Tuesday, December 2

พระจันทร์ยิ้ม

ระหว่างสถานการณ์อลวลจากปัญหาการเมืองประเทศไทย ไม่ว่าใครก็มีรอยยิ้มเหมือนกันหมดเมื่อได้เห็นปรากฏการณ์ธรรมชาติเหนือท้องฟ้ายามค่ำคืนที่ผ่านมา ปรากฏการณ์นี้เรียกว่าพระจันทร์ยิ้ม

จากข้อมูลสถาบันวิจัยดาราศาสตร์

ปรากฏการณ์ดวงจันทร์ ดาวศุกร์และดาวพฤหัสบดีอยู่ใกล้กัน

สถาบันวิจัยดาราศาสตร์แห่งชาติเชิญชวนประชาชนผู้ที่สนใจรวมทั้งผู้ที่รักในกิจกรรมดูดาวชมปรากฏการณ์ดวงจันทร์ ดาวศุกร์และดาวพฤหัสบดีอยู่ใกล้กัน ซึ่งจะปรากฏให้เห็นในช่วงหัวค่ำของวันจันทร์ที่ 1 ธันวาคม 2551 ทางทิศตะวันตกเฉียงใต้ ซึ่งปรากฏการณ์สำคัญทางดาราศาสตร์ดังกล่าวจะเกิดขึ้นและหาชมได้ยาก

สำหรับปรากฏการณ์ดวงจันทร์ ดาวศุกร์และดาวพฤหัสบดีอยู่ใกล้กันนี้ คือ การที่เราจะสามารถมองเห็นวัตถุท้องฟ้า 3 วัตถุที่สว่างที่สุดยามค่ำคืน ได้แก่ ดวงจันทร์ ดาวศุกร์ และดาวพฤหัสบดีมาชุมนุมกัน โดยดาวศุกร์และดาวพฤหัสบดีจะอยู่ห่างกันเพียง 2 องศา ส่วนดวงจันทร์จะปรากฏเป็นเสี้ยว (ขึ้น 4 ค่ำ) และหันด้านมืดเข้าหาดาวเคราะห์ทั้งสองพอดี ดังนั้นปรากฏการณ์ในครั้งนี้จึงเป็นภาพที่น่าสนใจและหาชมได้ไม่บ่อยนัก


ภาพพระจันทร์ยิ้มบนท้องฟ้า ณ ที่บ้าน เมืองไทย

แล้วท้องฟ้าอีกซีกโลกล่ะ จะเห็นเหมือนเราไหม ค้นหาข้อมูลมาให้ ที่อเมริกา มองเห็นตรงข้ามกับเรา

ภาพเป็นแบบนี้ ไม่รู้ว่าจะตีความว่าอย่างไร ?

นำเพลงโบราณ แต่เนื้อหายังทันสมัยเสมอ ชื่อเพลงสามัคคีชุมนุม


คำร้อง เจ้าพระยาพระเสด็จสุเรนทราธิบดี (หม่อมราชวงศ์เปีย มาลากุล ณ อยุธยา)
ทำนอง Auld Lang Syne
รูปท้องพระจันทร์อีกซีกโลก นำมาจาก http://www.pantip.com/cafe/klaibann/topic/H7275190/H7275190.html

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Monday, December 1

อย่าเห็นแก่ตัว


เราเคยสังเกตพระพุทธรูป บ้างไหมว่าทำไมเศียร (หัว) ต้องแหลม หูต้องยาว และตาต้องมองต่ำ ?
พุทธลักษณะ 3 ประการ
เศียรต้องแหลม หมายถึง ต้องมีสติความคิดเพื่อกลั่นกรองข้อมูล
หูต้องยาว ทำให้หนัก หมายถึง ไม่หูเบา หลงเชื่ออะไรง่ายๆ
ตามองต่ำ หมายถึง สำรวจตนเองก่อน มองผิดชอบชั่วดีที่ตัวเองก่อน
เป็นภูมิปัญญาคนโบราณที่ทำไว้สอนให้คนรุ่นหลังอย่างเรา

รายการสามหมออารมณ์ดี ตอน Smoke Gets in your eye เมื่อควันเข้าตา คลื่น FM 96.5

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Sunday, November 30

เทคโนโลยีเพื่อความปลอดภัยข้อมูล ปี 2009

ภัยคุกคามที่น่าจะเกิดขึ้นในปี 2552 ก็คงไม่ต่างจากปี 2551 นัก แต่จะมีเทคนิคใหม่ เพิ่มความสลับซับซ้อนขึ้น และการสื่อสารที่หลากหลายในช่องทางเข้าถึงข้อมูลมากขึ้น โดยเฉพาะเรื่อง Personal Mobile Devices ที่ใช้มือถือเชื่อมต่อข้อมูลทางอินเตอร์เน็ต จะมีการใช้ซอฟต์แวร์ต่างๆ ผ่านเว็บแอพพลิเคชั่นมากขึ้น ในรูปแบบที่เรียกว่า Zombie หรือ “ผีดิบซอฟต์แวร์” จำนวนมาก ซึ่งในอนาคตผีดิบพวกนี้จะมาจากมือถือด้วย จึงทำให้จำนวนผีดิบที่มากขึ้นเรียกว่า Botnet เพื่อใช้ประโยชน์ในการโจมตีระบบเช่น DDoS/DoS ส่งผลให้เป้าหมายไม่สามารถปฏิบัติงานได้ หรือเพื่อส่งข้อมูลขยะอันไม่พึงประสงค์ (Spam) รวมถึงการหลอกลวงผ่านสื่ออินเตอร์เน็ต (Phishing) ซึ่งพุ่งเป้าโจมตีมาที่ผู้ใช้งาน (End-user) โดยอาศัยความรู้เท่าไม่ถึงการณ์ของผู้ใช้งานทั่วไปเป็นเครื่องมือ สิ่งเหล่านี้ป้องกันได้หากรู้เท่าทันภัยคุกคามดังกล่าว...โดยเริ่มต้นจากตัวเราเอง

เทคโนโลยีเพื่อความปลอดภัยข้อมูล ปี 2009 มีดังนี้
1. เทคโนโลยี Two-Factor Authentication ปัจจุบันการระบุตัวตนในโลกอินเตอร์เน็ต ส่วนใหญ่ใช้เพียง username และ password ซึ่งเป็นจุดอ่อนที่มิจฉาชีพอาจขโมยข้อมูลและปลอมตัวเพื่อแสวงประโยชน์ได้ (Identity Threat) เทคโนโลยีนี้จึงมีแนวโน้มเข้ามาอุดช่องโหว่ ด้วยการใช้ Token หรือ Smart card ID เข้ามาเสริมเพื่อเพิ่มปัจจัยในการพิสูจน์ตัวตน ซึ่งมีความจำเป็นโดยเฉพาะกับการทำธุรกรรมทางการเงินออนไลน์ และธุรกิจ E-Commerce

2. เทคโนโลยี Single Sign On (SSO) เข้าระบบต่างๆ ด้วยรายชื่อเดียว
โดยเชื่อมทุกแอพพลิเคชั่นเข้าด้วยกัน ซึ่งมีความจำเป็นมากในยุค Social Networking ช่วยให้เราไม่ต้องจำ username / password จำนวนมาก สำหรับอีเมล์, chat, web page รวมไปถึงการใช้บริการ WiFi/Bluetooth/WiMAX/3G/802.15.4 สำหรับผู้ให้บริการเป็นต้น

3. เทคโนโลยี Cloud Computing เมื่อมีการเก็บข้อมูลและใช้งานแอพพลิเคชั่นต่างๆ มากขึ้นตามการขยายตัวของระบบงานไอที ส่งผลให้เครื่องแม่ข่ายต้องประมวลผลการทำงานขนาดใหญ่ ให้ตอบสนองความต้องการของผู้ใช้ในเวลาอันรวดเร็ว จึงมีแนวคิดเทคโนโลยี Clustering เพื่อแชร์ทรัพยากรการประมวลผลที่ทำงานพร้อมกันหลายเครื่องได้ เมื่อนำแอพพลิเคชั่นมาใช้ร่วมกับเทคนิคนี้ รวมเรียกว่า Cloud Computing ทำให้ผู้ใช้สามารถใช้งานแอพพลิเคชั่นได้รวดเร็วยิ่งขึ้น ปราศจากข้อจำกัดทางกายภาพ เข้าสู่ยุคโลกเสมือนจริงทางคอมพิวเตอร์ (visualization) เทคโนโลยีนี้ยังช่วยลดทรัพยากรของเครื่องคอมพิวเตอร์ ซึ่งถือได้ว่าเป็นไอทีที่เป็นมิตรกับสิ่งแวดล้อม (Green IT) ได้เช่นกัน

4. เทคโนโลยี Information security Compliance law
โลกไอทีเจริญเติบโตไม่หยุดนิ่ง ด้วยมาตรฐานที่หลากหลาย โดยเฉพาะในด้านระบบความปลอดภัยข้อมูลสารสนเทศ จึงมีแนวโน้มจัดมาตรฐานเป็นหมวดหมู่ให้สอดคล้องกับความปลอดภัยข้อมูลในองค์กร โดยตัวเทคโนโลยีส่วนนี้จะนำ Log ที่เกิดขึ้นจากการใช้งานมาจัดเปรียบเทียบตามมาตราฐานต่างๆ เช่น ISO27001 มาตราฐานสำหรับความปลอดภัยในองค์กร , PCI / DSS สำหรับการทำธุรกรรมการเงิน, HIPAA สำหรับธุรกิจโรงพยาบาล หรือในเมืองไทยที่มีพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ขึ้น โดยมีการตั้งหลักเกณฑ์การเก็บบันทึกข้อมูลจราจรขึ้น ทั้งหมดก็เพื่อต้องสืบหาผู้กระทำความผิดได้สะดวกขึ้น และหากทุกหน่วยงานให้สำคัญเรื่อง Compliance ความปลอดภัยจะเกิดขึ้นทั้งผมให้บริการและผู้ใช้บริการ

5. เทคโนโลยี Wi-Fi Mesh Connection
การใช้งานระบบอินเตอร์เน็ตไร้สายที่แพร่หลายในปัจจุบัน ซึ่งต้องเชื่อมโยงผ่าน Access Point นั้น สามารถเชื่อมต่อแบบ Mesh (ตาข่าย) เพื่อเข้าถึงโลกออนไลน์ได้สะดวกขึ้น ผู้ให้บริการ Wi-Fi จึงมีแนวโน้มใช้แอพพลิเคชั่นในการเก็บบันทึกการใช้งานผู้ใช้ (Accounting Billing) และนำระบบ NIDS (Network Intrusion Detection System) มาใช้ เพื่อเฝ้าระวังการบุกรุกหลากรูปแบบ เช่น การดักข้อมูล, การ crack ค่า wireless เพื่อเข้าถึงระบบ หรือปลอมตัวเป็นบุคคลอื่นโดยมิชอบ เป็นต้น

6. เทคโนโลยีป้องกันทางเกตเวย์แบบรวมศูนย์ (Unified Threat Management)
ถึงแม้เทคโนโลยีตัวนี้จะมีการใช้อย่างแพร่หลายแล้ว แต่ก็ยังต้องกล่าวถึงเนื่องจากธุรกิจในอนาคตที่มีบริษัท SME มากขึ้น และถือได้ว่ามีประโยชน์อย่างมากสำหรับธุรกิจขนาดเล็ก ซึ่งเป็นเทคโนโลยีรวมการป้องกันเป็น Firewall / Gatewayมีเทคโนโลยีป้องกันข้อมูลขยะ (Spam) การโจมตีของ Malware/virus/worm รวมถึงการใช้งานเว็บไซด์ที่ไม่เหมาะสม (Content filtering) รวมอยู่ในอุปกรณ์เดียว ที่ผ่านมาอุปกรณ์นี้มักมีปัญหาเรื่อง Performance หากเปิดใช้งานระบบป้องกันพร้อมๆกัน ซึ่งในอนาคต Performance ของอุปกรณ์นี้จะดีขึ้น

7. เทคโนโลยีเฝ้าระวังเชิงลึก (Network Forensics) การกลายพันธุ์ของ Virus/worm computer ทำให้ยากแก่การตรวจจับด้วยเทคนิคเดิม รวมถึงพนักงานในองค์กรมีทักษะใช้คอมพิวเตอร์มากขึ้น ซึ่งอาจจะใช้ทักษะที่มีในทางที่ไม่เหมาะสม หรือเรียกได้ว่าเป็น “Insider hacker” จำเป็นอย่างมากสำหรับการมีเทคโนโลยีเฝ้าระวังเชิงลึก เพื่อตรวจจับสิ่งผิดปกติที่อาจขึ้นได้ ผ่านระบบเครือข่าย เพื่อใช้ในการพิสูจน์หาหลักฐานทางอิเล็กทรอนิกส์ในการดำเนินคดีความได้

8. เทคโนโลยี Load Balancing Switch สำหรับ Core Network เพื่อใช้ในการป้องกันการสูญหายของข้อมูล (Data loss) โดยเฉพาะในอนาคตความเร็วในการรับส่งข้อมูลบนระบบเครือข่ายจะมากขึ้น อุปกรณ์นี้จะช่วยให้กระจายโหลดเพื่อไปยังอุปกรณ์ป้องกันภัยอื่นๆ ได้ เช่น Network Firewall หรือ Network Security Monitoring และอื่นๆ โดยที่ข้อมูลไม่หลุดและสูญหาย

นนทวรรธนะ สาระมาน
Nontawattana Saraman
27 / 11 / 51

Thursday, November 27

Hidden Connection


ในรอบปีที่ผ่านมาทุกครั้งที่ผมได้มีโอกาสขึ้นบรรยายในงานวิชาการต่างๆ ผมมักจะพูดว่า "ความปลอดภัยข้อมูลสารสนเทศเริ่มจากตัวเองก่อนเป็นอันดับแรก เมื่อตนเองปลอดภัย เครือข่ายที่ใช้งานอยู่ก็จะปลอดภัยด้วย เมื่อเครือข่ายองค์กรในประเทศปลอดภัย ประเทศชาติก็ปลอดภัยด้วย" ปลอดภัยจากอะไร? ปลอดภัยจากการใช้สื่ออินเตอร์เน็ต มิให้ตนเองตกเป็นเหยื่อยุคอินเตอร์เน็ต ดังนั้นผมจึงขอเรียกภัยคุกคามโดยรวมของปี 2552 ว่า “Hidden connection* หรือ ภัยที่ซ่อนเร้นจากการติดต่อสื่อสาร”
แนวโน้มที่ผ่านมาเห็นได้ชัดว่าอาชญากรรมทางคอมพิวเตอร์เพิ่มจำนวนขึ้นทุกปี โดยในปี 2551 นี้ พบว่ามีคดีเกี่ยวกับการหมิ่นประมาท การเผยแพร่ข้อมูลที่ไม่พึงประสงค์ รวมถึงการโจมตีเครือข่าย เว็บไซต์ และการตกเป็นเหยื่อจากธุรกรรมออนไลน์เดือนละไม่น้อยกว่า 2 เหตุการณ์ และมักเป็นข่าวให้เราๆ ท่านๆ ได้เห็นเป็นประจำ
ภัยคุกคามที่น่าจะเกิดขึ้นในปี 2009 ก็คงไม่ต่างจากปี 2008 นัก แต่จะมีเทคนิคใหม่ เพิ่มความสลับซับซ้อนขึ้น เนื่องจากโลกไอทีทุกวันนี้จะใช้ซอฟต์แวร์ต่างๆ ผ่านเว็บแอพพลิเคชั่นมากขึ้น เพื่อเป็นการลดค่าใช้จ่ายที่ต้องซื้อซอฟต์แวร์ลิขสิทธิ์ ไม่ว่าจะเป็นการ Download/Upload files จากมีเดียต่างๆ, การปรับแต่งภาพโดยไม่ต้องใช้โปรแกรม, การแต่งเพลง, การวาดแผนผังต่างๆ, การเขียน files เอกสาร หรือแม้กระทั่งปรับแต่งเว็บเพจ ซึ่งล้วนทำผ่านเว็บแอพพลิเคชั่น หรือ Google Apps ทั้งหมดนี้เกิดจากความก้าวหน้าทางเทคโนโลยี Clustering ที่เชื่อมต่อกันเป็น Visualization ซึ่งรวมๆ โลกไอทีก็ได้ศัพท์ใหม่เรียกว่า "Cloud Computing” ที่ผู้ใช้งานแทบไม่เห็นโปรแกรมที่ซ่อนอยู่ด้านหลังเว็บแอพพลิเคชั่นเลย ในโลกแห่งภัยคุกคามก็เช่นกัน Cloud Computing เป็นเครือข่ายสำคัญของการก่ออาชญากรรมสำหรับผู้บุกรุกระบบ โดยสร้าง Zombie หรือที่ผมมักใช้ชื่อว่าผีดิบซอฟต์แวร์ จำนวนมาก รวมเรียกว่า Botnet โดยอาศัยความรู้เท่าไม่ถึงการณ์ของผู้ใช้งานทั่วไปเป็นเครื่องมือ เพื่อแชร์มีเดียที่ไม่ถูกลิขสิทธิ์ บนเทคนิค P2P ผ่านเครือข่าย Cloud Computing และเป็นกลุ่มกองโจรที่จะใช้เทคนิค DDoS/DoS เพื่อทำให้เป้าหมายไม่สามารถปฏิบัติงานได้ หรือเพื่อส่งข้อมูลขยะอันไม่พึงประสงค์ (Spam) รวมถึงการหลอกลวงผ่านสื่ออินเตอร์เน็ต (Phishing) ซึ่งเกิดจากเครื่องเสมือนบน Cloud Computing ที่พร้อมปรับเปลี่ยน domain ได้เอง ทั้งที่เกิด botnet เหล่านั้นนอกจากมาจากเครื่องคอมพิวเตอร์ที่ใช้งานอยู่ทั่วไปแล้ว ยังมากับมือถือของคนที่กำลังเชื่อมต่ออินเตอร์เน็ตอีกด้วย นับได้ว่าจำนวน botnet มากขึ้นอย่างแน่นอน ส่วนใหญ่เป้าหมายการยึดเครื่องจะเปลี่ยนไปที่ผู้ใช้งาน (User) เป็นหลัก และนี้เองคือ "Hidden Connection"
ในตอนหน้าจะกล่าวถึง "ทำอย่างไรให้รู้เท่าทันและไม่ตกเป็นเหยื่อภัยคุกคามสมัยใหม่"

ที่มา : เมื่อหลายปีก่อนมีหนังสือแต่งโดย ฟริตจ๊อฟ คาฟร้า ซึ่งเป็นนักฟิสิกส์ เคยเขียนหนังสือ เต๋าแห่งฟิสิกส์ (The Tao of Physics) และจุดเปลี่ยนศตวรรษ (The Turning Point) จนมาถึงหนังสือที่ผมขอนำมาเป็นชื่อภัยคุกคามสมัยใหม่ในหัวข้อนี้ ที่ชื่อหนังสือว่าโยงใยที่ซ่อนเร้น (The Hidden Connection) ที่ผมขอใช้คำนี้เนื่องจากว่ามีความเหมาะสมและสอดคล้องกับภัยคุกคามสมัยในยุค Social Networking ที่โยงข้อมูลเข้าด้วยกันทั่วโลกผ่านสื่ออินเตอร์เน็ต สิ่งที่ซ่อนเร้นภัยคุกคามกับการเชื่อมต่ออินเตอร์เน็ตนั้นเหมาะมากที่ขอใช้ ชื่อว่า "Hidden Connection"

อ่านต่อตอนหน้า
นนทวรรธนะ สาระมาน
20 / 11 / 51

Wednesday, November 19

ธุรกรรมออนไลน์...ภัยร้ายแฝงเงามืด


เมื่อหลายเดือนก่อนได้เกิดคดีที่เกี่ยวข้องกับการทำธุรกรรมทางอินเตอร์เน็ต โดยผู้เสียหายได้ใช้บริการ Internet Banking และตกเป็นเหยื่อโดยไม่รู้ตัว ซึ่งเมื่อตรวจสอบพบว่ามีผู้ดักข้อมูลโดยใช้โปรแกรม Key Logger ซึ่งคอยเก็บข้อมูลจากแป้นคีย์บอร์ดขณะใช้งาน และส่งผ่านระบบอินเตอร์เน็ตให้กับแฮกเกอร์ ซึ่งนำข้อมูลที่ได้สวมรอยเป็นผู้ใช้งาน เข้าทำธุรกรรมทางการเงิน สร้างความเสียหายมูลค่าไม่น้อย เหตุการณ์นี้สามารถป้องกันได้ หากผู้ใช้งานและผู้ให้บริการระบบธุรกรรมออนไลน์ตระหนักและรู้เท่าทันภัยคุกคาม ตลอดจนเสริมสร้างเทคโนโลยีให้ปลอดภัยมากยิ่งขึ้น
ในปัจจุบันแฮกเกอร์ไม่ได้มีเป้าหมายเจาะระบบเครือข่ายธนาคารหรือผู้ให้บริการธุรกรรมออนไลน์ เพื่อเข้าถึงชั้นความลับของลูกค้าเพียงอย่างเดียว แต่เปลี่ยนเป้าหมายเป็นผู้ใช้งาน (User) อินเตอร์เน็ต ซึ่งเข้าถึงได้ง่ายกว่าแทน โดยอาศัยความรู้เท่าไม่ถึงการณ์ เนื่องจากมีการใช้งานอินเตอร์เน็ตอย่างทั่วถึงมากยิ่งขึ้น บางครั้งผู้ใช้งานอาจพยายามดาวน์โหลดโปรแกรมหรือข้อมูลบางอย่างที่แฮกเกอร์ได้เผยแพร่ไว้ตามเว็บสาธารณะยอดนิยม โดยโปรแกรมดังกล่าวมักมีชื่อที่ดึงดูดให้ดาวน์โหลด เช่น clip ฉาว, โปรแกรมเร่งความเร็ว, โปรแกรม crack serial number, โปรแกรมเกมส์ เป็นต้น เมื่อผู้ใช้งานหลงดาวน์โหลดโปรแกรมดังกล่าวมาติดตั้งในเครื่อง อาจมีมัลแวร์แฝงมากับไฟล์ ทำให้ผู้ใช้ตกเป็นเหยื่อมิจฉาชีพที่จ้องดักข้อมูลได้
ในแง่ผู้ใช้งานทั่วไป : ต้องป้องกันภัยคุกคามที่เกิดขึ้นโดยตระหนักรู้ และควบคุมพฤติกรรมตนเองในการใช้งานอินเตอร์เน็ต บนเครื่องคอมพิวเตอร์ส่วนตัว, ไม่ดาวน์โหลดโปรแกรมที่ไม่มั่นใจในความปลอดภัย, หมั่นดูแลเครื่องคอมพิวเตอร์ให้มีการอัพเดททั้งซอฟต์แวร์ป้องกัน และ Patch, ตั้งรหัสผ่านที่ยากต่อการคาดเดา หากต้องทำธุรกรรมทางอินเตอร์เน็ต เช่น ซื้อสินค้า หรือทำธุรกรรมทางการเงิน ให้ทำบนเครื่องตนเองที่คิดว่าปลอดภัยแล้ว เลือกช่องทางการใช้งานให้ถูกต้อง เช่น เมื่อมีการ Login ผ่านเว็บไซต์ให้ดูว่าเป็นการผ่าน HTTPS หรือไม่ หากไม่ใช่ก็ไม่ควรใช้ โดยเฉพาะหากอยู่ในวง LAN ไม่ว่าจะเป็นร้านอินเตอร์เน็ตคาเฟ่ หรือบริษัท เพราะอาจมีการดัก User / Password ผ่านระบบเครือข่ายได้ และควรเลือกใช้บริการธุรกรรมอินเตอร์เน็ตจากผู้ให้บริการที่น่าเชื่อถือเท่านั้น
ในแง่ผู้ให้บริการ : แม้ผู้ให้บริการจะออกแบบระบบเครือข่ายเป็นอย่างดีจนยากที่แฮกเกอร์จะเจาะระบบเข้ามาได้ แต่แฮกเกอร์สามารถเจาะผ่านทางผู้ใช้บริการได้ และเป็นวิธีที่นิยมใช้ในปัจจุบัน ด้วยเหตุนี้นอกจากต้องอำนวยความสะดวกแก่ลูกค้าแล้ว ผู้ให้บริการยังต้องให้ความสำคัญกับเทคโนโลยีในการระบุตัวตนผู้ใช้งาน, ดูแลความปลอดภัยของข้อมูลและวิธีการใช้งานเมื่อลูกค้าต้องทำธุรกรรมผ่านระบบอินเตอร์เน็ต ตลอดจนให้ความรู้แก่ลูกค้าให้รู้เท่าทันภัยคุกคามในปัจจุบัน
ในที่นี้ผมขอเน้นเรื่องการใช้เทคโนโลยีการพิสูจน์ตัวตนของลูกค้าที่ทำธุรกรรมผ่านอินเตอร์เน็ต ซึ่งที่ใช้กันอยู่มีสามรูปแบบคือ
* สิ่งที่คุณมี (Something you have) เช่น กุญแจไขประตู, บัตรอิเล็กทรอนิกส์ หรือระบบ Token เป็นต้น
* สิ่งที่คุณรู้ (Something you know) คือ รหัสผ่านหรือชุดตัวเลขเฉพาะ
* สิ่งที่คุณเป็น (Something you are) เป็นการพิสูจน์ตัวตนแบบชีวมาตร เช่น ลายนิ้วมือ ระบบรู้จำเสียง ระบบสแกนม่านตา เป็นต้น
สำหรับการทำธุรกรรมทางอินเตอร์เน็ตนั้น การพิสูจน์ตัวตนแบบปัจจัยเดียว (single-factor) อาจไม่รัดกุม และไม่เพียงพอต่อการให้บริการธุรกรรมอิเล็กทรอนิกส์ ซึ่งมีแนวโน้มขยายตัวขึ้น ควบคู่กับความเสี่ยงที่สูงขึ้นเป็นเงาตามตัว จึงควรใช้การพิสูจน์ตัวตนแบบสองปัจจัย (two-factor) ตัวอย่างที่เห็นเด่นชัดคือ เครื่องเอทีเอ็มที่ใช้บัตรพลาสติก (สิ่งที่คุณมี) ควบคู่กับหมายเลขเฉพาะสี่หลัก (สิ่งที่คุณรู้) เปรียบเทียบกับการพิสูจน์ตัวตนทางระบบเครือข่ายคือ การใช้ระบบ Token ร่วมกับรหัสผ่านนั่นเอง วิธีนี้จะช่วยยกระดับความปลอดภัยให้สูงขึ้นอีกขั้น และผู้ใช้บริการรายนั้นไม่อาจปฏิเสธความรับผิดชอบในการทำธุรกรรมของตนได้ ซึ่งระบบที่มีประสิทธิภาพจะช่วยให้โครงสร้างด้านความปลอดภัยแข็งแกร่งขึ้น ลดปัญหาการฉ้อฉลลงได้อีกทางหนึ่ง
นอกจากระบบพิสูจน์ตัวตนแล้ว ผู้ให้บริการควรมีนโยบายด้านความมั่นคงปลอดภัยข้อมูล ตลอดจนวิธีการปฏิบัติและการควบคุมที่เหมาะสม และควรประเมินความสามารถของเทคนิคการพิสูจน์ตัวตนที่ใช้อยู่ว่าสามารถรับมือกับภัยคุกคามและความเสี่ยงใหม่ ๆ ที่เกิดขึ้นได้หรือไม่ การประเมินความเสี่ยงอย่างสม่ำเสมอ จะช่วยลดความเสี่ยงภายในระบบได้ สำหรับผู้ให้บริการธุรกรรมอินเตอร์เน็ตผ่าน Web Application ที่ยังไม่ได้จัดทำระบบแบบ two factor ก็ควรมีการเก็บค่าการ Login หน้าเว็บเพื่อที่สืบได้ว่าใครเข้ามาใช้บริการบ้าง (คำว่า ใคร ประกอบด้วย IP ที่เรียกใช้บริการ ชื่อ ISP ชุดคำสั่งในการใช้บริการ ได้แก่ ชนิดบราวเซอร์ ระบบปฏิบัติการ รวมถึง Session ID ของค่า Cookie ที่เครื่องแม่ข่ายให้บริการสร้างขึ้น เป็นต้น) ทั้งหมดนี้เพื่อสร้างความปลอดภัยให้กับลูกค้า เช่นเดียวกับกล้องวงจรปิดที่ติดตามตู้ ATM จะทำให้ผู้บริการเก็บบันทึก Log ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย
มีเรื่องราวทางเทคนิคอีกมากมายที่เจาะลึกถึงการป้องกันภัยคุกคามทางเครือข่ายคอมพิวเตอร์ ซึ่งหากมีโอกาสจะได้นำเรียนเสนอในคราวต่อไป อย่างไรก็ดี ผู้ให้บริการด้านพาณิชย์อิเล็กทรอนิกส์ เช่น สถาบันการเงิน, ผู้ประกอบธุรกิจ E-Commerce ควรนำเทคโนโลยีการพิสูจน์ตัวตนแบบ Two-Factor Authentication มาใช้เป็นอย่างน้อย ตลอดจนให้ความรู้แก่ลูกค้าในการทำธุรกรรมผ่านระบบอินเตอร์เน็ต เพื่อไม่ให้ตกเป็นเหยื่อพวกมิจฉาชีพที่นับวันจะมีวิธีการที่ซับซ้อนแยบยลขึ้นทุกที

บทความหนังสือพิมพ์สยามธุรกิจ
โดย นนทวรรธนะ สาระมาน บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด
11 / 51

Tuesday, November 4

มีเธอและฉันในอดีต


ในอดีตแบบเรียนภาษาไทยของเรา ได้มีตัวละครหนึ่งที่โตไปพร้อมๆกับเรา เสมือนเขาเหล่านั้นคือเพื่อนพี่น้องเราบนรูปวาดในหนังสือเรียน เมื่อเราเห็นมันอีกครั้ง ความทรงจำในอดีตก็ปรากฏขึ้น ..

แบบเรียนภาษาไทยมีอยู่ 5 ยุค
ยุคที่ 1 แบบเรียนรวมชาติ ปี พ.ศ. 2414 - 2461
ยุคที่ 2 แบบเรียนยุคชาติผู้ดี ปี พ.ศ. 2464 - 2474
ยุคที่ 3 แบบเรียนยุคชาติประชาธิปไตย พ.ศ. 2475 - 2502
ยุคที่ 4 แบบเรียนยุคชาติสถาบัน พ.ศ. 2503 - 2521
ยุคที่ 5 แบบเรียนยุคชาติคือหมู่บ้านในอุดมคติ พ.ศ. 2522 - 2533

ผมทันสมัยแบบเรียนยุคชาติคือหมู่บ้านในอุดมคติ เวลามองเห็นรูปพวกนี้รู้สึกตัวเองได้ย้อนอดีตนึกถึงสมัยยังเด็ก จึงขอเก็บบันทึกไว้ในที่นี้

ภาพวาดที่แสดงถึงวิถีชีวิตคนไทยในยุคสมัยนั้น (2520 - 2530) บนหนังสือเรียนภาษาไทยชั้นประถมศึกษา ของกระทรวงศึกษาธิการ



ภาพวาดจากคุณเตรียม ชาชุมพร



ส่วนภาพเหล่านี้เห็นนามว่าพินิจ ผมไม่แน่ใจว่าใครเป็นคนวาด
ศิลปินนักวาดการ์ตูนในประเทศไทย ระดับตำนาน เช่น เหม เวชกร และ จุก เบี้ยวสกุล

ข้อมูลจาก ระลึกชาติในแบบเรียนภาษาไทย โดย นุชจรี ใจเก่ง
บทความเชื่อมโยงอ่านได้ที่ ยังจำกันได้หรือเปล่า จากบทเรียนสมัยประถม “มานี...มานะ...และผองเพื่อน”

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Thursday, October 30

หลักเกณฑ์การเก็บ Log เพื่อประโยชน์สำหรับเจ้าหน้าที่พนักงาน

เพื่อประโยชน์ต่อเจ้าหน้าที่พนักงาน และตำรวจในการตรวจสอบการเก็บบันทึกข้อมูลจราจรในองค์กร เพื่อใช้ในงานสืบสวนสอบสวนหาผู้กระทำความผิด จึงควรมีแบบตรวจสอบ (Checklist) สำหรับผู้รับผิดชอบดูแลให้มีการเตรียมความพร้อมโดยแบ่งขั้นตอนดังนี้
1. ออกนโยบายมาตราฐานการเก็บ Log เพื่อประโยชน์สำหรับเจ้าหน้าที่พนักงาน
1. 1 ข้อมูลจราจรทางคอมพิวเตอร์ควรมีการยืนยันความถูกต้องของข้อมูลที่จัดเก็บบันทึก โดยใช้เทคโนโลยี MD5, SHA-1 หรือการทำ Checksum เพื่อตรวจค่าความถูกต้องของข้อมูลที่จัดเก็บ หรือมีนโยบายการจัดเก็บแบ่งอำนาจหน้าที่การเข้าถึงข้อมูลจราจรที่ได้ถูกเก็บบันทึกไว้ โดยมีผู้บริหารของหน่วยงานเป็นผู้กำหนดและแบ่งบทความหน้าที่ผู้รับผิดชอบเพื่อรักษาข้อมูลจราจรของหน่วยงานไว้
1.2 การจัดเก็บบันทึกข้อมูลจราจร เพื่อต้องการระบุถึงการใช้งานและเก็บเป็นหลักฐานเพื่อใช้ในการสืบสวนสอบสวนหาผู้กระทำความผิด ข้อมูลจราจรที่เก็บบันทึก อย่างน้อยควร ระบุ Source IP, Destination IP หรือ ชื่อเครื่องคอมพิวเตอร์ ได้เป็นอย่างน้อย รวมถึงลักษณะการใช้งานเช่น การใช้งาน Web, Mail, Chat การ Upload / Download, การแชร์ไฟล์ รวมถึงการใช้ VoIP, P2P เป็นต้น เนื่องจากการใช้งานลักษณะดังกล่าวมีความเสี่ยงภัยที่อาจจะมีผู้ใดผู้หนึ่งในหน่วยงาน กระทำความผิดจากการใช้การสื่อสารดังกล่าว
1.3 การจัดเก็บบันทึกข้อมูลจราจร เพื่อความสะดวกแก่เจ้าหน้าที่พนักงานและเจ้าหน้าที่ตำรวจ ควรมีการแบ่งการเก็บตาม File ตามกฏเกณฑ์การเก็บบันทึกข้อมูลจราจรที่ทางกระทรวงได้กำหนดให้ รวมถึงสร้างความสะดวกแก่เจ้าหน้าที่พนักงานในการสืบสวนสอบสวนได้อีกทางหนึ่ง

2. ขั้นตอนการปฏิบัติงานสำหรับหน่วยงานในการจัดหาระบบจัดเก็บข้อมูลจราจร
2.1 มีการประกาศให้พนักงานในหน่วยงานได้รับทราบถึงพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ได้รับทราบว่าจะเริ่มมีผลบังคับใช้ในวันที่ 24 สิงหาคม 2551
2.2 พนักงานในหน่วยงานได้มีการเข้าฝึกอบรมเพื่อสร้างความตระหนักในการใช้ของสารสนเทศให้ปลอดภัย และลดความเสี่ยงจากการใช้งานระบบสารสนเทศในองค์กร
2.3 ในหน่วยงานมีการแบ่งบทบาทหน้าที่ในการเก็บบันทึกข้อมูลจราจรโดยกำหนดบุคคลที่ทำการรักษาสิทธิในการเก็บบันทึกข้อมูลจราจร (Data Custodies) โดยมอบหมายจากผู้บริหาร (Data Owner) ของหน่วยงานนั้นและสามารถยืนยันรายชื่อผู้เก็บรักษาการบันทึกข้อมูลจราจรในหน่วยงาน
2.4 มีการจัดเก็บบันทึกข้อมูลจราจรที่ยอมรับได้ว่าไม่สามารถแก้ไขเปลี่ยนแปลงได้โดยง่ายและมีวิธีการตรวจสอบความถูกต้องของการจัดเก็บบันทึกข้อมูลจราจร (Integrity Check)
2.5 หน่วยงานมีการจัดทำนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลตามเอกสารมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) หน่วยงานมีระบบช่วยยอมรับเงื่อนไขตามนโยบายด้านความมั่นคงปลอดภัยเพื่อให้ทุกคนได้ปฏิบัติตามเงื่อนไขข้อกำหนดนโยบายในองค์กร
2.6 หน่วยงานมีระบบช่วยยอมรับเงื่อนไขตามนโยบายด้านความมั่นคงปลอดภัยเพื่อให้ทุกคนได้ปฏิบัติตามเงื่อนไขข้อกำหนดนโยบายในองค์กร
2.7 หน่วยงานมีระบบป้องกันภัยคุกคามที่อาจเกิดขึ้นจากการใช้งานอินเตอร์เน็ตและระบบสารสนเทศภายในองค์กร เช่น Firewall, Anti virus, Anti Spam และป้องกันการโจรกรรมทางอิเล็คทรอนิกส์ เป็นต้น
2.8 หน่วยงานมีระบบเฝ้าระวังภัยคุกคามและเก็บบันทึกข้อมูลจราจรที่เกิดจากการใช้อินเตอร์เน็ตตาม Protocol ที่สำคัญดังนี้ HTTP, SMTP, POP3, IMAP, Telnet, FTP เป็นอย่างน้อย ที่เป็นกิจกรรมสำคัญในองค์กรที่ควรเก็บบันทึกค่าไว้เพื่อใช้ในการเก็บบันทึกข้อมูลจราจรภายในหน่วยงาน
2.9 หน่วยงานมีระบบคลังเก็บข้อมูล (Inventory) เพื่อระบุเครื่องที่ใช้งานอินเตอร์เน็ตหรือระบบสารสนเทศในองค์กร เช่น การระบุ IP Address, MAC Address, เป็นอย� >9Z O3,vyvf0��อย ที่สามารถยืนยันได้ว่ามีการใช้งานระบบ
2.10 หน่วยงานมีการตั้งค่า Time Server ที่มีมาตราฐานสากล
2.11 หน่วยงานมีการจัดเตรียมแผนฉุกเฉินเมื่อเกิดปัญหาในการจัดเก็บข้อมูลและค่าควบคุม (Configure) ด้านความมั่นคงปลอดภัยข้อมูลบนอุปกรณ์ที่สำคัญต่อการใช้งานระบบสารสนเทศ
2.12 หน่วยงานมีการควบคุมการเข้าถึงระบบจากทางไกล (Remote Access) เช่น ข้อมูลต้องเข้ารหัส และรหัสผ่านต้องยากแก่การเดา

จากนั้นเราก็นำมาทำเป็นตรารางเพื่อใช้ตรวจสอบ (checklist) โดยคำนึงถึง คน กระบวนการและเทคโนโลยีให้สอดคล้องกัน

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Monday, October 27

จะดีไหมหากคุณรู้ทันว่าใครกำลัง Hack เว็บของคุณ ?










จะดีไหมหากคุณรู้ทันว่าใครกำลัง Hack เว็บของคุณ ?
เป็นโจทย์ใหญ่สำหรับทีมพัฒนา เราได้รวบรวมข้อมูลด้วยวัตถุประสงค์ที่ว่าคนเข้าชมเว็บคุณนั้นเป็นใคร มาจากไหน และกำลังทำอะไร โดยเฉพาะกำลัง Hack เว็บคุณอยู่หรือไม่ ?

การพัฒนา SRAN Data Safehouse จึงเกิดขึ้น
จากการพัฒนาเกือบ 2 ปี และถือได้ว่าเป็นผลงานชิ้นเยี่ยมชิ้นหนึ่งที่ผมและทีมพัฒนา SRAN ภูมิใจ ประกอบกับเมืองไทยเราได้มีการจัดระเบียบมาตราฐานการเก็บ Log ด้วยนั้น SRAN Data Safehouse จึงเด่นขึ้นมาอีกครั้ง
หากเราพิจารณาการเก็บ Log ตาม พ.ร.บ คอมพิวเตอร์ ฯ พบว่ามองได้ 2 กรณี
กรณีที่หนึ่ง เป็นการเก็บ Log จากภายในองค์กร จุดประสงค์เพื่อเป็นหลักฐานในการสืบสวนสอบสวนหาผู้กระทำความผิด และแน่นอนส่วนใหญ่ผู้กระทำความผิดก็มักจะเป็นผู้ใช้งานในองค์กร ซึ่งในกรณีนี้ IP ที่พบเห็นมักเป็น IP Private ก็หมายถึง IP หลัง NAT นั้นเอง ซึ่งกรณีนี้มีวิธีการเก็บได้มากมาย อาจจะเก็บจาก Log Firewall , Log IDS , Log Radius หรือ Log Network Proxy ก็สุดแล้วแต่การติดตั้งและความพอดีพอใช้สำหรับองค์กร ที่พอให้หลักฐานนี้กับเจ้าหน้าที่พนักงาน หรือเจ้าหน้าที่ตำรวจได้ หากมีการกระทำความผิดเกิดขึ้น ซึ่งหากเป็นสูตรลัดเลยก็ต้องเลือกใช้ SRAN Security Center + SRANwall ก็น่าจะพอเพียงแล้วสำหรับกรณีที่หนึ่ง
อีกกรณีหนึ่ง เป็นการเก็บบันทึกข้อมูลที่เป็นสาธารณะข้อมูล มักเป็น IP / Domain ที่เป็น Public เช่น พวก Website ต่างๆ ซึ่งจะพบว่าผู้กระทำความผิดมักเป็นคนที่ใช้ข้อมูลเว็บ เช่นเว็บบอร์ด เว็บใช้ในการ Upload / Download ผู้กระทำความผิดอาจจะใช้อินเตอร์เน็ตที่บ้าน ที่ต่างจังหวัด หรือต่างประเทศก็ได้ ทำอย่างไรเราจึงจะเก็บบันทึกการใช้งานกรณีนี้ได้
ก็มีหลากหลายวิธี หากเราเป็นเจ้าของพื้นที่เว็บเอง ก็อาจจะเอา Log ของ Web Server มาก็ได้ หรือเช่าพื้นที่จาก Hosting ก็อาจขอให้ Hosting เก็บ Log ให้เราก็ได้ การเก็บ Log Web นั้นจะว่าง่ายก็ง่าย จะว่ายากก็ยากเนื่องจาก Log Web server มักเป็น Log ที่ดูลำบาก และต้องใช้ผู้เชี่ยวชาญเป็นผู้วิเคราะห์ ยังพอไม่ การนำ Log ออกมาโชว์ได้ ผู้ดูแล Web Server นั้นก็ต้องมีความรู้สำหรับการจัดเก็บ Log ให้ถูกต้องตามกฏเกณฑ์ที่กระทรวงไอซีทีกำหนดอีกด้วย สรุปแล้วไม่ง่ายนักที่จะเก็บให้ครบถ้วน

ดังนั้นสิ่งที่มีอยู่เดิมของ SRAN Data Safehouse คือรู้ทันภัยคุกคาม ก็บวกวิธีการเก็บ Log ที่ถูกต้องไปด้วย และแสดงผลให้ดูสะดวก ง่าย และพิจารณาหาความสัมพันธ์ของเหตุการณ์ได้อย่างถูกต้อง
จึงเป็นที่มาของการเปิดตัว SRAN Data Safehouse ขึ้น ซึ่งผมขอนำ Presentation ที่ตัวเองได้กล่าวบรรยายในงานเปิดตัวนี้มานำเสนอ




SRAN Data Safehouseรายละเอียดเพิ่มอ่านได้ที่ http://safehouse.sran.net
รูปแบบการบริการ https://safehouse.sran.net/services.html
คู่มือการใช้งาน https://safehouse.sran.net/man/manual.html

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Sunday, October 26

กฏอิทัปปัจจยตา

" ธรรมย่อมเหนือกาลเวลา " สรรพสัตว์ทั้งหลายย่อมหมุนเวียนเปลี่ยนแปลงไปตามกาลเวลา คําบรรยายภาพ
“ปฏิจจสมุปบาท อิทัปปัจจยตา ” หมายถึง เมื่อสิ่งนี้มี สิ้งนี้จึงมี เมื่อสิ่งนี้ดับ สิ่งนี้จึงดับ เป็นเหตุเป็นปัจจัยซึ่งกันและกัน


— วงกลมในสุด ท่านเห็นรูปภาพ หมูคาบหางงู งูคาบหางไก่ ไก่คาบหางหมู เป็นวัฏฏะหมุนเวียนของจิตวิญญาณเกิดดับทุกๆขณะ เมื่อผัสสะโดยอวิชชา จนเป็นอนุสัย เกิดขึ้นโดยนับครั้งไม่ถ้วน
ถามว่าแล้วกฏอิทัปปัจจยตาคืออะไร ทำอย่างไรเราจึงจะอยู่อย่างสอดคล้องกับกฏเกณฑ์ดังกล่าว ซึ่งหมายถึงว่าอยู่ได้โดยปกติสุขโดยไม่ถูกลงโทษลงทัณฑ์?

เรื่องนี้คงจะต้องจำแนกระหว่างมนุษย์กับธรรมชาติ เพราะพูดกันตามความจริง ธรรมชาติเลื่อนไหลไปตามกฏดังกล่าวอยู่แล้ว มีแต่มนุษย์เท่านั้นที่บ่อยครั้ง หยั่งไม่ถึงกฏแห่งการไร้ตัวตน กฏแห่งการอิงอาศัยกันและกันเกิดขึ้นมีอยู่ ตลอดจนกฏแห่งการแปรเปลี่ยนเลื่อนไหลไปตามเหตุปัจจัย

ในโลกของธรรมชาติ ถ้าเราช่างสังเกตุสักหน่อยก็จะพบว่า ปรากฏการณ์ทั้งปวงล้วนก่อรูป ตั้งอยู่ และแปรเปลี่ยนไปตามเหตุปัจจัยหลายอย่างซึ่งเชื่อมโยงสัมพันธ์กัน พูดให้งดงามก็ทุกอย่างในโลกธรรมชาติล้วนดำเนินไปในอ้อมกอดของสุญญตา สรรพสิ่งยืมตัวเองมาจากการมีอยู่ของสิ่งอื่น ใน ทะเลมีสายฝน ในหยาดฝนมีทะเลกว้าง ละอองไอในก้อนเมฆ แท้จริงแล้วคือท้องทะเลที่กำลังเดินทาง เมื่อเราเห็นฝนก็คือเห็นทะเล เห็นทะเลก็คือเห็นฝน

เกี่ยวกับกฏอิทัปปัจจยตาหรือปฏิจจสมุปบาทนั้น ครูบาอาจารย์ผู้รู้ ยังมีทัศนะต่างกันอยู่เล็กน้อย บางท่านเคร่งครัดตามพุทธวจนะที่เริ่มต้นด้วย อวิชฺชาปจฺจยา สํขารา
--> เพราะอวิชชาเป็นปัจจัยสังขารจึงมี ตามด้วย
--> เพราะสังขารเป็นปัจจัยวิญญาณจึงมี ต่อเนื่องไปจนครบ 12 อาการ จึงมองว่าทั้งหมดเป็นสายโซ่แห่งทุกข์ ไม่ว่าจะไล่เหตุปัจจัยในลักษณะอนุโลมหรือปฏิโลมก็ตาม
รูปจาก ปฏิจจสมุปบาท และ วัฏฏะ
* เบญจขันธ์ (http://nontawattalk.blogspot.com/2007/02/blog-post.html)
ร่างกาย เรียกว่า รูป (รูปธรรม)
ความรู้สึกสุขทุกข์ เรียกว่า เวทนา (นามรูป)
การจำได้หมายรู้ เรียกว่า สัญญา (นามรูป)
การคิดปรุงแต่ง เรียกว่า สังขาร (นามรูป)
การรู้ เรียกว่า วิญญาณ (นามธรรม) ความรู้แจ้งจากอายตนะ ทั้ง 6 จาก ตา หู จมูก ลิ้น กาย ใจ


การพิจารณาเช่นนี้หมายความว่า อาการหนึ่งเป็นเหตุให้เกิดอีกอาการหนึ่ง เช่น
อวิชชาทำให้เกิดสังขาร (หรือการปรุงแต่ง) จากนั้น
สังขารกลายเป็นปัจจัยให้เกิดวิญญาณ ไล่ไปเรื่อยๆ
จนถึงอาการของชาติซึ่งมีภพเป็นปัจจัย
พูดอีกแบบคือ นี่เป็น การเห็นปรากฏการณ์ทางโลกไล่เรียงไปตามสายโซ่ของเหตุและผล ซึ่งผลสามารถกลายเป็นเหตุปัจจัยส่งต่อ ให้เกิดผลอื่นๆต่อเนื่องไปได้ไม่มีที่สิ้นสุด

อย่างไรก็ดี ครูบาอาจารย์ผู้รู้บางท่านเห็นว่า การตีความปฏิจจสมุปบาทในลักษณะอะไรเป็นเหตุ อะไรเป็นผลในทิศเดียวอาจจะอธิบายความจริงไม่ได้ทั้งหมด ดังนั้นจึงเน้นไปในการพิจารณา ปฏิสัมพันธ์ของนานาปัจจัยซึ่งก่อให้เกิด ปรากฏการณ์ต่างๆขึ้นในโลก ซึ่งหมายถึงว่าเหตุและผลสามารถไหลย้อนกลับไปกลับมา ไม่จำเป็นว่าอย่างหนึ่งเป็นต้นเหตุของอีกอย่างหนึ่ง การมีอยู่ของสิ่งใดก็ตาม เป็นผลมาจากการชุมนุมของนานาปัจจัย เมื่อปัจจัยพร้อมสิ่งนี้จึงเกิด เมื่อปัจจัยเปลี่ยนสิ่งนั้นจึงดับ เหมือนเมล็ดพันธุ์ไม้ผลิงอก ปัจจัยต้องพร้อมทั้งดิน น้ำ แสงตะวัน

ในพระไตรปิฎกเอง แม้คำอธิบายส่วนใหญ่จะให้พื้นที่กับการลำดับ 12 อาการไปในทิศทางเดียว โดยเริ่มต้นจาก อวิชฺชาปจฺจยา สํขารา แต่ก็มีคำอธิบายอยู่ในพระอภิธรรมว่า แม้แต่อวิชชาซึ่งเป็นจุดเริ่มต้นของปฏิจจสมุปบาทนั้น ก็เป็นผลมาจากปัจจัยอื่นๆ นอกจากนี้สังขารยังสามารถย้อนมา เป็นปัจจัยก่อให้เกิดอวิชชาได้เช่นกัน

อันนี้ถ้าให้ตีความ ก็คงต้องบอกว่าการแยกเหตุกับผลอย่างเด็ดขาด อาจจะไม่ถูกต้องนัก บางครั้งสรรพสิ่งอาจจะเป็นเหตุและผลของกันและกัน ในปราฏการณ์ที่เป็นวัฏจักรเวียนวน ยกตัวอย่างเดิม เช่นความสัมพันธ์ระหว่างฝนกับทะเล เราจะบอกว่าฝนมาจากทะเลก็ได้ หรือทะเลมาจากฝนก็ถูกต้องเช่นกัน ยิ่งบอกว่าทะเลกับสายฝนเป็นหนึ่งเดียว ยิ่งตรงกับปรมัตถ์สัจจะที่สุด

อย่างไรก็ดี ประเด็นสำคัญคือ ต้องเข้าใจว่าเหตุ ปัจจัยทั้งปวงนั้นไม่ได้เกิดขึ้นเองลอยๆ หากเป็นผลจากการมีอยู่ของปัจจัยอื่นทั้งสิ้น ไม่มีสิ่งใดเกิดขึ้นเองได้โดยไม่มีเหตุปัจจัย ถ้าเราเข้าใจจุดนี้แล้ว ก็จะพบว่าการโทษปัจจัยใดหรือบุคคลใดโดดๆว่า เป็นต้นเหตุเพียงอย่างเดียวของปรากฏการณ์ หรือสถานการณ์อันไม่พึงปรารถนา ย่อมเป็นทัศนะที่ไม่สอดคล้องกับความจริง


ตรงนี้จึงนำมาสู่ประเด็นสำคัญที่สุดเกี่ยวกับอิทัปปัจจยตา คือการนำหลักธรรมดังกล่าวมาส่องให้เห็นความว่างอันเป็นลักษณะของโลก แต่การหยั่งถึงสภาพสุญญตาของโลกเป็นสิ่งที่ยากมาก และแทบจะเป็นไปไม่ได้เลย ถ้าเราไม่อาศัยหลักธรรมนี้มาขัดเกลาตัวเองเสียก่อน

กฏอิทัปปัจจยตา หากมองเป็นการสืบสวนสอบสวนทางข้อมูลไอที ก็เปรียบได้กับผลจากความสัมพันธ์ห่วงโซ่เหตุการณ์ (Chain of Event) ที่ไหลเวียนจาก 3 in 3 out Model ที่ผมเขียนไว้ จึงเป็นหลักการณ์หนึ่งที่ช่วยให้ท่านทั้งหลายวิเคราะห์ปัญหาทางไอทีได้อย่างมีเหตุผลมีผล


จากการบรรยายเรื่องสูญยตา ของอาจารย์เสกสรรค์ ประเสริฐกุล

นนทวรรธนะ สาระมาน
Nontawattana Saraman

เสริมจาก http://nontawattalk.blogspot.com/2008/09/blog-post_22.html
เชื่อมโยงกับ http://nontawattalk.blogspot.com/2007/05/3-in-3-out.html

Saturday, October 18

การเมืองคืออะไร

หนูน้อยคนหนึ่งถามพ่อว่า "พ่อฮับ การเมืองคืออะไรฮับ"
คุณพ่อใจดีตอบว่า "พ่ออธิบายง่ายๆ อย่างนี้ดีกว่า คือ
> พ่อเป็นคนหาเลี้ยงครอบครัว หนูต้องเรียกพ่อว่า ทุนนิยม
> ส่วนแม่เป็นคนจัดการเรื่องเงิน ๆ ทอง ๆ ก็ต้องเรียกแม่ว่ารัฐบาล
> เราสองคนมีหน้าที่ดูแลความต้องการของลูก เพราะฉะนั้น
เราจะเรียกลูกว่า
> > ประชาชน
> > ส่วนพี่เลี้ยงของหนูเรามองว่าเธอเป็น ชนชั้นผู้ชั้นแรงงาน
> > สำหรับน้องชายของลูก เราจะเรียกเขาว่า อนาคต
เอาละ ลองเก็บไปคิดดูว่าหนูเขาใจหรือเปล่า

คืนนั้นหนูน้อยเข้านอนพลางคิดถึงคำพูดของคนเป็นพ่อ
กลางดึกพ่อหนูได้ยินเสียงน้องร้องจ้า ย่องเข้าไปดูเห็นอึกองโตเต็มผ้าอ้อม พ่อหนูเดินไปห้องพ่อแม่
แต่กลับเจอมามี้ นอนกรนคร่อกฟี้

เดินไปห้องพี่เลี้ยง ปรากฏว่าประตูติดล็อก เขย่งมองในรูกุญแจ ก็เห็นภาพบิดากำลังเล่นจ้ำจี้กับพี่เลี้ยงเข้าเต็มตา หนูน้อยเลยล้มเลิกความพยายาม แล้วกลับไปนอนคลุมโปงตามเดิม

เช้าวันต่อมาหนูน้อยเดินไปหาพ่อบอกเสียงขรึมว่า "พ่อครับ ตอนนี้ผมเข้าใจคอนเซ็ปต์การเมืองแล้วละครับ"
" เหรอลูก ไหนบอกพ่อซิ ลูกคิดว่าการเมืองคืออะไร" คุณพ่อตัวดีซักไซ้

คุณลูกตอบฉะฉาน "การเมืองก็เป็นเรื่องประมาณว่า ขณะที่ทุนนิยมกำลังกดขี่ผู้ชนชั้นใช้แรงงาน
รัฐบาลก็หลับคุดคู้ไม่รู้ไม่เห็น ด้านประชาชนก็ถูกละเลยไม่ได้รับความสนใจ ส่วนอนาคตก็จมอยู่ในกองขี้ไงครับ"

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Thursday, October 9

สัญญาวิปลาส


เราจำเป็นต้องเรียนรู้เรื่องอิทัปปัจจยตา เพื่อให้เดินอยู่บนมัชฌิมาปฏิปทา ไม่ไปโง่ไปหลงในของเป็นคู่ๆ ของเป็นคู่ที่ระบุเป็นข้างใดข้างหนึ่ง โดยเด็ดขาด นั้นไม่ใช่อิทัปปัจจยตา แต่เป็นสิ่งสมมุติ พูดอีกแบบคือการถอนอุปทาน จากการแยกโลกเป็นขั้วเป็นข้างนั้น ถือเป็นเงื่อนไขสำคัญที่สุดในการหยั่งถึงความจริง อีกทั้งเป็นวิธีเดียวที่จะเชื่อมความจริงสมมุติ เข้ากับความจริงปรมัตถ์

ความสว่างความมืดสั้นยาวขาวดำ (อไทฺวตธรรม) ล้วนแล้วแต่เป็นเรื่องสัมพัทธ์ทั้งสิ้น และไม่เป็นอิสระจากกัน เฉกเช่นนิพานและสังสารวัฏ ไม่ได้แยกขาดจากกัน สรรพสิ่งมิได้แยกเป็นสองขั้วเช่นนั้น ไม่มีนิพานที่ปราศจากสังสารวัฏ ไม่มีสังสารวัฏที่ปราศจากนิพาน เนื่องจากเงื่อนไขการดำรงค์อยู่ของสรรพสิ่งไม่มีลักษณะหักล้างซึ่งกันและกัน
การข้ามพ้นทั้งคู่ คือความเห็นความว่าง และการเข้าใจความว่าง หมายถึงการมองเห็นความสัมพันธ์ที่อาศัยกันอยู่ เกิดขึ้นมีอยู่ ความเชื่อมโยงของสรรพสิ่ง มองเห็นแม้ความเชื่อมโยงสัมพันธ์ของสิ่งที่ดูเหมือนขัดแย้งกัน ด้วยเหตุนี้การหยั่งถึงความว่าง จึงเกี่ยวโยงอย่างใกล้ชิดกับหลักธรรมสำคัญอีกเรื่องหนึ่ง ซึ่งได้แก่มัชฌิมาปฏิปทา หรือที่เรียกว่า ทางสายกลาง นั้นคือการถอนอุปทาน จากความคิดที่สุดโต่งทั้งปวง มองเห็นความสมมุติของทวิภาวะ เห็นความไม่จริงของบัญญัติต่างๆ ที่ผู้คนมักยกอ้างมาขัดแย้งกัน โดยลืมไปว่าทั้งหมดเป็นเพียงสมมุติสัจจะ เป็นความจริงสัมพัทธ์ที่ขึ้นตรงกับนานาปัจจัย ไม่มีอะไรเที่ยงแท้ถาวร อย่างนี้เรียกว่าติดกับต่อทวิภาวะ และจะเกิดทุกข์ ไม่สามารถเปลื้องทุกข์ได้ หากไม่ถอนตัวสู่มัชฌิมาปฏิปทา

"จิตที่ติดในข่ายแห่งความคิดนั้นคือความหลง เป็นการสนับสนุนอัตตาในระดับเหตุผล"

ผมเห็นด้วยกับประโยคที่ว่า "การพูดถึงหลักธรรมไม่ได้หมายความว่าตัดเรื่องทางโลกทิ้งไป เพราะธรรมะโอบอุ้มโลกทั้งโลกไว้แล้วในฐานะกฎเกณฑ์ที่ดำรงอยู่โดยธรรมชาติ เราจะเข้าใจธรรมะได้ก็โดยผ่านการพิจารณาประสบการณ์ทางโลกเป็นสำคัญ" ในสถานะการณ์ทุกวันนี้ ไม่ว่าเป็นระบบเศรษฐกิจโลกที่ผันผวน การเมืองในประเทศที่หาข้อยุติมิได้ ทางออกของการแก้ไขปัญหาทั้งปวง กับมาอยู่ที่ตัวเราเอง มิใช่คนอื่น
นี้คงเป็นเวลาที่พิจารณาความจริงอันยิ่งใหญ่แล้วว่า สมมุติสัจจะ ที่ครอบงำด้วยวัตถุนิยม มิใช่ทางออก แต่สิ่งที่ทำให้ชีวิตปกติสุข ได้ต้องกลับมาที่ตัวเราเอง และจิตวิญญาณของเราเอง บนทางสายกลาง

ดังที่พระพุทธเจ้าได้ทรงตอบคำถามพระอานนท์ เกี่ยวกับสภาพสุญญตาของโลกว่า "โลกสูญ...เพราะว่าสูญจากตนและจากสิ่งที่เนื่องด้วยตน"


นนทวรรธนะ สาระมาน
Nontawattana Saraman
9/10/51

บางส่วนจากงาน"แพ้ชนะถึงที่สุดแล้วก็เป็นสุญญตา" เสกสรรค์ ประเสริฐกุล

ภาพจากเว็บหนังไทยเก่า : http://www.thaifilm.com/

Monday, September 22

ความว่าง


'ความว่าง' หรือที่บาลีเรียกว่าสุญญตา ก็เพราะเห็นว่านี่เป็นหัวใจแห่งคำสอนของท่านอาจารย์พุทธทาส

ท่านอาจารย์เองเคยกล่าวไว้ว่า "ธรรมที่ลึกที่สุดก็คือเรื่องสุญญตา นอกนั้นเรื่องตื้น ธรรมที่ลึกจนต้องมีพระตถาคตตรัสรู้ขึ้นมาและสอนนั้นมีแต่สุญญตา เรื่องนอกนั้นเรื่องตื้น ไม่จำเป็นจะต้องมีตถาคตเกิดขึ้นมา"

สุญญตา หมายถึง สภาพของความจริงที่ดำเนินไปอย่างต่อเนื่อง เปลี่ยนแปลงไปเรื่อยๆตามเหตุปัจจัย และหมายถึงความจริงแบบองค์รวมมากกว่าความจริงแบบแยกส่วน

สภาพความจริง ที่สรรพสิ่งในโลกล้วนอิงอาศัยกันเกิดขึ้นและมีอยู่ ด้วยเหตุนี้แต่ละสิ่ง จึงปราศจากแก่นสารในตัวเอง (self-nature) หรือพูดอีกแบบหนึ่งคือไม่มีอัตลักษณ์แยกต่างหาก (separate identity)
หรืออีกนัยหนึ่งคือ การไม่มีแก่นสารในตัวเองภาษาสันสกฤตเรียกว่าไม่มี สวภาวะ แต่ข้อนี้ไม่ได้หมายความว่าสิ่งทั้งหลายในโลกไม่มีอยู่จริง หากมีอยู่โดยสัมพัทธ์และสัมพันธ์กับสิ่งอื่นๆ ไม่มีสิ่งใดอุบัติขึ้นได้โดยอิสระ

