Friday, March 28

iPhone Hacking

เสริมสนุก
คลิปวีดิโอ เกี่ยวกับการ Hack iPhone


ตัวช่วยความสนุก

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Saturday, March 22

ดู SRAN ผ่าน iPhone

ชายหาดที่เงียบสงบ "ได้ยินเสียงคลื่นกระทบฝั่ง ประกายแดดกระทบผิวน้ำทะเลเป็นระยิบระยับ หาดทรายขาวเม็ดละเอียดดูขาวสดใส กลุ่มก้อนเมฆก็สีขาว ตัดกับขอบฟ้าสีคราม เหนือท้องน้ำทะเล สาวน้อยในชุดบีกีนี่ก็ขาว โอ้ ชั่งมีความสุขแล้ว มนุษย์โลก" พัฒนึกในใจ ในวันพักผ่อนที่พัฒใช้สิทธิตนเอง ลาพักเหนื่อยในสถานที่ห่างไกล ผู้คนวุ่นวาย ไร้ความแออัดของยานพหนะ นายพัฒนั่งริมชายหาด บนเก้าอี้ขาว(อีก) และในมือที่ถืออยู่นั้นคือ iPhone พัฒฟังเพลงจาก iPhone โดยเเลือกเปิดเพลงที่เหมาะกับวันนี้ ชื่อเพลงว่า วันหนึ่งวันนั้น ของสุรสีห์ อิทธิกุล ในชุดกัลปาวสาน เป็นเพลงเก่าที่พึ่งหาพบกับเพื่อนนักสะสมเพลง นอกจากฟังเพลงแล้วซาบซึ้งกับบรรยายกาศชายทะเลอันแสนสุขแล้ว แต่ใจของพัฒก็ยังไม่ยุติความกังวล อาจเป็นเพราะมีจิตสำนึกในหน้าที่และมีความรับผิดชอบในสิ่งที่ตนเองได้รับมอบหมายงานมา นายพัฒจึงนั่งคิดถึงงานที่บริษัท เนื่องจากตนเองเป็นผู้ดูแลระบบเครือข่ายนี้เอง เป็นเรื่องที่ท้าทาย ว่าใครกันนะ ที่ทำให้บริษัทต้องถูกกล่าวหาว่าเป็นผูู้้โจมตีเว็บไซด์เว็บหนึ่ง หรือว่าจะเป็นเรื่องที่จัดฉากขึ้นจากฝีมือใครคนใดคนหนึ่งที่ไม่พึ่งประสงค์ดี
จะต้องทำอย่างไรอย่างหนึ่งเพื่อหาสาเหตุปัญหาเรื่องนี้ให้ได้
จึงทำการเปิด iPhone เพื่อที่จะเชื่อมต่ออินเตอร์เน็ต ที่เหลือแบตเตอรี่ไม่มาก ทำการค้นหาสัญญาณ Wireless LAN ไม่ช้าก็พบและทำการเกาะสัญญาณได้ พร้อมอุทานว่า "โชคดีแล้วเรา" พัฒไม่รอช้า ทำงานพร้อมเสียงเพลงที่ยังคงบรรเลงอยู่
ใกล้มือที่สุด คือ iPhone คลิกปุ่มเพื่อทำการ Slide unlock และคลิกเกาะ Wi-fi ที่ทางรีสอร์ทจัดให้
เมื่อทำการติดต่อระบบ Wi-fi ได้ก็ลองเปิดบราวเซอร์ดูว่ามีการเชื่อมต่ออินเตอร์เน็ตได้หรือไม่ เมื่อได้แล้วพัฒไม่รอช้า
จึงเข้าสู่ Web Application บนอุปกรณ์ SRAN ที่ทาง Firewall บริษัท XXX ได้ Forward port 443 ให้แล้ว

ทำการ Login และใส่ User / Password ในระดับนักวิเคราะห์ระบบ (Analysis) หรือระดับ Member บนอุปกรณ์ SRAN SR-L

เข้าสู่หน้าจอวิเคราะห์ผล พัฒคลิกหน้า Summary ของ SRAN เพื่อดูภาพรวมข้อมูลจราจรของบริษัท XXX จากนั้นจึงคลิกเพื่อดูย้อนหลังลักษณะการใช้งาน

ทำการคลิกเข้าสู่ Menu -->LAW และคลิกดูผลการทำ Data Archive เพื่อดูถึงการบันทึกข้อมูลจราจรภายในองค์กร

เมื่อคลิกผลการบันทึกข้อมูลบนอุปกรณ์ SRAN ผ่านอินเตอร์เน็ทบนเครื่อง iPhone พบสิ่งผิดปกติคือ
มีลักษณะการบุกรุกที่เป็น DDoS เหมือนชนิดเครื่องภายในบริษัท XXX ติดเป็น Zombie อยู่ ซึ่งพัฒผ่านการอบรมจากทีมงาน SRAN ว่า Zombie คือเครื่องที่ติดโปรแกรมที่ไม่พึ่งประสงค์ (Malware) และ Zombie หลายตัว รวมเรียกว่า Botnet นั้นเอง แต่นี้เป็นเพียงขอสังเกตที่พัฒได้วินิฉัยเบื้องต้นเท่านั้น
(อ่านเพิ่มเติมได้ที่ กองทัพ Botnet คืออะไร)


เมื่อพัฒวิเคราะห์ถึงค่า Playload ของลักษณะการโจมตีนี้พบว่า เป็นการติดต่อ Ping Pong ซึ่งคล้ายๆกับ โปรแกรม Eggdrop หรือ TNT ที่เป็น Botnet ใน IRC และคงมีคนสั่งการผ่านทางอินเตอร์เน็ทให้ bot นี้ลักษณะนี้ ที่อยู่ในบริษัท XXX ยิงไปที่อื่นอยู่ พัฒเคยศึกษามาในบทความ Darkside of the Internet ของทีมงาน SRAN เขียนขึ้นเมื่อปี 2005 จากนั้นพัฒได้ดูประวัติ และพฤติกรรมการใช้งานของ IP ที่น่าสงสัยนี้ พบว่านอกจากเป็น Botnet แล้วยังพยายามยิง DoS ผ่านช่องโหว่ Web Dev อีกด้วยและพัฒได้จดบันทึกค่าที่ตนเองพบ ตามหลักการเก็บข้อมูล Chain of Event ทันที โดยพิจารณาจาก 5 คำถามคือ Who,What,Where,When,Why นั้นเอง


ตอนนี้ พัฒทราบสาเหตุเบื้องต้นแล้ว และรู้ทั้ง IP Source และ IP Destination จากที่ SRAN ได้บันทึกไว้แล้ว
สามารถอ่านตอนเชื่อมจากนี้ได้ที่ กรณีศึกษา Data Hashing ตอนที่ 2

ทำการปิดการเชื่อมต่อ SRAN ในหน้าจอบราวเซอร์ขึ้นข้อความดังรูป
พัฒจึงใช้เวลาไม่นานในการวิเคราะห์ผล เพราะอุปกรณ์ SRAN สามารถวิเคราะห์แทนได้ระดับหนึ่งแล้ว สิ่งที่ต้องทำต่อคือส่งข้อมูลที่ได้มาเพื่อชี้แจงกับผู้บริหารบริษัท XXX ต่อไป

เพลงวันหนึ่งวัน ก็จบลงพร้อมกับการวิเคราะห์เครือข่่ายโดยใช้ SRAN SR-L ผ่านมือถือ iPhone

บรรยากาศดีๆ ชายทะเล ในหน้าร้อน กับเพื่อนคู่ใจ iPhone ก็สำราญอารมณ์ได้ จริงไหม



นนทวรรธนะ สาระมาน
Nontawattana Saraman

Friday, March 21

การสร้างเครือข่ายตื่นรู้ ตอนที่ 2


ก่อนหน้านี้ผมได้เขียนบทความการสร้างเครือข่ายตื่นรู้ ในตอนแรก การสร้างเครือข่ายตื่นรู้ (Energetic Network) ตอนที่ 1
และในบางส่วน ในนิตยสารไมโครคอมพิวเตอร์ ของสำนักพิมพ์ Se-ed ไปบางส่วนแล้ว
และเพื่อเป็นการสร้างความเข้าใจในเนื้อหามากขึ้้น ผมจึงอยากให้ศึกษาบทความผมเพิ่มเติ่มได้ เป็นบทเสริม ได้แก่ Log คืออะไร และ เทคนิคการเก็บ Log และอยากให้อ่านกรณีศึกษา การทำ Data Hashing ตอนที่ 1 และ ตอนที่ 2 จึงจะสามารถอ่านบทความนี้อย่างเข้าใจมากขึ้น

ต่อจากตอนที่แล้ว ..
4. องค์ประกอบ เครือข่ายตื่นรู้ (Energetic Network)

4.1 การจัดเก็บคลังข้อมูล (Inventory)
4.2 การระบุตัวตน (Identity)
4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)
4.4 การควบคุม (Control)
4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance)
สิ่งที่เราต้องทำ
4.1 การจัดเก็บคลังข้อมูล (Inventory) ประกอบด้วย
การจัดเก็บคลังข้อมูลบุคคลากร โครงสร้างองค์กร หรือ โครงสร้างบริษัท แผนก พนักงาน
การจัดเก็บคลังข้อมูลแผนผังเครือข่ายคอมพิวเตอร์ ได้แก่ Network Diagram , IP อุปกรณ์ Router , Switch , Firewall , NIDS/IPS เป็นต้น
การจัดเก็บคลังข้อมูลเกี่ยวกับคอมพิวเตอร์ ได้แก่ ระบบปฏิบัติการ (Operating System) , IP , MAC Address , ชื่อเครื่องคอมพิวเตอร์ , ชื่อผู้ใช้งานเครื่องคอมพิวเตอร์ และ ฮาร์ดแวร์ต่างๆ ที่อยู่บนเครื่องคอมพิวเตอร์ในองค์กร
การจัดเก็บคลังข้อมูลซอฟต์แวร์ และแอฟิเคชั่น ได้แก่ ซอฟต์แวร์ต่างๆ ที่ลงบนเครื่องคอมพิวเตอร์ ในองค์กร

4.2 การระบุตัวตน (Identity) มี 4 องค์ประกอบดังนี้
- การระบุตัวตนในการเข้าระบบ (Authentication)
- การระบุสิทธิในการใช้งาน (Authorization)
- การระบุตัวตนผู้ใช้งาน (Accounting)
- การระบุข้อมูลหลักฐานผู้ใช้งาน (Auditing)

4.2.1 การระบุตัวตนในการเข้าระบบ (Authentication) การระบุตัวตนนี้มีด้วยกัน 3 ทางเลือกได้แก่
สิ่งที่คุณมี (Some thing you have) ได้แก่ สมาทการ์ด บัตรพนักงาน หรือ Token เป็นต้น
สิ่งที่คุณรู้ (Some thing you know) ได้แก่ รหัสผ่าน
สิ่งที่คุณเป็น (Some thing you are) ได้แก่ อวัยวะในร่างกาย ม่านตา ลายนิ้วมือ เป็นต้น
เพื่อให้การระบุตัวตนในการเข้าระบบ ได้อย่างปลอดภัยและยืนยันตัวตนได้ค่อนข้างถูกต้อง ควรทำเป็นแบบ Two Factor Authentication คือมี 2 ใน 3 ทางเลือกสำหรับการระบุตัวตน ส่วนใหญ่ใช้เป็น สิ่งที่คุณมี และ สิ่งที่คุณรู้ เป็น 2 Authentication factor เพื่อป้องกันปัญหาการระบุตัวตนในองค์กร หากมีระบบ DHCP ที่สามารถดู Log ได้ หรือทำ NAC (Network Access Control) หรือสร้าง LDAP บน Domain Controller ก็ไม่สามารถระบุตัวตนที่แท้จริงได้ หากไม่ทำ 2 Authentication Factor วิธีนี้จะเหมาะสมและปลอดภัย
4.2.2 การระบุสิทธิในการใช้งาน (Authorization) เป็นการระบุถึงสิทธิ ระดับการใช้งานไม่ว่าเป็นการใช้งานบนระบบเครือข่าย (Network) การใช้งานตามแอฟเคชั่นคอมพิวเตอร์ การมีสิทธิใช้คอมพิวเตอร์ในองค์กร การกำหนดระดับ Bandwidth การใช้งาน ในแต่ละกลุ่ม แต่ละรายบุคคลเป็นต้น
4.2.3 การระบุตัวตนผู้ใช้งาน (Accounting) เป็นการระบุถึงรายชื่อผู้มีสิทธิในการใช้งาน
4.2.4 การระบุข้อมูลหลักฐานผู้ใช้งาน (Auditing) เป็นการบอกประวัติการใช้งาน ลักษณะการใช้งานคอมพิวเตอร์บนระบบเครือข่ายคอมพิวเตอร์

