกว้าง ไม่ลึก แต่พอทราบถึงเหตุปัจจัยการเกิดเหตุ นั่นเอง ซึ่งวิธีการนี้ สามารถตรวจจับตาม Protocol Application ที่ใช้งานทั้งในเครือข่าย (LAN Technology) สู่ภายนอกเครือข่าย (WAN Technology) ได้ Protocol ที่สนใจก็ได้แก่
Routing Protocol เส้นทางการลำเลียงข้อมูล ผ่านจากตัวเครื่องคอมพิวเตอร์ ในระดับ Host ไปสู่ระดับเครือข่าย (Network) และ ระหว่างเครือข่ายกับเครือข่าย (Network to Network) ช่วงเวลาที่เกิดการลำเลียงข้อมูล ระหว่าง IP ต้นทาง (Source IP) และ IP ปลายทาง (Destination) , Time Date
ส่วน Application Protocol ใกล้เคียงกับ วิธีที่ 1 แต่แทนที่อยู่ในระดับเครื่องก็จะมองถึง ข้อมูลวิ่งผ่านเข้าออก บนระบบเครือข่ายแทน เช่น Web (HTTP) , Mail (SMTP, POP3 , IMAP) , IM (Chat) , P2P , FTP , Telnet เป็นต้น ช่วงเวลาที่บันทึก (Time Date) ส่วน Protocol ที่มีการเข้ารหัสไว้ เช่น SSL , SSH สามารถรู้ได้เฉพาะ IP ต้นทาง และ IP ปลายทางในการเชื่อมต่อ แต่ระหว่างเนื้อหาในการกระทำไม่สามารถรู้ได้ทั้งหมด ยกเว้นจะใช้เทคนิคพิเศษ ซึ่งทำตัวคล้ายๆ กับ Man in the Middle เป็นต้น ในที่นี้ผมไม่ขอกล่าวถึงการตรวจจับชนิดการเข้ารหัสผ่าน Application Protocol ดังกล่าว ซึ่งทั้งนี้เราก็สามารถรู้ถึงข้อมูล (Information) ที่วิ่งเข้าและออกบนเครือข่ายคอมพิวเตอร์ ได้ระดับหนึ่ง
ลักษณะการเก็บ เช่น Web บันทึก IP ที่ใช้งาน Web ปลายทาง และบันทึกตามเวลา , Mail IP ต้นทางที่ส่ง mail , ปลายทางรับ mail , หัวข้อ mail และ วันเวลาที่ใช้ Application นี้ เป็นต้น

3. การเก็บบันทึกข้อมูลจราจรทั้งหมด โดยเชื่อมต่อกับการเก็บบันทึกกลาง หรือที่เรียกว่าการทำ SIM (Security Information Management) คือ เก็บบันทึก Log จากหัวข้อที่ 1 ทั้งหมด ส่งเข้าสู่ศูนย์กลาง และหัวข้อที่ 2 แต่เปลี่ยนเป็นเก็บบันทึกตามอุปกรณ์เครือข่าย เช่น Router , Firewall , IDS/IPS , UTM (Unified Threat Management) เป็นต้น
ส่วนการเก็บบันทึกการใช้งานระดับ User เรามักมองหาเทคโนโลยี เช่น Radius คือระดับ WAN Technology ส่งออกไป และในระดับ LAN Technology ก็เป็นระบบ NAC (Network Access Control) เป็นต้น ซึ่งทั้งหมดนี้สามารถ ส่ง Log ที่เกิดขึ้นให้กับ SIM ได้ และ SIM จะใช้กลไกในการทำ Correlation Log การเปรียบเทียบความสัมพันธ์ของ Log แต่ละชนิดให้จัดระเบียบ รวบรวมตามหมวดหมู่สำหรับผู้ดูแลระบบต่อไป วิธีนี้เป็นวิธีที่ละเอียดที่สุด แต่ ในความเป็นจริงแล้วทำยากที่สุดเช่นกัน เพราะต้องอาศัย ผู้เชี่ยวชาญ ที่รู้จักชนิดการส่ง Log ในแต่ละอุปกรณ์ Application และความแตกต่างของรุ่น ยี่ห้อ ทั้งระดับ Host และ Devices อย่างชำนาญ ถึงจะส่ง Syslog มาที่ SIM บริหารจัดการได้ ในส่วนตัวผมแล้วคิดว่าระบบนี้ คงเป็นไปได้ยากในเมืองไทย เนื่องจากความมากด้วยบริษัท SI ที่ขาดความรู้ในเชิง Implement จริง ทำให้ผลกระทบว่าซื้อไปแล้ว อาจไม่คุ้มค่า ได้
ซึ่งทั้งหมดนี้จะเป็นการเก็บบันทึกข้อมูลจราจร ที่เกิดขึ้นจากการใช้งานคอมพิวเตอร์ ที่เรียกว่า "์Network Recorder" ซึ่งแน่นอนครับ ทั้งหมดนี้เวลาเป็นสิ่งสำคัญ Time Server จึงต้องเป็นเวลาที่เที่ยงตรงด้วยไม่เช่นนั้น เราจะทำการย้อนหลังเวลาที่บันทึกเหตุการณ์ โดยนั่ง Time Machine ทางเทคโนโลยี เพื่อสืบหาข้อมูลต่อไปไม่ได้

เมื่อทราบถึงการเก็บบันทึกข้อมูลจราจรแล้ว ต่อไป เราจะมาทราบถึงการย้อนเวลาเพื่อสืบค้นหา เหตุของปัจจั้ย สาเหตุต่างๆ ที่ค้นพบได้ ผ่านระบบเครือข่าย โดยการทำ Network Time Machine กันต่อไป
SRAN ที่คิดไว้ สามารถสร้างเป็น Network Time Machine จะบรรจบกันในโลกไซเบอร์ บนเวลาปัจจุบันที่เป็นจริงได้ ในตอนหน้าจะยกตัวอย่างให้เห็นภาพ

โปรดติดต่อตอนต่อไป ข้อแม้ว่่า จะมีตอนต่อไป ตามอารมณ์ผู้เขียน : )

นนทวรรธนะ สาระมาน
Nontawattana Saraman
27/10/50

No comments: