Wednesday, March 11

มาร่วมกันเก็บ Log เว็บเพื่อขจัดปัญหาในอนาคต

ปัญหาเว็บไซต์ในอินเตอร์เน็ต หลายอย่างเป็นปัญหาสังคมที่สะท้อนถึงการใช้ชีวิตของคนยุคนี้
ผู้ใช้งานคอมพิวเตอร์ส่วนใหญ่ก็เข้าถึงข่าวสารในสื่อออนไลท์มากขึ้น ผ่านช่องทางที่เรียกว่า Social Networking เช่น Facebook , Youtube หรือ Hi5 เป็นต้น Hi5 เจ้าปัญหาตกเป็นข่าวให้เราได้รับรู้กัน เดือนละข่าวก็ว่าได้ ยกตัวอย่างเช่น
"นศ.สาวแห่ขายเซ็กซ์ ยึดไฮไฟว์ บริการขายตรง" [31 ม.ค. 52 - 02:28]
"ล่าตัวก๊วนอุบาทว์ hi5 พี้กัญชา" [2 ก.พ. 52]
"จับขายตัวผ่านเน็ต ปี1อินเตอร์ นางแบบโฆษณา" [6 ก.พ. 52 - 11:47]
"เปิดไฮไฟว์ “พลอย” ด่ากราด “แพม” ขึ้นเ_ ี้ย ขึ้น_ ัตว์ แถมยังแช่งให้ตาย เพราะผู้ชายคนเดียว" [10 มี.ค. 52]
และผมคิดว่าคงมีเหตุการณ์แบบนี้ขึ้นอีกเรื่อยๆ นับแต่นี้
ไม่เพียงปัญหาสังคมเหล่านี้จะเกิดขึ้นมาก แต่ยังภัยร้ายที่คุกคามการโจรกรรมข้อมูลผ่านทางอินเตอร์เน็ตซึ่งทั้งใช้ความสามารถทะลุทะลวงระบบรักษาความปลอดภัยเว็บไซต์ และทั้งอาศัยเหยื่อผู้ใช้งานหลอกลวงผ่านทงอินเตอร์เน็ตก็สูงขึ้น ซึ่งทุกท่านรับทราบเป็นอย่างดี หรือข้อมูลจาก SRAN Data Safehouse และ zemog.sran.org
ในประเทศไทยพบว่าตั้งแต่ปี 2007 - 2009 มีเว็บไซด์ในประเทศไทยที่พบช่องโหว่ XSS (Cross site scripting) อยู่ด้วยกันถึง 41 เว็บ ซึ่งประกอบด้วย

P1 : ภาพสถิติเว็บไซต์ในประเทศไทยที่มีความเสี่ยง

ผลการประเมินช่องโหว่ XSS ในวันที่ 27 กุมภาพันธ์ พบว่า domain หน่วยงานราชการ (.go.th) มีความเสี่ยงที่พบถึง 20 เว็บไซด์ รองลงมาคือ domain บริษัททั่วไป (.co.th) พบ 9 เว็บไซด์ พบว่าส่วนใหญ่ยังไม่ได้รับการแก้ไข



หันมาดูปัญหาต่างๆ จะลดน้อยลงไปมากหากเราสนใจเก็บ Log เว็บไซต์ของเราเอง แน่นอนหากเกิดเหตุการณ์อะไรที่ไม่คาดฝัน อย่างน้อยเราก็สามารถนำหลักฐานที่เกิดขึ้นนี้ไปให้กับเจ้าหน้าที่ตำรวจ หรือ เจ้าหน้าที่พนักงานที่แต่งตั้งขึ้นได้ ซึ่งหลักฐานจาก Log นี้จะทำให้การสืบสวนสอบสวนเป็นไปอย่างสะดวกมากขึ้น