4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)
เป็นการเฝ้าสังเกตการพฤติกรรมการใช้งานบนระบบเครือข่าย แบ่งเป็น 3 องค์ประกอบได้ดังนี้
- การเฝ้าระวังข้อมูลที่ไม่ปกติ (Threat Data Traffic)
- การเฝ้าระวังข้อมูลที่ปกติ (Normal Data Traffic)
- การเก็บบันทึกข้อมูล (Recorder)
4.3.1 การเฝ้าระวังข้อมูลที่ไม่ปกติ (Threat Data Traffic) ซึ่งเป็นข้อมูลไม่พึ่งประสงค์ ได้แก่ ข้อมูลที่มีการติดเชื้อไวรัสคอมพิวเตอร์ ข้อมูลที่มีการระบาดของไวรัสคอมพิวเตอร์ หรือที่เรียกว่า Worm ข้อมูลที่มีผลกระทบกับธุรกิจ และการก่อการร้าย (Hacking) การโจรกรรมข้อมูลภายในองค์กร และภายนอกองค์กร การทำลายข้อมูล การดักข้อมูล หรือการแก้ไขข้อมูลให้มีความคลาดเคลื่อนจากความเป็นจริง ซึ่งทั้งหมดนี้ต้องมีระบบวิเคราะห์ภัยคุกคาม และออกรายงานผลให้รับทราบ เพื่อทำแผนรองรับเพื่อแก้ไขสถานะการณ์ฉุกเฉินดังกล่าว

4.3.2 การเฝ้าระวังการใช้อย่างปกติ (Normal Data Traffic) การใช้งานปกติสามารถแบ่งประเภทได้ดังนี้
4.3.2.1 การตรวจสภาวะการใช้งานอุปกรณ์ เครื่องแม่ข่าย แล้วมีการแสดงผลลัพธ์ที่บ่งบอกถึง ระดับการใช้ข้อมูลตาม Bandwidth , Protocol (HTTP , SMTP ,POP3 ,IMAP ,P2P ,IM เป็นอย่างน้อย)
การแจ้งผลเตือนระดับการใช้งาน เช่น แจ้งค่าตาม Flow Network / Collector จาก Protocol ICMP , SNMP ได้แก่ ค่า CPU , RAM และ Response Time
4.3.2.2 การใช้งานตาม Application Protocol ที่สำคัญ ได้แก่
การใช้งานอินเตอร์เน็ทโดยการเปิดเว็บบราวเซอร์ ผ่าน Protocol HTTP ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งานงาน รูปแบบการติดต่อว่าเป็นแบบ GET หรือ POST และ Path ที่เปิดเว็บนั้น
การใช้งานอินเตอร์เน็ทโดยการใช้บริการอีเมลล์ ผ่าน Protocol SMTP , POP3 , IMAP ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งาน รูปแบบการติดต่อว่าเป็นแบบ รับ หรือ ส่ง อีเมลล์ ชื่อหัวเรื่องอีเมลล์ ชื่อเอกสารไฟล์ที่แนบมากับอีเมลล์
การใช้งานอินเตอร์เน็ทโดยใช้บริการสนทนาออนไลท์ ผ่าน Protocol IM ชนิดต่างๆ ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งาน รูปแบบการติดต่อ จากโปรแกรมชนิดใด เช่น Yahoo , MSN , ICQ , IRC เป็นต้น
การใช้งานอินเตอร์เน็ทโดยใช้บริการอื่นๆ ได้แก่ ลักษณะการใช้ VoIP และ P2P ต้องมีระบบเฝ้าระวังและวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain ระบุวันที่ เวลาที่ใช้ รูปแบบการติดต่อ จากโปรแกรมชนิดใด เช่น SkyP , P2P Program เป็นต้น

4.3.3 การเก็บบันทึกข้อมูล (Recorder) เพื่อเก็บบันทึกข้อมูลทั้งที่เป็นข้อมูลจราจรที่ปกติ (Normal Data Traffic) และ ข้อมูลจราจรที่ไม่ปกติ (Threat Data Traffic) ที่เป็นรูปของ Raw Data หรือลักษณะที่สามารถดูข้อมูลที่เก็บบันทึกได้ ผ่านทาง Data Base เทคโนโลยี หรือจะเป็น Text files ก็ได้ ในการเก็บบันทึกควรมีการแสดงค่ายืนยันว่ามีความถูกต้อง และแก้ไขไม่ได้นั้น มีกระบวนการเก็บผ่านนโยบายขององค์กร (Security Policy) วิธีปฏิบัติของผู้ปฏิบัติงาน (Operation Security) และมีค่ายืนยันความไม่เปลี่ยนเปลี่ยน (Check sum) เพื่อยืนยันว่า file นั้นไม่มีการแก้ไขหรือเปลี่ยนแปลงได้ (Integrity) ต่อไป

4.4 การควบคุมข้อมูล (Control Data Traffic) ประกอบด้วย 3 ส่วนดังนี้
4.4.1 การควบคุมป้องกันภัยคุกคามที่เกิดขึ้น (Threat Protection) เพื่อป้องกันภัยคุกคาม ต่างๆ ได้แก่ ไวรัสคอมพิวเตอร์ การโจมตีระบบ การเข้าถึงข้อมูลที่ไม่เหมาะสม การโจรกรรมข้อมูล สามารถมองการป้องกันนี้ได้เป็น 2 ส่วน คือ
4.4.1.1 การป้องกันระบบเครื่องคอมพิวเตอร์ (Host Base Protection) เป็นการสร้างระบบป้องกันภายในเครื่องเพื่อ ป้องกันไวรัส คอมพิวเตอร์ (Host Base Anti virus) และภัยคุกคามอื่นๆ (Anti Malware) สร้างความปลอดภัยให้กับเครื่องคอมพิวเตอร์ (Computer Hardening) ไม่ว่าเป็น เครื่องแม่ข่าย หรือ เครื่องลูกข่าย มีระบบตรวจสอบ Patch และการอัพเดทระบบปฏิบัติการเพื่อมิให้เกิดช่องโหว่ ซึ่งอาจมีผลต่อการเข้าถึงระบบได้ในอนาคต
4.4.1.2 การป้องกันระบบเครือข่ายคอมพิวเตอร์ (Network Base Protection) เป็นการสร้างระบบป้องกันภัยคุกคามทางเครือข่ายคอมพิวเตอร์ เทคโนโลยีป้องกันภัยในส่วนได้แก่ ระบบ Firewall , NIPS (Network Intrusion Prevention System) หรือ Proxy Filtering เป็นต้น
4.4.2 การควบคุมเพื่อจำกัดขอบเขตการใช้งานข้อมูลจราจร (Limitation Data Traffic) เพื่อเป็นการกำหนดข้อมูลจราจร ทั้งส่วนระบบเครือข่ายคอมพิวเตอร์ (Network Base) และ ระบบภายในเครื่องคอมพิวเตอร์ (Host Base) ในส่วนการจำกัดขอบเขตการใช้งานข้อมูลจราจรฝั่งระบบเครือข่ายคอมพิวเตอร์ จะพิจราณาการใช้งาน Bandwidth , และ Application ที่ได้มีการใช้งานอยู่เป็นประจำ ส่วนในฝั่ง Host Base หรือเครื่องคอมพิวเตอร์ ของผู้ใช้งานจะมีการจำกัดขอบเขตการใช้งานตามนโยบายความมั่นคงปลอดภัย เพื่อใช้งานตามความเหมาะสมตามบทบาทและหน้าที่ของผู้ปฏิบัติงาน
4.4.3 การควบคุมเพื่อกักสิ่งผิดปกติ (Jail Data) ไม่ให้เกิดความเสียหายแก่ระบบเครือข่ายและการปฏิบัติงานในปัจจุบัน
สำหรับการกักขังภัยคุกคาม สามารถแบ่งออกได้ ดังนี้
4.4.3.1 การกักข้อมูลที่ผิดปกติ หรือ ไม่เหมาะสม ผ่านทางระบบเครือข่ายคอมพิวเตอร์ โดยจะทำการควบคุมผ่าน Security Gateway เส้นทางลำเลียงข้อมูลในส่วนหลักขององค์กร ได้แก่ระบบ Firewall , NIPS หรือกำหนดผ่าน VLAN เพื่อแยกภัยคุกคามไม่เข้าสู่เส้นทางลำเลียงข้อมูลที่ปกติ
4.4.3.2 การกักข้อมูลที่ผิดปกติ หรือ ไม่เหมาะสม บนเครื่องคอมพิวเตอร์ กำหนดจากเทคโนโลยี Domain Controller และการกำหนดจาก NAC (Network Access Control) เพื่อแยกแยะเครื่องคอมพิวเตอร์ที่ผิดปกติ อยู่ในช่องทางที่ไม่สามารถแพร่เชื้อไวรัส หรือ ภัยคุกคามชนิดอื่นๆ ได้

4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance) แบ่งเป็น 2 ส่วนได้แก่
4.5.1 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐานสากล (Log Compliance) เกิดจากการรวบรวม ค่า syslog ที่เกิดขึ้นจากอุปกรณ์เครือข่าย เครื่องแม่ข่าย และระดับเครื่องลูกข่าย รวบรวมสู่ศูนย์กลาง หรือ จะใช้วิธี Flow Collector เพื่อตรวจจับข้อมูลจราจรที่ดูถึงลักษณะการใช้งานได้ บนระบบเครือข่าย และรับค่า Syslog ที่สำคัญมา เพื่อทำการแยกแยะข้อมูลและจับเปรียบเทียบข้อมูลหรือที่เรียกว่า Correlation Log เพื่อจัดหมวดหมู่มาตรฐาน 4 ประเภท ซึ่งผมจะได้ขอกล่าวต่อไปในตอนหน้า


นนทวรรธนะ สาระมาน
Nontawattana Saraman
SRAN Dev
21/03/2551

Tuesday, March 11

เทคนิคในการเก็บ Log


จากตอนที่แล้วผมได้เขียนถึงความหมายของ Log มาครั้งนี้ผมคงต้องขอขยายความเพิ่มเติมถึงเทคนิคในการเก็บบันทึกข้อมูลจราจร (Data Traffic) ที่เกิดขึ้นแล้ว ซึ่งเรียกว่า Log ก่อนที่ผมจะนำทุกท่านไปสู่แนวคิดการสร้างเครือข่ายตื่นรู้ (Energetic Network) ตอนที่ 2 ผมอยากจะเขียนถึงเทคนิคในการเก็บบันทึกข้อมูลจราจร เสียก่อน เนื่องจากหลายครั้งที่ได้ไปบรรยาย จากทาง SIPA บ้างหรือ GITS บ้าง มักจะถามว่า เก็บบันทึกข้อมูล (Log) แบบไหนพอเพียงแล้ว แบบไหนไม่ยังถือว่าไม่พอ
ก่อนจะรู้ได้ เก็บแบบไหน พอ ไม่พอ นั้น อยากให้ทราบว่า สิ่งที่ว่าพอ และเหมาะสม ไม่เพียงแต่เฉพาะทำให้ถูกต้องตาม พ.ร.บ ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ เพียงอย่างเดียว แต่ก็มีประโยชน์สำหรับนายจ้าง ของบริษัทนั้นๆ ซึ่งทำให้ทราบถึงพฤติกรรมการใช้งานอินเตอร์เน็ทของลูกจ้างได้อีกด้วย และที่สำคัญหากเกิดกรณีที่ต้องถึงมือเจ้าหน้าที่พนักงาน หรือเจ้าหน้าที่ตำรวจ ก็สะดวกในการสืบหาข้อมูล สืบหาหลักฐาน และสามารถหาผู้กระทำความผิดมาลงโทษได้อย่างมีประสิทธิภาพ ผมจึงถือโอกาสนี้แสดงความคิดเห็นในเรื่องเทคนิตการเก็บบันทึกข้อมูลจราจร

ก่อนอื่นขอทำความเข้าใจ ความหมาย Log อีกครั้ง Log คือ ข้อมูลที่เกิดขึ้นแล้ว และมีส่งผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
หากบอกว่าไม่มีการเปลี่ยนแปลงเลย นั้น คงไม่ใช่ เมื่อพิจารณาให้ดี จะพบว่าทุกอย่างมีการเปลี่ยนแปลง ใครยังไม่อ่านก็ลองกลับไปดูที่ บทความ Log คืออะไร

สำหรับผู้ดูแลระบบแล้ว รู้ว่าภัยคุกคาม การหมิ่นประมาท การก่อกวน การทําาลาย ข้อมูลที่ไม่พึ่งประสงค์
มักเกิดจากการใช้งาน อินเตอร์เน็ท หนีไม่พ้นจาก Application Protocol
ดังนี้ Web , Mail , Chat , Upload / Download (FTP , P2P) , VoIP ดังนั้นการเก็บบันทึกข้อมูลจราจร นั้นควรสนใจ พิจารณา Application Protocol เหล่านี้ให้มาก
หลักการพิจารณา ให้พิจารณาตามห่วงโซ่ของเหตุการณ์ (Chain of Event)
Who : ใคร
What : ทําาอะไร
When : เมื่อไหร่
Where : ที่ไหน
Why : อย่างไร

จากนั้นแล้วเพื่อเป็นการป้องกันหลักฐานนั้นไม่ให้เกิดการเปลี่ยนแปลง เราควรเก็บบันทึกหลักฐาน (Chain of Custody) คือ เก็บบันทึกข้อมูลจาก Log นั้น ซึ่งจะมีการเก็บบันทึกได้ดังนี้
- การบันทึกข้อมูลจราจร จากพฤติกรรมการใช้งาน (Log Traffic) คือ การใช้งาน Bandwidth ทั้งภายในและภายนอกที่มีการติดต่อสื่อสาร ลักษณะการการไหลเวียนข้อมูลตาม Application Protocol ทั้งภายในและภายนอกที่มีการติดต่อสื่อสาร
- การบันทึกการระบุตัวตน (Log Identity) คือ เก็บข้อมูลรายชื่อผู้มีสิทธิใช้ระบบ เวลาการใช้งานเมื่อเข้าถึงระบบ การมีสิทธิในการใช้ระบบนั้นๆ
- การบันทึกเหตุการณ์ (Log Event) คือ ลักษณะ Payload ที่ต้องใช้ความสามารถของเทคโนโลยีระดับ Deep Packet Inspection เพื่อมาพิจาราณาดูเนื้อหาภายในการติดต่อสื่อสารนั้น ว่าเป็นข้อมูลที่ปกติ (Normal Event) หรือ ข้อมูลที่ไม่ปกติ (Threat Event) ซึ่งข้อมูลเหล่านี้หากไม่ปกติมักมีการแอบแฝงของภัยคุกคามต่างๆ เช่น ไวรัสคอมพิวเตอร์ อีเมลขยะ หรือ การบุกรุกระบบต่างๆ นานา

ผมได้เขียนตารางในการพิจารณา เพื่อใช้สำหรับ สืบสวนสอบสวนหาลักษณะเหตุการณ์จากการบันทึกข้อมูลจราจร ได้ดังตรารางนี้คือ

Application Protocol ที่สนใจในตรารางนี้คือ Web : HTTP / HTTPS , Mail : SMTP / POP3 / IMAP ,Chat : MSN / Yahoo / IRC / ICQ อื่นๆ

เทคนิคในการเก็บบันทึกข้อมูลจราจร จึงประกอบด้วยดังนี้


แบบที่ 1. Local Log คือเก็บบันทึกข้อมูลบนเครื่องแม่ข่าย (Server) เครื่องลูกข่าย (Client) นั่นๆเอง
ข้อดี : มีความละเอียดของข้อมูลสูง มีปัญหาเรื่องความเข้าใจผิดจากสิ่งที่พบ (False Positive) น้อยมาก
ข้อเสีย : ดูลําาบาก ใช้งานยาก ไม่รวมศูนย์ ข้อมูลที่ได้ไม่สามารถยืนยันว่าถูกต้อง เนื่องจากอาจจะมีการแก้ไข Log files ที่เกิดขึ้นได้

แบบที่ 2. Proxy Log คือเก็บโดยใช้เทคโนโลยี Proxy อาจทำเป็น Transparent (ติดตั้งแบบ Gateway mode) เพื่อเป็นตัวกลางในการติดต่อสื่อสาร
ข้อดี : ข้อมูลในการเก็บบันทึกมีความละเอียด ติดตั้งสะดวก ง่ายในการออกแบบ
ข้อเสีย : เก็บได้เฉพาะบาง Application Protocol หากทําาให้ครบ ก็ต้องใช้งบประมาณสูง
ใช้ Storage มาก , ข้อมูลที่ได้ไม่สามารถยืนยันว่าถูกต้อง* , มีความเสี่ยงในการติดตั้ง เนื่องจากต้องติดตั้งแบบ Gateway อาจส่งผลกระทบกับระบบเครือข่ายหากมีการรองรับ Bandwidth และ Concurrent Session ไม่พอ

แบบที่ 3. Remote Syslog หรือเรียกว่า Syslog Server และหากพัฒนากลายเป็นระบบ SIEM (Security Information Event Management) ก็ใช้หลักการณ์เดียวกัน
ข้อดี : ละเอียด หากติดตั้งครบถ้วน สะดวกในการประมวลผลค่าเหตุการณ์ได้ (Event Log)
จัดเปรียบเทียบตามมาตราฐานต่างๆได้ (Compliance)
ข้อเสีย : ติดตั้งลําาบาก เพราะต้องรับค่า syslog จากอุปกรณ์อื่นๆ มาที่ตัวเอง
ใช้ Storage มาก , หากเป็น SIEM มีค่าใช้จ่ายสูง เพราะคิดค่าส่ง syslog ตาม Devices
การออกแบบ ต้องใช้เวลานาน หากไม่สามารถรับ syslog จากเครื่องต่างๆ ได้ไม่ครบถ้วน จะเสียเวลาเปล่า และไม่ก่อประโยชน์

ผมมอง SIEM หรือ SIM เหมือน การติดตั้งระบบ SAP สมัยก่อน ดูเหมือนดีแต่สำหรับผู้ขาย SI (System Integrated) แล้ว อาจดูเหนื่อยเสียหน่อย เนื่องจากการออกแบบและติดตั้ง (Implementation) ต้องใช้เวลานาน และต้องใช้วิศวกร (Engineer) ที่มีความรู้สูง


แบบที่ 4. Authentication log หลายคนคิดว่าวิธีเพียงพอแล้ว แต่ในความเป็นจริงยังไม่พอ นั่นคือเป็นการเก็บบันทึกเฉพาะส่วนการ Login , การลงทะเบียนเพื่อใช้งานระบบ
ข้อดี : สะดวกในการใช้งาน , ไม่เปลือง Storage
ระบุตัวตนได้ ระดับหนึ่ง หากเป็น 2 factor authentication ก็จะดีมาก
ข้อเสีย : ไม่สามารถทราบถึงลักษณะการใช้งาน หรือ ค่า Event Payload ได้ ,
มีความเสี่ยงในการติดตั้ง เนื่องจากติดตั้ง หากเป็นชนิด In-line หรือ ชนิดต้องเป็น Identity Server ต้องรองรับเครือข่ายขนาดใหญ่ ที่ทุกเครื่องต้องทำการ Join ระบบนี้ก่อนเริ่มต้นทุกครั้งเพื่อจะเรียกใช้ Application Protocol ต่างๆ , ข้อมูลที่ได้ไม่สามารถยืนยันว่าถูกต้อง*

แบบที่ 5. Flow Collector Network ใช้หลักการณ์ Passive Monitoring เฝ้าระวังผ่านความสามารถอุปกรณ์เครือข่าย
ข้อดี : ติดตั้งสะดวก ไม่เกิดความเสี่ยงในการติดตั้ง สะดวกในการใช้งาน ราคาประหยัด
ไม่เปลือง Storage
ข้อเสีย : ข้อมูลที่ได้รับไม่ละเอียด , ข้อมูลที่ได้ไม่สามารถยืนยันว่าถูกต้อง*
หากต้องการทราบค่า Event Payload ต้องใช้เทคโนโลยี IDS (Intrusion Detection System) มาเสริม


* หากระบบใดได้มีการติดตั้งค่าตรวจสอบ Integrity / Checksum ของค่า Log จะทําาให้
ข้อมูลที่ได้รับยืนยันว่าถูกต้องได้ ไม่สามารถแก้ไขได้ ที่สำคัญหากเกิดเหตุการณ์ไม่คาดคิดแล้ว การนำ Log ที่ได้ไปพิจาราณาในชั้นศาล เพื่อดำเนินความทางกฏหมาย Log นั้นไม่ได้มีการทำ Integrity แล้วก็ไม่สามารถยืนยันได้ว่ามีความถูกต้อง เพราะอาจมีการแก้ไข Log ดังกล่าวก็ได้ ดังนั้นผู้ที่รับติดตั้งระบบ SIEM / SIM นี้ควรพิจารณาในส่วนนี้ด้วยครับ หากไม่ได้ปฏิบัติการลงทุนมากเกินความจำเป็นไปอาจสูญเปล่า เพราะศาลไม่รับฟ้องได้ครับ

ทั้งหมดที่กล่าวคงเห็นภาพมากขึ้นนะครับ
สำหรับผมแล้วเป็นเรื่องที่ท้าทายมาก สำหรับการออกแบบชิ้นงานหนึ่งที่ประยุกต์ ข้อดีและข้อเสีย จากรูปแบบทั้ง 5 ในการเก็บบันทึกข้อมูลจราจรนี้ มารวมเป็นหนึ่งเดียว เพื่อความสะดวก ในการใช้งานสำหรับหน่วยงานต่างๆ
ผมเสนอแนวทางการสร้าง Hybrid Log Recorder ครับ

จุดประสงค์ คือ
1. ลดปัญหา ความซับซ้อนในการติดตั้ง (Implement)
2. ลดปัญหาค่าใช้จ่าย (License) ที่ต้องใช้เทคโนโลยีจําานวนหนึ่ง เพือตอบโจทย์ Who , What , Where , When , Why ที่เกิดขึนจากการรับส่งข้อมูล้
3. ลดปัญหาการจัดเก็บบันทึกข้อมูลจราจร ที่ต้องใช้เนื้อจําานวนมาก (Storage)
4. ลดความเสี่ยงที่เกิดขึนจากการออกแบบ (Design) และการติดตั้ง้
5. เก็บบันทึกข้อมูลจราจรตาม หลักเกณฑ์ที่ประกาศจากกระทรวง ICT คือทําา
Centralized Log / Data Archive / Data Hashing

นับเป็นความภูมิใจ ที่เราได้นำเทคโนโลยี Hybrid Log นี้ไปเสนอที่ประเทศเยอรมันนี ในงานระดับโลก CeBIT อีกด้วยครับ http://www.sran.net/archives/207

การนำ Hybrid Log ไปใช้จะเป็นอย่างไรนั้น ผมได้เปิดเผยลงใน http://www.sran.net/archives/200 ไปบ้างแล้ว หากต้องการทราบรายละเอียดเชิงออกแบบ (Design) เชิญทีมงาน SRAN บรรยายได้โดยติดต่อที่บริษัท Global Technology Integrated 02-9823339 ext 11 จะมีผู้ประสานงานต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Tuesday, March 4

Log คืออะไร

เมื่อวันที่ 3 มีนาคม 2551 ผมได้รับเกียรติจากทาง สำนักบริการเทคโนโลยีสารสนเทศภาครัฐ (สบทร.) ให้ขึ้นบรรยาย เทคโนโลยีที่ใช้ในการเก็บบันทึกข้อมูลจราจร เพื่อให้สอดคล้องกับ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ 2550 ผมนำเสนอเทคโนโลยี Hybrid Log Recorder เนื่องจากการบรรยาย มีเวลาให้ผมได้บรรยายไม่มากนัก คือประมาณ 15-20 นาที ซึ่งขอบอกตรงๆ หากภาคเอกชนเชิญผมไปบรรยาย และให้เวลาเช่นนี้ ผมคงไม่รับ ผมอยากบรรยายสักครึ่งวันเป็นอย่างน้อย เนื่องจากการพูดผมติดเครื่องช้า นี้ก็เพราะภาครัฐที่เป็นส่วนสำคัญของประเทศ ผมจึงตัดสินใจมา ถึงแม้จะมีบางประเด็นที่ผมไม่สามารถอธิบายได้ในช่วงเวลาสั้นๆ ผมจึงนำมาลง blog เพื่อสร้างความเข้าใจเป็นตัวอักษรได้อ่านกัน ก่อนที่จะเรียนรู้ถึงกรรมวิธีการเก็บบันทึกข้อมูลจราจรอย่างไร นั้น ผมอยากให้ทำความเข้าใจ คำศัพท์ ที่เรียกว่า Log คือ อะไรเสียก่อน

จากการประกาศกฏกระทรวง เราจะพบ 3 ศัพท์ ที่ต้องสร้างความเข้าใจ นั้นคือ

คำว่า Data Traffic , คำว่า Data Archive และ คำว่า Data Hashing คืออะไร

Data Traffic คือข้อมูลจราจร ซึ่งข้อมูลจรารจรนี้เกิดขึ้น จากการสื่อสาร ที่มีฝั่งส่งข้อมูล และ ฝั่งรับข้อมูล ตามกลไกล ของ OSI 7 layer ซึ่งเป็นเส้นทางลำเลียงข้อมูล ผมมักจะกล่าวถึงรูปที่สร้างความเข้าใจง่ายได้ชัดขึ้นคือ หลักการที่ผมคิดขึ้นเองนั้นคือ 3 - in 3 - out

ซึ่งข้อมูลที่ไหลเวียนบนระบบเครือข่าย จะไม่สามารถดูย้อนหลังได้เนื่องจากเป็น Real - Time การดูย้อนหลังได้มีวิธีการเดียวคือ ดูจาก "Log"
ซึ่งในความหมายของ Log คืออะไรนั้น ผมให้คำนิยามว่า "ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน"

คุณเคยได้ยินคำกล่าวที่ว่า อากาศที่เราหายใจอยู่ ได้รับอิทธิพลจากแพนตอลใต้น้ำในมหาสมุทรแปซิฟิค และ ผีเสื้อกระพือปีกในประเทศจีน ก็อาจส่งผลให้เกิดพายุเฮอริเคนที่อเมริกา นี้คงเป็นเพราะทุกอย่างมันประสานความสอดคล้องกันอยู่เป็นห่วงโซ่ของความสัมพันธ์กันจากสิ่งหนึ่งไปสิ่งหนึ่ง บนเงื่อนไขของกาลเวลา การดำรงชีวิตของเราก็เช่นกัน ทุกรายละเอียดที่เราเคลื่อนไหว ก็ย่อมสร้างความเปลี่ยนแปลงให้เกิดขึ้น ไม่เคยหยุดนิ่ง วงโคจรของโลกมนุษย์หมุนรอบตัวเอง หมุนรอบดวงอาทิตย์ การหมุนนั้นทำให้สิ่งมีชีวิตได้มีการเปลี่ยนแปลง การหยุดนิ่ง หรือไม่เปลี่ยนแปลง มีอยู่อย่างเดียวนั้นคือไม่มีชีวิตอยู่

นี้เองจึงเป็นเหตุผลที่ผมให้คำนิยามว่า Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน

ขอยกตัวอย่างเพื่อห้เห็นภาพความสัมพันธ์ที่เชื่อมโยงกัน จนเราไม่รู้ตัว เพียงคุณเอานิ้วกดที่ปุ่ม Enter ที่เครื่องของคุณเอง เพื่อเข้าเว็บไซด์ใดสักเว็บไซด์หนึ่ง ก็เกิดการเปลี่ยนแปลงขึ้นแล้ว แม้ว่าการกระทำนั้นไม่มีผลต่อความเสรียฐภาพเครื่อง Web Server เลยแม้แต่นิดเดียว แต่การสื่อสารของคุณและเว็บไซด์นั้น ก็จะเกิดร่องรอยแห่งการเปลี่ยนแปลงขึ้น เว็บไซด์นั้น ก็มีสถิติในวันนั้นมีหมายเลขไอพีของคุณ เข้าเยี่ยมชม เว็บไซด์
การรับส่งข้อมูลเกิดขึ้นแล้ว หรือถูกบันทึกไว้เป็น Log บนเว็บไซด์นั้นแล้ว จากปุ่ม Enter ของคุณผ่านการ์ดแลน หรือ Wi-fi จากเครื่องคุณเอง วิ่งตรงสู่ระบบเครือข่ายที่คุณอาศัยอยู่ วิ่งไปสู่ระบบอินเตอร์เน็ต จาก ISP ที่คุณใช้ เพื่อเรียกเว็บไซด์นั้นผ่าน Protocol HTTP port 80 โดยเป็นการเชื่อมต่อแบบ TCP จะนั้นเว็บไซด์ที่เข้าไปก็จะส่งการประมวลผลกับมาที่หน้าจอคุณ โดยมีการประมวลผลผ่านระบบ Operating System ซึ่งอาจเป็น Windows โดยใช้ IIS 6.0 หรือ Linux ที่ใช้ Apache อาศัย CPU / RAM ประมวลผลจากการเยี่ยมชมเว็บในครั้งนี้ และส่งค่าการประมวลผลนั้น ผ่านกับมาจากฝั่งเครื่อง Web server ผ่านระบบเครือข่ายที่เช่าพื้นที่อยู่บน Data Center (IDC) ใน ISP สักที่หนึ่งบนโลก (สมมุติ) และ ผ่านการ Routing จาก Router หนึ่งไปยังอีกที่หนึ่ง กลับมาสู่เครือข่ายที่เครื่องคอมพิวเตอร์ของคุณ ผ่านอุปกรณ์เครือข่าย Core Switch ในบริษัทของคุณ และมาถึงผู้รับสารภายในชั่วพริบตา และคุณก็ได้รับความบันเทิงจากเว็บไซด์นั้น อารมณ์ ความรู้สึกหลังจากได้ รับชมเนื้อหาในเว็บไซด์ที่เปิดแล้ว มีผลกับอายตนะทั้ง 6ของตัวเราเอง ซึ่งส่งผลต่อเนื่องสู่พฤติกรรมหลังจากรับรู้เว็บไซด์ดังกล่าวต่อไป เป็นต้น การเปลี่ยนแปลงย่อมเกิดขึ้นในปัจจุบันจากผลการคลิก Enter ของคุณเอง การเปลี่ยนแปลงนั้นคือ ความเสื่อมลง นั้นเอง การประมวลผลของ CPU เครื่องคอมพิวเตอร์ ทั้งฝั่งคุณ และฝั่งเว็บไซด์ เริ่มทำงานก็ย่อมเกิดความเสื่อม เสื่อมตามอายุขัย เสื่อมต่อการใช้งาน ซึ่งความเสื่อมเป็นตัวแปรหนึ่งของกาลเวลา
การที่คุณคลิกปุ่ม Enter เพียงแรงกดน้อยนิด การประมวลผลจากระบบปฏิบัติเครื่องคุณเอง ก็สร้างความเสื่อมบนเครื่องคอมพิวเตอร์ที่คุณใช้อยู่ รวมถึงการบันทึกเส้นทางการเดินทางที่มีความเร็วอย่างทันใจ ก็มีการบันทึกไว้บนอุปกรณ์ต่างๆ เช่น Switch ไปสู่ Firewall ไปสู่ Router จาก Router เมืองไทย ออกสู่ Router ต่างประเทศ และวิ่งตรงไปสู่เว็บไซด์ที่ต้องการ มีการถูกบันทึกไว้แล้ว บนอุปกรณ์ตามเส้นทางลำเลียงข้อมูล หรือหากไม่มีการเก็บบันทึกที่ถูกต้อง อย่างน้อยการบันทึกนั้นก็เกิดขึ้นในความทรงจำของคุณเอง และเลือนหายไปเพราะเราไม่ได้ใส่ใจ

และการไหลเวียนของข้อมูล ตามหลัก OSI 7 layer หรือ 3 in 3 out ที่ผมคิด คือห่วงโซ่ ของเหตุการณ์
ห่วงโซ่ของเหตุการณ์ เราเรียกว่า "Chain of Event"
ห่วงโซ่ของเหตุการณ์ ลำดับเหตุการณ์ตามเวลา ตามความเป็นจริง และเกิดเป็นประวัติของผู้ใช้งาน ประวัติของอุปกรณ์ที่ทำงาน และหากเป็นกรณีที่สำคัญและได้ถูกบันทึกไว้ก็จะกลายเป็นประวัติศาสตร์ และกรณีศึกษาต่อไป
สิ่งที่ควรบันทึกตาม ห่วงโซ่เหตุการณ์ คือ
Who ใคร , What อะไร , Where ที่ใด , When เวลาใด , Why (how) อย่างไร
ซึ่งการบันทึกสิ่งเหล่านี้ เราเรียกว่า "Data Arachive"




Data Archive ก็คือ Log จากห่วงโซ่ของเหตุการณ์ ถ้านำคำหมาย Log ที่กล่าวมา จะรวมประโยคนี้ได้ว่า Data Archive คือ พฤติกรรมการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน จากห่วงโซ่ของเหตุการณ์

แต่เรายังขาดความน่าเชื่อถือในการเก็บบันทึก Data Archive นี้ เนื่องจาก Log เองก็อาจเกิดเปลี่ยนแปลงได้จากใครก็ได้ ที่มีความรู้ และแก้ไขเปลี่ยนแปลง เหตุการณ์จากห่วงโซ่ของเหตุการณ์นี้ ้ ถึงแม้การแก้ไข อาจเกิดขึ้น บนห่วงโซ่เหตุการณ์ใดเหตุการณ์หนึ่ง แต่ก็ยังมีร่องรอยการใช้งานจากห่วงโซ่ที่เหลืออยู่ได้ เพียงแค่ว่าการแก้ไขได้ อาจส่งผลให้ข้อมูลตามห่วงโซ่นั้นมีความคลาดเคลื่อน ไปได จนไม่สามารถสืบหาสาเหตุได้ พูดง่ายๆ ว่าหลักฐานไม่เพียงพอได้เช่นกัน

ห่วงโซ่เหตุการณ์ (Chain of event) นั้นจึงควรถูกคุ้มกัน คุ้มครอง เพื่อเป็นการรักษาข้อมูลที่เก็บบันทึกนั้นให้คงสภาพเดิม ซึ่งเรามีศัพท์เรียกว่า "Chain of Cusdoty"


สาระสำคัญของ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ที่หลายคนมักตั้งคำถามว่า เก็บแบบไหนถึงจะพอเพียง
การเก็บพอเพียง ก็เพียงแค่คุณตอบให้ได้ ตาม Chain of event และมีการเก็บรักษาแบบ Chain of Custody ให้ได้ก็พอ
ไม่ว่าจะใช้เทคโนโลยีใด แบบใด เมื่อเจ้าหน้าที่พนักงานเข้ามาขอ Log หรือ เจ้าของบริษัทเองต้องการทราบถึงการใช้งานพนักงานตัวเอง ตอบให้ได้ตามที่ผมกล่าวมานี้ ก็มีประโยชน์ทั้ง ทำถูกต้องตามกฏหมาย และ ทำได้ตามความต้องการของนายจ้างอีกด้วย
จะลงทุนหลักล้าน หรือ หลักแสน ในการเก็บบันทึกข้อมูลจราจร (Data Traffic Log Recorder) สำคัญอยู่ที่ ได้เก็บครบตามนี้หรือไม่ คือ
1. Data Archive เก็บ Log จากห่วงโซ่เหตุการณ์ (Chain of event) หรือไม่ ส่วนใหญ่แล้วอุปกรณ์ syslog , SIEM (Security Information Event Managment) สามารถจัดทำแบบ Data Archive ได้อยู่แล้ว
2. มีการทำ Data Hashing หรือไม่ คือมีการเก็บ Log เพื่อรักษาหลักฐานและยืนยันความถูกต้องของเนื้อหา Log จากห่วงโซ่เหตุการณ์ คือ เนื้อ file Log มีการยืนยันค่า Integrity หรือไม่ ตรงนี้สำคัญ เพราะว่าหากลงทุนโดยใช้งบประมาณจำนวนมากแล้ว แต่ไม่ได้ทำการ Check Integrity files โดยสากลใช้ Algorithm MD5 , SHA-1 เพื่อใช้ในการ check Log files แล้ว หรือ นำ Log files ที่ได้เขียนข้อมูลลงในแผ่น CD และเก็บบันทึกเป็นรายวันไป การลงทุนที่ว่าจะไม่มีเกิดประโยชน์เลยหากไม่มีการยืนยันความถูกต้องของหลักฐานจาก Log files สิ่งนี้ผู้ที่ต้องจัดหาเทคโนโลยีในการเก็บบันทึกข้อมูล นั้นจำเป็นต้องให้ความสำคัญมาก เพราะจัดหามาแล้ว อาจใช้ไม่ได้ตรงตามข้อกำหนดของ พ.ร.บ นี้ก็ได้ หรือในกรณีที่ต้องถึงชั้นศาล ก็ไม่สามารถยืนยันหลักฐานนี้ในชั้นศาลได้ถึงความถูกต้องของข้อมูล

สรุป :
Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว และมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
Log Record คือ การเก็บบันทึกข้อมูล ซึ่งข้อมูลตรงนี้ก็คือ ข้อมูลสารสนเทศ ที่เกิดจาก Data Traffic ที่เกิดจากการสื่อสารระหว่างผู้ส่งสาร ถึง ผู้รับสารนั้นเอง
Data Traffic = Information + 3 in 3 out ซึ่งทำให้เกิด Log
Data Archive = Log Record + Chain of Event
Data Hashing = Log Record + Chain of Custody
เพียงเท่านี้ก็เป็นการเก็บบันทึกข้อมูลจราจร แบบเพียงพอ และมีประโยชน์สำหรับเจ้าหน้าที่พนักงาน หรือ ตำรวจในการพิสูจน์หาหลักฐานต่อไปได้

หากทำความเข้าใจตามที่ผมกล่าวแล้วการสิ้นเปลืองงบประมาณในการจัดหาเทคโนโลยี จะลดลง ลดความสับสนว่าจะเก็บ Log อย่างไรให้ถูกต้อง และงบประมาณที่เหลือไปสร้างองค์ความรู้ให้กับคน เพื่อให้คนใช้เทคโนโลยีได้ถูก และ ให้กระบวนการควบคุมคนอีกชั้น เพื่อความเป็นระบบ และตรวจสอบได้

การใช้เทคโนโลยีที่เพียงพอแล้วคือการจัดเก็บบันทึกข้อมูลแบบ Hybrid Log Recorder ซึ่งสามารถอ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/200 ซึ่งผมจะขอโอกาสได้อธิบายในส่วนนี้อีกครั้งในบทความต่อไป
ซึ่ง Hybrid ทำให้สะดวกในการติดตั้ง ออกแบบ และใช้งาน ไม่เปลือง Storage ลดงบประมาณในการจัดหาอุปกรณ์เก็บบันทึกข้อมูลจราจร แต่ทั้งนี้ก็ยังไม่เพียงพอต่อการจัดหาเทคโนโลยีให้ครบถ้วนได้ ดังนั้นผมจึงออกแบบเครือข่ายที่เรียกว่า เครือข่ายตื่นรู้ขึ้น ซึ่งเป็นที่ทราบกันดีว่าองค์ประกอบสำคัญในการจัดทำระบบความมั่นคงปลอดภัยข้อมูล สารสนเทศ นั้นประกอบด้วย 3 ส่วน นั้นคือ เทคโนโลยี คน และ กระบวนการ การสร้างเครือข่ายตื่นรู้ มีจุดประสงค์เพื่อสร้างในส่วนเทคโนโลยีให้ครบ อย่างพอเพียง ครบในที่นี้ ต้องครบแบบปลอดภัยด้วย และสามารถรู้ทันปัญหาได้อย่างมีระบบ เพราะเรารู้ว่าไม่มีอะไรที่ป้องกันได้ 100% แต่เรารู้ทันได้หากมีระบบที่เหมาะสม การที่เราเน้นในเรื่องเทคโนโลยีเพียงอย่างเดียวและทำไม่ครบ ก็ย่อมจะไม่เกิดประโยชน์ ดังนั้นหากมีสูตรสำเร็จ เพื่อเป็นการตัดสินใจในการเลือกหาเทคโนโลยีเข้ามาใช้ในองค์กรก็จะมีประโยชน์ อย่างมาก
และนี้เป็นอีกเหตุผลหนึ่ง ที่ผมต้องทำเทคโนโลยี ในส่วนนี้ให้เป็นจริง และมีประโยชน์กับผู้ใช้งานให้ได้ในชั่วชีวิตนี้ของผมเอง

นนทวรรธนะ สาระมาน
Nontawattana Saraman
4/03/51

เรื่องที่เกี่ยวข้อง การสร้างเครือข่ายตื่นรู้ (Energetic Network)
การใช้งาน SRAN Security Center อย่างถูกวิธี