หลวงพ่อนัทฮันห์ อาจารย์เซนที่มีชื่อเสียงจึงบอกว่า ความเป็นสุญญตาเกี่ยวโยงอยู่กับความเป็นอนัตตาอย่างใกล้ชิด สิ่งต่างๆ'แค่ว่างจากตัวตน แต่เต็มไปด้วยทุกสิ่งทุกอย่าง' หรือพูดตามท่านคุรุนาคารชุน ก็ต้องบอกว่า"เพราะความว่างนี่แหละ ที่ทำให้ปรากฏการณ์ทั้งหลายก่อรูปขึ้นมาได้"

หลักธรรมเรื่องความว่างนั้น เกี่ยวโยงกับคำสอนของพระพุทธองค์เรื่อง อิทัปปัจจยตาหรือปฏิจจสมุปบาทจนแทบเป็นเนื้อเดียวกัน

ความจริง ธรรมชาติเลื่อนไหลไปตามกฏดังกล่าวอยู่แล้ว มีแต่มนุษย์เท่านั้นที่บ่อยครั้ง หยั่งไม่ถึงกฏแห่งการไร้ตัวตน กฏแห่งการอิงอาศัยกันและกันเกิดขึ้นมีอยู่ ตลอดจนกฏแห่งการแปรเปลี่ยนเลื่อนไหลไปตามเหตุปัจจัย ทุกอย่างในโลกธรรมชาติล้วนดำเนินไปในอ้อมกอดของสุญญตา สรรพสิ่งยืมตัวเองมาจากการมีอยู่ของสิ่งอื่น ใน ทะเลมีสายฝน ในหยาดฝนมีทะเลกว้าง ละอองไอในก้อนเมฆ แท้จริงแล้วคือท้องทะเลที่กำลังเดินทาง เมื่อเราเห็นฝนก็คือเห็นทะเล เห็นทะเลก็คือเห็นฝน ซึ่งหมายถึงว่าเหตุและผลสามารถไหลย้อนกลับไปกลับมา ไม่จำเป็นว่าอย่างหนึ่งเป็นต้นเหตุของอีกอย่างหนึ่ง การมีอยู่ของสิ่งใดก็ตาม เป็นผลมาจากการชุมนุมของนานาปัจจัย เมื่อปัจจัยพร้อมสิ่งนี้จึงเกิด เมื่อปัจจัยเปลี่ยนสิ่งนั้นจึงดับ เหมือนเมล็ดพันธุ์ไม้ผลิงอก ปัจจัยต้องพร้อมทั้งดิน น้ำ แสงตะวัน

ตรงนี้จึงนำมาสู่ประเด็นสำคัญที่สุดเกี่ยวกับอิทัปปัจจยตา คือการนำหลักธรรมดังกล่าวมาส่องให้เห็นความว่างอันเป็นลักษณะของโลก แต่การหยั่งถึงสภาพสุญญตาของโลกเป็นสิ่งที่ยากมาก และแทบจะเป็นไปไม่ได้เลย ถ้าเราไม่อาศัยหลักธรรมนี้มาขัดเกลาตัวเองเสียก่อน

ดังที่พระพุทธเจ้าได้ทรงตอบคำถามพระอานนท์ เกี่ยวกับสภาพสุญญตาของโลกว่า 'โลกสูญ...เพราะว่าสูญจากตนและจากสิ่งที่เนื่องด้วยตน'

จากพุทธวัจนะดังกล่าว เราอาจอ่านความหมายได้สองทางคือ หนึ่ง โลกเป็นความว่างเพราะสรรพสิ่งไม่มีตัวตนแท้จริง สอง จะเห็นความว่างของโลกได้ ก็ต้องเข้าใจความว่างตัวตนของเราด้วย

ท่านอาจารย์พุทธทาสเองก็เน้นว่า เรื่องปฏิจจสมุปบาทนั้น ที่สำคัญคือต้องมาใช้มองด้านใน คำกล่าวของท่าน ที่ว่า'ว่างจากตัวกูของกูเท่านั้น จะว่างหมดจากทุกสิ่ง' เท่ากับบอกว่าถ้าอยากจะหยั่งเห็นอิทัปปัจจยตาภายนอกนั้น ต้องเริ่มต้นด้วยการหยั่งถึงอิทัปปัจจยตาภายใน

อันนี้หากอ่านให้ลึกลงไป ก็ต้องสรุปว่า เหตุการณ์ต่างๆที่เกิดในโลก ไม่ใช่เรื่องภายนอกเท่านั้น หากเป็นเรื่องที่เกิดขึ้นภายในด้วย และจะต้องดับเหตุการณ์ภายในเสียก่อน จึงจะดับเหตุการณ์ภายนอกได้

อันที่จริงประเด็นสำคัญมันอยู่ที่ภายในนั่นแหละ คือถ้าบุคคลหยั่งไม่ถึงความว่างอันเป็นธรรมชาติของโลก หยั่งไม่ถึงกฏเหล็กของอิทัปปัจจยตา ก็จะมองปัญหาผิดไปจากความจริง และแก้ปัญหาโดยไม่สอดคล้องกับความจริง ซึ่งก็คือเพิ่มปัญหาขึ้นมาอย่างต่อเนื่องไม่สิ้นสุด

การที่คนเรามองไม่ไม่เห็นสุญญตา ทำให้ชอบแบ่งโลกออกเป็นคู่ขัดแย้งต่างๆ ชอบบัญญัติลงไปว่า สิ่งนั้นดี สิ่งนี้ชั่ว สิ่งนี้สวย สิ่งนั้นอัปลักษณ์ สิ่งนี้บริสุทธิ์ สิ่งนี้มีมลทิน ฯลฯ การมองโลกแบบทวิภาวะเช่นนี้ แท้จริงแล้วมักผูกโยงอยู่กับอัตตา ซึ่งนำไปสู่การปะทะกันขัดแย้งอยู่เนืองๆ เพราะต่างฝ่าย ต่างอยากกำหนดความเป็นไปของโลกด้วยปัจจัยเดียวคือตัวเองและโทษผู้อื่นเป็นต้นเหตุโดดๆแบบไม่มีที่มาที่ไป

แต่กฏแห่งความว่างเป็นกฏเหล็ก ละเมิดแล้วก็มีแต่หาทุกข์ใส่ตัว ตรงนี้เองคืออำนาจแห่งความว่าง... อำนาจแห่ง'พระเจ้าอิทัปปัจจยตา'

ความจริงของโลกคือภาวะแยกเป็นคู่ๆแบบขาวล้วนดำล้วนนั้น เป็นแค่เรื่องสมมติ เป็นบัญญัติทางโลกที่อาจทำได้กระทั่งมีประโยชน์ หากอยู่ในระดับพอเหมาะพอสมไม่ยึดติด อีกทั้งรู้เท่าทันมัน แต่ถ้าใครก็ตาม พาทัศนะเช่นนี้เตลิดไปอย่างไร้ขอบเขต สุดท้ายย่อมติดกับอยู่กับความขัดแย้งชนิดหาทางออกไม่ได้ ทั้งขัดแย้งในตัวเองและขัดแย้งกับผู้อื่น

อันที่จริงในเรื่องความสุดโต่งของทัศนะที่จะยืนยันว่า สิ่งใดมีอยู่ สิ่งใดไม่มีอยู่ หรือสิ่งใดผิด สิ่งใดถูกตามโลกบัญญัตินั้น พระพุทธองค์ได้ทรงเตือนไว้แล้วว่า ไม่ทำให้เกิดปัญญา

ดังพุทธวัจนะในกัจจานโคตตสูตรซึ่งทรงกล่าวไว้ว่า

'โลกนี้โดยมากอาศัยส่วน 2 อย่าง คือ ความ มี1 ความไม่มี1 ก็เมื่อบุคคลเห็นความเกิดแห่งโลกด้วยปัญญาอันชอบตามเป็นจริงแล้ว ความไม่มีในโลก ย่อมไม่มี เมื่อบุคคลเห็นความดับแห่งโลกด้วยปัญญาอันชอบตามเป็นจริงแล้ว ความมีในโลก ย่อมไม่มี โลกนี้โดยมากยังพัวพันด้วยอุบาย อุปาทานและอภินิเวส แต่พระอริยสาวกย่อมไม่เข้าถึง ไม่ถือมั่น ไม่ตั้งไว้ซึ่งอุบายและอุปาทานนั้น...'

ในพระสูตรของฝ่ายมหายาน ประเด็นการก้าวพ้นทวิภาวะ ( dualism ) หรือก้าวพ้นการแบ่งแยกความจริงออกเป็นคู่ตรงข้ามนั้น ถือเป็นเรื่องสำคัญมาก เพราะมีแต่ก้าวพ้นการยึดมั่นในสิ่งนี้เท่านั้น จึงจะได้กุญแจไปสู่การเข้าใจสุญญตา

ดังจะเห็นได้จากข้อความในคัมภีร์วิมลเกียรตินิทเทสสูตร (ปริเฉท9) ซึ่งบรรดาพระโพธิสัตว์หลายองค์ ได้ตอบคำถามของท่านวิมลเกียรติคฤหบดีในเรื่องนี้ไว้อย่างละเอียด

'กุศล อกุศลชื่อว่าเป็นธรรมคู่ ผู้ใดไม่เกิดความรู้สึกยึดถือ ก่อเกิดกุศล ฤาอกุศล รู้แจ้งเห็นจริง เข้าถึงอัปปณิหิตธรรม จึงชื่อว่าเข้าสู่อไทฺวตธรรมทวาร'

'บาป บุญ ชื่อว่าเป็นธรรมคู่ ผู้ใดรู้แจ้งว่า เนื้อแท้ภาวะแห่งบาป มิได้ผิดแปลกจากบุญเลย ใช้วชิรปัญญาเข้าไปตัดความติดแน่นในลักษณะแบ่งแยกเสียได้ ไม่มีผู้ถูกผูกพันฤาไม่มีผู้หลุดพ้น จึงชื่อว่าเข้าสู่อไทฺวตธรรมทวาร'

ท่านอาจารย์พุทธทาสเอง ก็ยืนยันในเรื่องข้ามพ้นทวิภาวะไว้อย่างชัดเจน โดยกล่าวว่า

'เราจะต้องเรียนรู้เรื่องอิทัปปัจจยตา เพื่อว่าเราจะได้เดินอยู่ในมัชฌิมาปฏิปทา ไม่ไปโง่ไปหลงในของเป็นคู่ๆ ของเป็นคู่ที่ระบุไปยังข้างใดข้างหนึ่งโดยเด็ดขาดนั้น ไม่ใช่อิทัปปัจจยตา เป็นสิ่งสมมติ.. '

อ้างอิงจากงานสัมนา อำนาจแห่งความว่าง ความว่างแห่งอำนาจ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Sunday, September 21

คนเดินดิน


เคยบ้างไหมครับ ที่เสียงเพลงทำให้เรานึกถึงความหลัง เมื่อดนตรีเริ่มบรรเลง เรามักจะย้อนเวลา กับสถานที่ หรือเหตุการณ์นั้นได้ ด้วยศาสตร์หลายแขนงวิชาได้บอกเราไปต่างๆ เพื่ออธิบายปรากฏการณ์นี้
ข้อสรุปคงไม่มีอะไร เพราะว่าเรา เป็นเพียงคนเดินดิน

ยามบ่ายวันหนึ่งที่ฟ้ามืดและสลัว เหมือนกับว่าพายุจะเข้า ผมได้หยิบเทปเพลง และบรรจุลงเครื่องเล่นเทป ที่ซึ่งกลายเป็นของหายากเสียแล้วสำหรับยุคโลกแบน เครื่องเล่นเทปเพลงดูสกปรกและเก่า ฝุ่นจับหนา แลดูถึงความเสื่อมถอย ตามอายุขัย ภายนอกหน้าต่างบ้าน ได้ยินเสียงฟ้าร้อง เมื่อส่องสายตา แลเห็นแสงเงาพาดผ่านหน้าต่าง นิ้วผมได้กดปุ่ม Play เครื่องเล่นเทปที่สภาพเก่า ได้เริ่มทำงาน เสียงเม้าออร์แกน และกีตาร์โปร่งได้บรรเลงขึ้น จากลำโพงข้างเดียว หลังจากที่ภายนอกบ้าน สายฝนก็เริ่มลงเม็ด ปอยๆ ลมเย็นช่ำ สบาย เสียงร้องตามเนื้อเพลงก็ปรากฎ
"คนเดินดิน ดำรงชีวิตธรรมดา เวลาหน้าที่ ออกทำมาหากิน ทำเป็นนิจศิล ชินกับความเหนื่อยล้า ..."
เมื่อเพลงบรรเลงจบ ผมเอื้อมนิ้วมือปัดฝุ่นที่ติดบนฝาเทปและแลดูชื่อศิลปิน จำได้ว่าได้ซื้อเทปชุดนี้สมัยเรียนชั้นมัธยมปลาย และเมื่อได้ฟังเพลงนี้แล้ว นึกถึงภาพอดีตขึ้นมาทันที เป็นเพลงที่เตือนสติได้ดี
และทำให้ตะหนักรู้ว่า "เราแค่คนเดินดิน"