และจะเก็บ Log อย่างไร ถ้าทำให้ดีก็ควรเก็บบนระบบอื่นที่ไม่ใช่เครื่องคอมพิวเตอร์แม่ข่าย (Server) ที่เราเอง ควรเป็นเครื่องนอก เรื่องเครื่องแม่ข่ายที่ใช้ในการเก็บ Log โดยเฉพาะ ซึ่งจะช่วยยืนยันได้ว่า Log ที่เก็บจะไม่มีการโมเมขึ้นได้
เทคนิคการเก็บ Log นั้นมีได้ 2 มุมมอง (รายละเอียดเคยเขียนไว้ที่ http://www.sran.net/archives/176 )คือ
มุมมองในองค์กร คือ การใช้อินเตอร์เน็ตในองค์กร หากนึกดูให้ดีว่าในมุมนี้ผู้กระทำความผิดนั้นส่วนใหญ่เป็นใคร ก็ตอบได้ทันทีว่า ส่วนใหญ่ผู้กระทำความผิดมักอยู่ในองค์กรด้วยกันเองนี้แหละ เราก็ควรมีระบบเก็บ Log ที่เป็นเครื่องแม่ข่ายโดยเฉพาะมาเก็บบันทึกข้อมูลการใช้งาน สำคัญคือ Log ที่ดูได้ถึงพฤติกรรมการใช้งานข้อมูลสารสนเทศในองค์กรและอินเตอร์เน็ต อย่าคิดว่า Log ที่ดีควรเอามาทั้งหมด แต่การนำ Log มาทั้งหมดนั้นหากอ่านไม่ออกเลย ก็ไม่มีประโยชน์อะไร ไม่รู้จะเก็บไปให้เสียเนื้อที่ไปทำไม ควรจะอ่านออกและสะดวกต่อการสืบสวนสอบสวน และมีความน่าเชื่อถือ

มุมนอกองค์กร เช่น เว็บไซต์ สาธารณะ ถ้าในมุมนี้ผู้กระทำผิด สามารถเกิดได้จากหลายๆจุด อาจเกิดจากที่หนองคาย เปิดเว็บเราแล้วโพสหมิ่นประมาทบุคคลอื่น จนเป็นเหตุให้มีการฟ้องร้องกัน หรือโพสจากประเทศจีนและหมิ่นประมาทคนอื่น ซึ่งโดยสรุปแล้วคือผู้กระทำผิดในมุมมองนี้สามารถเกิดได้ทุกๆทีในโลกใบนี้
ดังนั้นการเก็บ Log เว็บควรทำอย่างไร ?

ผมให้ข้อคิดดังนี้
1. เว็บที่อยู่ในองค์กร ก็ใช้ระบบเก็บ Log ที่ท่านได้จัดซื้อมาใช้ได้ ข้อสังเกตคือควรเก็บได้ทั้งข้อมูลจราจร (Traffic Data) ที่ทำการเปิดเว็บไซต์ในองค์กรเราได้ มิใช่เก็บเพียงข้อมูลขาออกอินเตอร์เน็ตในองค์กรเพียงอย่างเดียว
2. เว็บที่ฝากตาม IDC (Internet Data Center) คุณอย่าพึ่งหวังว่า ISP นั้นจะเก็บ Log เว็บคุณให้ทั้งหมด ซึ่งในเว็บของคุณเองมีเว็บบอร์ด มี comment ที่คนนอกสามารถร่วมแสดงความคิดเห็นได้ นั้น ISP ไม่สามารถเก็บให้ได้หมดแน่นอน ดังนั้นคุณควรหาวิธีการมาจัดเก็บ Log เองจะดีกว่า
3. เว็บฝากไว้กับผู้ให้บริการ Hosting ต้องบอกว่าผู้ให้บริการ Web Hosting เองนั้นก็อาศัยอยู่บน IDC ซึ่ง ISP เป็นผู้ดูแล ก็จริง 1 ตู้ Rack ของ Web Hosting อาจประกอบด้วย 10 - 100 เว็บ หรือมากกว่านั้น ในนั้นผู้ให้บริการ ISP ก็จะสามารถดูได้เพียง Traffic ที่เข้าตาม IP นั้นบางที IP เดียวก็มีตั้งหลายชื่อ domain หรือหลาย subdomain เป็นไปแทบไม่ได้ว่าเขาจะมาดูแลเว็บคุณได้ทั่วถึงหากไม่มีเทคโนโลยีที่รองรับจุดนี้ได้เพียงพอ

สรุป ผู้ให้บริการ Web hosting ก็ควรเก็บ Log และ ISP ก็ควรเก็บ Log และสำคัญคือตัวเราเองผู้เป็นเจ้าของเว็บไซต์ ไม่ว่าเป็นเว็บบริษัท เว็บ Blog หรือขายของหน้าร้านเราก็ต้องเก็บ Log เช่นกัน