เพลงคนเดินดิน อารักษ์ อาภากาศ
ภาพจาก Nikonianthailand ชีวิต กับ เรือ ที่เป็นนิจศิล

หากศิล คือ ความปกติ
และความปกติของชีวิต ทำให้เกิดความสุข
ทำเป็นนิจศิล คือ ดำรงชีวิตธรรมดาอย่างปกติ
ความสุขของเรา คือ ความปกติที่ดำรงชีวิตอย่างธรรมดา

นนทวรรธนะ สาระมาน
Nontawattana Saraman
21/09/51

Link : สิ่งธรรมดา คือ สิ่งวิเศษ (http://nontawattalk.blogspot.com/2008/04/blog-post.html)

Tuesday, August 26

หัวใจของกฏหมายคอมพิวเตอร์ไทย

เนื่องจากกฏหมายนี้ออกมามีเสียงวิจารณ์อยู่จำนวนมาก ถึงจะมากด้วยเสียงบ่นก็ต้องทำความเข้าใจว่า นี้เป็นมิติใหม่ของวงการไอซีทีประเทศไทย ที่จะก้าวไปอีกก้าวหนึ่ง จากเดิมเรามักจะแก้ปัญหาที่ปลายเหตุเสมอ ในกรณีที่มีผู้บุกรุกระบบไม่ว่าเป็นคนภายนอกองค์กร หรือคนในองค์กรเอง ที่เป็นอาชญากรทางคอมพิวเตอร์ ทั้งที่ทำด้วยเจตนา และด้วยความรู้เท่าไม่ถึงการณ์ หลักฐานสำคัญสำหรับการสืบสวนสอบสวนคือ Log ในอดีตที่ยังไม่มีกฏหมายคงมีหลายหน่วยงานที่อาจไม่ให้ความสำคัญกับเรื่อง ระบบรักษาความมั่นคงปลอดภัยทางข้อมูลเลยก็ว่าได้ และเมื่อเกิดปัญหาก็มักจะสืบหาผู้กระทำความผิดจากทางโลก มากกว่าทางธรรม นั้นคือ ทางโลกใช้พฤติกรรมมนุษย์ (Hacker) ไม่ว่าเป็นรัก โลภ โกรธ หลง มาใช้ในการสืบหา ในทางธรรม คือเทคโนโลยี เช่นระบบดิจิตอลที่ไม่หลอกคนใช้งาน แสดงผลอย่างไรก็ว่าไปอย่างนั้น การที่จะหาผู้กระทำความผิดทางระบบคอมพิวเตอร์มาลงโทษเมื่อสมัยก่อนจึงเป็น เรื่องที่ยากและเป็นเรื่องไกลตัว จากสถิติการใช้งานอินเตอร์เน็ตที่สูงขึ้นในอัตราที่ก้าวกระโดดทุกปี ปรากฏว่ามีคดีฟ้องร้องกันในด้านระบบไอทีไม่น้อยกว่า 2 คดีในแต่ละเดือน และมีแนวโน้มที่สูงขึ้น จึงขออยากทำความเข้าใจให้มากขึ้นสำหรับผู้ที่ศึกษาหาข้อมูล พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ นี้ขึ้นอีกครั้ง โดยจะเน้นไปที่เนื้อหาใจความสำคัญที่เป็นหัวใจของกฏหมายฉบับนี้

สาระสำคัญของกฏหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ที่ประกาศขึ้นนั้นคือ "ต้องการหาผู้กระทำความผิดมาลงโทษ"

หลายคนไปสนใจว่าต้องเก็บ Log อย่างไรถึงจะตรงตาม พ.ร.บ ฉบับนี้ แต่หากเข้าใจความหมายและหัวใจของกฏหมายฉบับนี้แล้วจะเป็นประโยชน์อย่างยิ่ง สำหรับการเตรียมตัวในการรับมือกับการเปลี่ยนแปลงทั้งองค์ความรู้ และการปรับตัวในการใช้ระบบสารสนเทศให้มีความตระหนักถึงภัยอันตรายมากขึ้น และส่วนหนึ่งที่ต้องนำมาศึกษากันมากขึ้นนั้นคือ การสร้างจริยธรรมในการใช้คอมพิวเตอร์ (Computer / Internet Ethics) จริยธรรมจะมีความสัมพันธ์พื้นฐานระหว่างมนุษย์ที่ต้องใช้หลัก "เอาใจเขามาใส่ใจเรา" หากเรามีสติและมีความตะหนักรู้ ก็ย่อมเกิดผลดีในโลกไซเบอร์นี้ได้

ดังนั้น Log files เป็นเพียงเครื่องมือหนึ่งที่ใช้ในการสืบสวนสอบสวน และใช้ในการประกอบคดีเพื่อหาผู้กระทำความผิดทางคอมพิวเตอร์

ปัญหาส่วนใหญ่ที่มักเกิดความเสี่ยงภัยไม่ว่าเป็น การหมิ่นประมาท การก่อการร้าย การขโมยข้อมูล การปลอมแปลงข้อมูล การก่อกวนทำให้ผู้อื่นเสียหาย มักจะเกิดจากการใช้งานอินเตอร์เน็ต หนีไม่พ้น Application Protocol ดังต่อไปนี้ คือ Web (HTTP, HTTPS) , Mail (SMTP , POP3 , IMAP อื่นๆ) , Chat (MSN , Yahoo , ICQ , IRC อื่นๆ) , VoIP , การ Upload / Download ที่อาจมีละเมิดทรัพย์สินทางปัญญา โดยใช้การใช้โปรแกรมพวก P2P , การ Remote Access ทั้งจากภายในองค์กร สู่ภายนอก และ ภายนอกองค์กร เข้าสู่ระบบภายใน เป็นต้น ล้วนมีความเสี่ยงหากใช้ด้วยพฤติกรรมที่ไม่เหมาะสมและขาดจริยธรรม ซึ่งอาจทำให้เกิดเป็นคดี ตามมาตรา 5 - 16 ได้เช่นกัน

โดยความเสี่ยงภัยดังกล่าวสามารถมองได้ 2 มุม คือ

1. มุมภายในองค์กร ความหมายขององค์กรนี้คือ บริษัท , สถาบันการศึกษา , โรงแรม , โรงพยาบาล , ร้านอินเตอร์เน็ตคาเฟ่ อื่นๆที่มีการเชื่อมต่ออินเตอร์เน็ตหรือเชื่อมข้อมูลสู่ภายนอกองค์กร (Extranet) ส่วน ต้องมีการเก็บบันทึกข้อมูลจราจร (Log) ส่วนสถานที่ให้บริการเครือข่ายไร้สาย (อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/169) เช่น ร้านกาแฟ, อาพาท์เม้น อื่นๆที่เป็นสาธารณะที่สามารถใช้ระบบอินเตอร์เน็ตเชื่อมต่อข้อมูลได้ จำเป็นต้องเก็บบันทึกข้อมูลจราจร หรือที่เรียกว่า Log เพื่อเป็นประโยชน์ในการสืบหาผู้กระทำความผิด เมื่อมีการฟ้องร้องขึ้นมาจะได้หาผู้กระทำความผิดได้อย่างสะดวกมากขึ้น

2. มุมระดับเครื่องคอมพิวเตอร์ ที่ให้บริการ เช่น ผู้ให้บริการเว็บไซด์ทั้งที่เป็น Hosting และ Webmaster ที่มี Domain (www.xyz.com) หรือมี Domain ใช้ในการรับส่งข้อมูล (FTP, Storage Server) หรือให้บริการสนทนาออนไลท์ (Chat Server เช่น IRC Server เป็นต้น) , ผู้ให้บริการ Mail Server , VoIP Server หรือให้บริการอินเตอร์เน็ต ISP ก็ควรต้องมีการเก็บบันทึกข้อมูลผู้ใช้งาน เพราะผู้ใช้บริการอาจสร้างความเสี่ยงให้เกิดคดีตามมาตรา 5 -16 ได้ ไม่ว่าผู้ใช้บริการเว็บ เว็บบอร์ด ผู้ใช้บริการ ISP ที่มี Account จากการเสียค่าบริการอินเตอร์เน็ต อาจใช้อินเตอร์เน็ตหมุนเบอร์โทรศัพท์ใช้ในทางที่ไม่เหมาะสม

ทั้ง 2 ข้อนี้พบว่าส่วนใหญ่แล้วผู้ที่มีความเสี่ยงภัยที่ก่อเหตุการอันไม่พึ่งประสงค์ ล้วนแล้วแต่เป็น ผู้ใช้งาน (User)

ในมุมที่หนึ่ง : หน่วยงานที่ยังขาดโครงสร้างพื้นฐาน (ICT Infrastructure) เป็นเรื่องยากที่จะควบตุมการใช้งาน User ในองค์กรได้ หากยังไม่สามารถควบคุมการใช้งาน User ได้แล้วความเสี่ยงภัยย่อมเกิดขึ้นอย่างแน่นอน หากไม่มีการควบคุมการใช้งาน User นั้นคือ ขาดการควบคุมการใช้งาน User สำหรับใช้อินเตอร์เน็ต และขาดการควบคุมการใช้งาน User ที่ใช้ระบบไอซีทีภายในองค์กร เช่น การแชร์เอกสารไฟล์ , ขาดระบบระบุตัวตน (A=Authentication A=Authorization A=Accounting A=Auditing) , ขาดการมีสิทธิที่จะลงซอฟต์แวร์ในเครื่อง หรือการมีสิทธิในการรีโมตเข้าเครื่องสำคัญๆโดยปราศจากการเก็บบันทึก เช่น การ Telnet , Remote Desktop , FTP , VNC , VPN เป็นต้น

การควบคุม User ในการใช้งานอินเตอร์เน็ตไม่ใช่เรื่องยาก สามารถทำได้หลายวิธี แต่การควบคุม User การใช้งานภายในองค์กรเป็นเรื่องที่ยากและต้องใช้วิธีการออกแบบระบบจากผู้เชี่ยวชาญและมีประสบการณ์

จึงกล้าพูดอย่างชนิดว่าเป็นความจริงว่าน้อยนักที่หน่วยงานในบ้านเราจะมีความพร้อมทางโครงสร้างพื้นฐาน ICT Infrastructure

ความหมายของโครงสร้างพื้นฐาน (ICT Infrastructure) นั้นคือ ต้องมีเทคโนโลยีที่เหมาะสม ต้องมีคนดูแลเทคโนโลยีให้เหมาะสม และมีนโยบายที่เหมาะสมในการจัดระเบียบการทำงานให้มีความเป็นมาตราฐาน และควบคุมคนเพื่อให้คนควบคุมเทคโนโลยีได้อย่างสอดคล้องกัน

ดังนั้นจากการวิจัยและพัฒนากว่า 4 ปีพบว่าหน่วยงานส่วนใหญ่ในประเทศไทย ยังขาดเรื่องโครงสร้างพื้นฐาน (ICT Infrastructure) ดังนั้นเพื่อเป็นการอำนวยความสะดวกจึงได้จัดทำอุปกรณ์ที่ชื่อว่า SRAN Security Center เราจะช่วยลดปัญหานั้นได้คือเราไม่จำเป็นต้องนำ Log จากทุกเครื่องคอมพิวเตอร์มาประมวลผลที่ศูนย์กลางเป็นเก็บเป็นหลักฐาน ซึ่งในความเป็นจริงแล้วเป็นเรื่องที่ยากมากในการติดตั้งให้ครบและมีค่าใช้จ่ายสูงมาก แต่เราใช้เทคนิคทั้ง 4 ส่วนคือ Network Analysis , Network IDS/IPS , VA/VM และ Syslog เฉพาะเครื่องแม่ข่ายที่สำคัญ รวมถึงเทคนิคการ Correlation คือการจับเปรียบเทียบเหตุการณ์ให้โยงความสัมพันธ์จากพฤติกรรมการใช้งานและ ภัยคุกคามที่พบ นำมาเรียบเรียงเพื่อให้เข้าใจง่าย ตามแบบอย่าง Chain of Event นั้นคือห่วงโซ่ของเหตุการณ์ ที่พูดถึง ใคร (Who) , ทำอะไร (What) , ที่ไหน (Where) , เมื่อไหร่ (When) , อย่างไร (How/Why) ซึ่งถือว่าเทคนิคนี้จะช่วยลดปัญหาความซับซ้อนทางด้านเทคโนโลยีไปได้สูงมาก และเป็นสูตรลัดในการจัดหาอุปกรณ์ด้านระบบรักษาความมั่นคงปลอดภัยเพื่อใช้ เป็นตัวสอดส่องภัยคุกคามและเก็บบันทึกข้อมูลจราจร ที่เกิดขึ้นในองค์กรที่ยังขาดโครงสร้างพื้นฐานเป็นอย่างมาก

ใน ต้นปีที่ผ่านมาเราได้นำนวัตกรรมนี้ไปโชว์ที่งาน CeBIT ประเทศเยอรมัน จนได้รับความชื่นชมในส่วนผสมผสานเทคโนโลยีได้อย่างลงตัวและกระชับในด้าน ผลลัพธ์ที่ปรากฏ ที่เรียกว่า ระบบ Hybrid Log Recorder และนี้เป็นมิติใหม่การประยุกต์เทคโนโลยี SRAN จึงถือได้ว่าสร้างมาเพื่อค้นหาผู้กระทำความผิดทางอาชญากรรมคอมพิวเตอร์ได้ เรียบง่ายและสมดุลที่สุด "Simple is the Best"

ส่วนสำคัญประการหนึ่ง SRAN คือการขับเคลื่อนเศรษฐกิจของคนในชาติ จากที่ต้องสูญเสียเงินจำนวนมากในการลงทุนเทคโนโลยีจากข้ามชาติ เราก็ประหยัดงบประมาณในการลงทุนได้ เงินไม่ไหลออกนอกประเทศ อีกทั้งเป็นการสร้างงานสร้างคน ให้มีความรู้และรายได้หมุนเวียนจากบริษัทหนึ่ง(ตัวแทนขายสินค้า) ไปสู่ที่หนึ่ง(ลูกค้า) เป็นเกิดการสร้างงานคือได้ขายสินค้า ค่าติดตั้งอุปกรณ์ ค่าอบรมบุคคลากร จึงเป็นการหมุนเวียนเงินในประเทศและกระตุ้นเศรษฐกิจได้อีกทางหนึ่งถึงแม้จะ ไม่ใหญ่ เม็ดเงินไม่มหาศาล แต่ก็เป็นจุดเล็ก และสำคัญที่ทำให้ชาติเราหยั่งยืนได้ หากนำ Model แนวคิด SRAN ไปใช้ประกอบธุรกิจจะเป็นการสร้างสรรค์ผลงานซอฟต์แวร์ไทย มีแบนด์ของคนไทยในด้าน IT Security นี้ขึ้นมาเราพร้อมเป็นแม่แบบต้นแบบให้ศึกษา และพัฒนาเพื่อนำส่งออกเป็นสินค้าจากประเทศไทยเพื่อขายในต่างประเทศได้อีกทาง หนึ่ง

หากกล้องวงจรปิด (CCTV) คืออุปกรณ์ที่คอยเก็บบันทึกข้อมูลทางกายภาพ ที่จำเป็นต้องติดทุกสถานที่ ที่มีการเฝ้าระวัง

SRAN ก็คือ กล้องวงจรปิด (CCTV) ทางด้านไอซีที ที่ต้องติดทุกสถานที่ ที่มีการใช้ระบบสารสนเทศ เพื่อเฝ้าระวังภัยและเก็บบันทึกเหตุการณ์ที่มีประโยชน์ต่อการสืบสวนสอบสวนหา ผู้กระทำความผิด เพราะหากมีการใช้งานระบบไอทีก็ย่อมมีภัยคุกคามที่อาจจะเกิดขึ้นได้ทุกเมื่อ ดังนั้นเราควรเฝ้าระวังภัยและพร้อมเก็บบันทึกข้อมูลเพื่ออันเป็นประโยชน์ต่อ เจ้าหน้าที่พนักงาน

อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/167 "SRAN ช่วยลดปัญหาโลกร้อนได้"

ใบรับรองคุณภาพอุปกรณ์ SRAN http://www.sran.net/archives/165

คดีแรก พ.ร.บ คอมพิวเตอร์ฯ ที่เป็นทางการนำ Log filesจาก SRAN ในการจับคดีอาชญากรรมข้ามชาติ http://www.sran.net/archives/161

SRAN เป็นมากกว่าอุปกรณ์เก็บ Log http://www.sran.net/archives/137

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Wednesday, July 23

Zombie ผีดิบซอฟต์แวร์

Topic นี้อาจดูเหมือนหนังผีสยองขวัญ แต่ที่กล่าวถึงนี้ที่เรียกว่า Zombie คือ ซอฟต์แวร์ผีดิบที่ฝั่งในเครื่องคอมพิวเตอร์เราเราท่านๆ โดยไม่รู้ตัว ซึ่งนับวันยิ่งมี Zombie มากขึ้นเรื่อยๆ ตามอัตราการเจริญเติบโตของเทคโนโลยีและอินเตอร์เน็ตความเร็วสูง ในประเทศที่พัฒนาแล้วที่ผมได้รับทราบข่าวถึงขั้นต้องจัดวัน Clean Day เพื่อล้าง Zombie จากเครื่องคอมพิวเตอร์ของผู้ใช้งานทั่วไปเลยทีเดียวนะครับ
ซอฟต์แวร์ผีดิบที่ฝั่งในเครื่องของเรา นั้นเป็นอย่างไรนั้นจะอธิบายดังนี้ครับ Zombie มักเป็นซอฟต์แวร์ที่เขียนฝั่งเพื่อใช้เป็นเครื่องมือในการโจมตีระบบ หรือเป็นการส่งข้อมูลอันไม่พึ่งประสงค์และทำงานแทนผู้บังคับเครื่องนี้ไว้อาจกล่าวได้ว่าเป็นเครื่องทาส ที่พร้อมจะทำอะไรก็ได้เมื่อมีคำสั่ง
ซอฟต์แวร์ที่ติดตั้งไปในตัว Zombie ประกอบด้วย
- เครื่องมือโจมตีระบบ สามารถส่ง DoS (Denial of Services) , Remote Hacking โดยใช้ Robot ในการยิงค่า Exploit เพื่อยึดเครื่องคอมพิวเตอร์
- เครื่องมือดักจับข้อมูล เช่น Keylogger ซึ่งในบ้านเราเป็นข่าวอยู่บ่อยๆ สำหรับเรื่อง Keylogger
- เครื่องมือส่งข้อมูลไม่พึ่งประสงค์ เช่น ส่ง Spam mail ส่ง virus / worm ที่แนบมากับ files ผ่านการเชื่อมต่ออินเตอร์เน็ตใน Application Protocol ต่างๆ เช่น Mail , Chat , P2P เป็นต้น
ซึ่งหากมี Zombie หลายๆตัวรวมตัวกัน เพื่อทำการอย่างใดอย่างหนึ่งเราจะเรียกว่า "Botnet"

ในขณะนี้เท่าที่ติดตั้งและสังเกตการผ่านอุปกรณ์ SRAN ใน Site ที่ทำการทดสอบระบบพบว่ามีเครื่องคอมพิวเตอร์ในเมืองไทย มีการติด Zombie จำนวนมาก
จึงขอนำเสนอวิธีสังเกตการติด Zombie จากอุปกรณ์ SRAN Security Center เพื่อให้เห็นหน้าตาของภัยคุกคามนี้

และเป็นหนึ่งตัวอย่างที่อุปกรณ์ SRAN Security Center สามารถวิเคราะห์และจับเหตุการณ์เครื่องคอมพิวเตอร์ที่เป็นซอฟต์แวร์ผีดิบนี้ ได้
เหตุการณ์นี้เป็นเหตุการณ์จริง ที่พบในการทดสอบ SRAN Security Center ในสถานที่หนึ่ง
เมื่อทำการเฝ้าระวังภัยคุกคามผ่านหน้าจอควบคุมอุปกรณ์ SRAN พบว่า

รูปที่ 1 ระบบเครือข่ายนี้มีความเสี่ยงภัยคุกคามอยู่ระดับกลาง และมีขนาดการใช้งาน Throughput โดยรวมอยู่ประมาณ 48 Mbps ซึ่งจัดได้ว่าเป็นเครือข่ายขนาดใหญ่
เมื่อเราพิจารณาเหตุการณ์ทั่วไป ทั้งการใช้งานปกติและการใช้งานที่มีความเสี่ยง่พบว่า


รูปที่ 2 มีการ ARP spoof ค่า MAC Address มีการเปิดเว็บใช้งานเว็บผ่าน Proxy Caching พบลักษณะการใช้งานตรงกับลักษณะ P2P ซอฟต์แวร์ ซึ่งในที่อาจเป็นการเล่นเกมส์ผ่านอินเตอร์เน็ตก็ได้ มีลักษณะการใช้งานอีเมลล์ และสำคัญคือพบความผิดปกติที่อาจเป็น Zombie
ลักษณะเหตุการณ์ที่อาจเป็น Zombie คือ พบ Trojan Win32 Agent.ALT C&C Checkin Connection in Progress และ Virus Zlob User Agent ที่พยายาม Update ข้อมูลอยู่

เมื่อทำการวิเคราะห์เพื่อดูลักษณะ Zombie Trojan Win32 Agent.ALT C&C Checkin Connection in Progress
พบว่า

รูปที่ 3 Trojan ตัวนี้ถูก Remote จากอินเตอร์เน็ตเพื่อเข้าสู่เครื่อง IP ภายในองค์กรผ่าน Web Proxy Caching ซึ่งพบว่ามี 3 IP ภายในด้วยกันที่เป็น Zombie อยู่ เริ่มต้นช่วงเวลา 01:47 จนถึงช่วงเวลา 03:47 เหมือนเป็นสคิปอัตโนมัติเพื่อส่งค่าเข้าควบคุมเครื่องดังกล่าว

เมื่อวิเคราะห์ดู Virus Zlob User Agent ที่ติดในเครื่องคอมพิวเตอร์ภายในองค์กร พบว่า

รูปที่ 4 เป็นการส่งค่าออกไปนอกองค์กร ไปทำการ GET File ชื่อ db.zip ผ่าน Web ชื่อ onsafepro2008

และเมื่อดูประวัติ IP ภายในที่ติด Zombie พบว่า


ีรูปที่ 5 พบพฤติกรรมการใช้งาน IP ภายในดังกล่าวมีเหตการณ์ทั้งหมด 6144 ครั้ง ประกอบด้วย การเปิดเว็บทั้งผ่าน Web Caching และเปิดเว็บโดยตรงกว่า 5 พันครั้งตั้งแต่ช่วงเวลาตี 3 จนถึง 6 โมงเช้า
และติด Virus Zlob User agent ซึ่งอาจเป็น Zombie จำนวน 2 ครั้งในช่วงเวลา 05:23

เมื่อทำการศึกษาซอฟต์แวร์ผีดิบตัวนี้พบว่ามีการฝั่งค่าในระบบปฏิบัติการเครื่องทำให้ยากแก่การตรวจจับและการแก้ไข

Memory Modifications
  • There were new processes created in the system:
Process NameProcess FilenameMain Module Size
eaqb.exe%Temp%\ac8zt2\eaqb.exe167,936 bytes
neltabxw.exe%Temp%\ac8zt2\neltabxw.exe98,304 bytes
eaqb.exe%Windir%\eaqb.exe167,936 bytes
lprn32.exe%Temp%\lprn32.exe106,496 bytes
neltabxw.exe%Windir%\neltabxw.exe98,304 bytes
media.php%Temp%\media.php196,608 bytes
226[1].exe%Temp%\226[1].exe106,496 bytes
  • The following modules were loaded into the address space of other process(es):
Module NameModule FilenameAddress Space Details
wpvmqosg.dll%Windir%\wpvmqosg.dllProcess name: explorer.exe
Process filename: %Windir%\explorer.exe
Address space: 0x17B0000 - 0x180C000
xvorfwbd.dll%Windir%\xvorfwbd.dllProcess name: explorer.exe
Process filename: %Windir%\explorer.exe
Address space: 0x1950000 - 0x1991000


รายละเอียดสามารถอ่านเพิ่มเติมได้ที่ http://www.threatexpert.com/report.aspx?uid=2fdf0f89-d264-461c-b579-14714be6621f

นนทวรรธนะ สาระมาน
Nontawattana Saraman