ผมจึงขอเป็นตัวอย่างในการเก็บ Log เว็บไซต์ของตนเองขึ้น
โดยทีมงาน SRAN Dev พัฒนาตัวเก็บ Log ที่เป็นศูนย์กลางการเก็บ Log ของเว็บไซต์ ซึ่งวิธีนี้มั่นใจได้ว่าไม่ใครเข้าไปแก้ไขข้อมูลได้เนื่องจากติดตั้งคนละจุดกับ Web Server ผู้ให้บริการ อีกทั้งยังช่วยดูว่ามีใครกำลังบุกรุกเว็บเราได้อีกด้วย
ซึ่งส่วนนี้ตั้งชื่อไว้ว่าบริการ "SRAN Data Safehouse"
โดยในเว็บไซต์ยืนยันการเก็บ Log และพร้อมที่ส่ง Log ให้เจ้าหน้าที่พนักงาน ที่ต้องการสืบค้นหาผู้กระทำความผิดได้
SRAN Data Safehouse ไม่เพียงแต่เก็บ Log web site ของคุณ ยังช่วยตรวจดูว่าเว็บไซต์คุณมีช่องโหว่ที่ควรได้รับการแก้ไข ก่อนที่ Hacker จะเข้ามาเจาะระบบได้ ซึ่งเรียกว่ามีระบบ Anti Web Hacking ในตัว อีกทั้งหากมีการบุกรุกเว็บไซต์ของเรา SRAN Data Safehouse ส่ง E-mail แจ้งเตือนได้ พร้อมทั้งบันทึก Log บอกถึง IP และชื่อหน่วยงาน สถานที่ตั้งได้ว่าผู้ใดเป็นผู้บุกรุกเว็บไซต์ได้อีกด้วย

เปรียบเทียบเพื่อสร้างความเข้าใจมากขึ้น ตัว SRAN ไม่ว่าเป็นชนิดอุปกรณ์ หรือเป็น Script บนเว็บ ก็เหมือนกับกล้องวงจรปิดเพื่อเฝ้าสังเกตการณ์ความผิดปกติที่เกิดขึ้นและเก็บบันทึกข้อมูลไว้เป็นหลักฐาน
หากมองในเรื่องเว็บไซต์ โดยเฉพาะ Web E-commerce คือ ตู้ ATM
SRAN Data Safehouse คือกล้องที่ติดบนตู้ ATM เพื่อดูว่ามีใครมากดตู้ ATM เพื่อเก็บเป็นหลักฐานในการสืบค้นหาผู้กระทำความผิดนั้นเอง

ซึ่งตอนที่เขียนบทความนี้ Log ของ Web blog แห่งนี้เก็บบันทึกข้อมูลไปแล้ว 140 วันซึ่งตรงตามที่กฏหมายกำหนดคือไม่น้อยกว่า 90 วัน

P2 : ภาพ Log ที่ปรากฏหลังจากผู้ใช้บริการ Data Safehouse เข้าใช้บริการ

เมื่อถึงเวลาที่ต้องการสืบค้น ก็ Login เข้าสู่ระบบ และดูข้อมูลย้อนหลัง ซึ่งจะไม่มีใครดูได้นอกจากตัวผู้สมัคร SRAN Data Safehouse เอง

เมื่อมีการเก็บบันทึกการใช้งานเว็บไซต์ ไม่ว่าเป็นบริการแบบ Web stats หรือ Web Anslytic ก็ขอให้มีหลักฐานในการสืบค้น และเก็บบันทึกให้ตามกฏหมายกำหนด ผมก็เชื่อว่าเว็บของท่านจะมีหลักฐานไว้สำหรับสืบค้นหาผู้กระทำผิดไม่ได้ยากเกินกำลัง

มาร่วมกันเก็บ Log เว็บ เพื่อขจัดปัญหาในอนาคต กันเถอะครับ


อ่านรายละเอียดการใช้งาน SRAN Data Safehouse http://www.datasafehouse.net/docs.html

บทความ วันนี้คุณเก็บ Log เว็บของคุณแล้วหรือยัง ?

บทความ ทำอย่างไรถึงจะรู้เท่าทันภัยคุกคามเว็บไซต์ ตอนที่ 1 และ ตอนที่ 2

นนทวรรธนะ สาระมาน
Nontawattana Saraman

No comments: