Friday, October 30

สมรภูมิรบบนโลกไซเบอร์ Cyberwar


อินเตอร์เน็ต คือ โครงสร้างพื้นฐานทางข้อมูลข่าวสารอันประกอบขึ้นจากเครือข่ายคอมพิวเตอร์ที่มาเชื่อมต่อกันเป็นจํานวนมากจากทั่วโลก โดย “เครือข่ายแห่งเครือข่าย” (Network of Networks) ที่ว่านี้จะอาศัยภาษาคอมพิวเตอร์กลางร่วมกัน มี มาตรฐานกลาง (Standard Protocol) ในการรับส่งข้อมูลร่วมกัน ทำให้คอมพิวเตอร์ต่างๆ ในเครือข่ายสามารถสื่อสารกันได้ จุดเริ่มต้นของอินเตอร์เน็ต คือ โครงการ ARPANet (Advanced Research Projects Agency Network) ของกระทรวงกลาโหมประเทศสหรัฐอเมริกาในช่วงปลายคริสต์ศตวรรษ 1960 ซึ่งเป็นโครงการทดลองเพื่อค้นคว้าหาต้นแบบของ
เครือข่ายทางคอมพิวเตอร์ที่สามารถจะรับส่งข้อมูลและสื่อสารกันต่อไปได้ แม้เครือข่ายบางส่วนจะล่มสลายหรือถูกทำลายจากการโจมตีทางการทหาร
ถึงแม้ชื่ออินเตอร์เน็ตจะเริ่มเป็นที่ใช้กันตั้งแต่กลางคริสต์ทศวรรษที่ 1980 แต่ก็ ยังไม่เป็นที่ รู้จักแพร่หลายจนประมาณต้นคริสต์ทศวรรษที่ 1980 จวบจนกระทั่งปัจจุบันมีการประมาณการตัวเลขผู้ใช้อินเตอร์เน็ตทั่วโลกว่าสูงถึง 1000 ล้านคน ซึ่งผู้ใช้ส่วนใหญ่ในยุคนี้จะเป็นธุรกิจหรือบริษัทต่าง ๆ ที่ ต้องการประชาสัมพันธ์ตนเองผ่านอินเตอร์เน็ตหรือใช้ประโยชน์ จากเทคโนโลยีสื่อใหม่นี้ในเชิงพาณิชย์ การใช้ประโยชน์จากอินเตอร์เน็ตที่มุ่งเน้นเชิงพาณิชย์เป็นผลจากการที่อินเตอร์เน็ตได้เข้าสู่รูปแบบใหม่ในการนำเสนอเนื้อหาสืบเนื่องจากการพัฒนาเทคโนโลยีไฮเปอร์ลิงค์ (hyperlink) ขึ้นที่ห้องปฏิบัติการเทคโนโลยีเครือข่ายแห่งหนึ่งในยุโรปและการพัฒนาเทคโนโลยีไฮเปอร์เท็กซ์ (hypertext) ที่มหาวิทยาลัย อิลินอยส์ การพัฒนาเทคโนโลยีทั้งสองรูปแบบทำให้เกิดโฉมใหม่ของอินเตอร์เน็ตอย่างที่เรารู้จักกันในปัจจุบันคือ เวิรล์ ไวด์ เว็บ (World Wide Web) และนำไปสู่ลักษณะความเป็นสื่อประสม (Multimedia) อย่างแท้จริง นอกจากนั้นในยุคประมาณราวปี 1990 เองยังเป็นยุคของการถือกำเนิดของภัยคุกคามประเภทใหม่อันเกิดขึ้นเนื่องจากกลุ่มผู้เชี่ยวชาญคอมพิวเตอร์ที่อาศัยข้อได้เปรียบและประโยชน์ของเครือข่ายอินเตอร์เน็ทในการทดสอบ หรือทดลองเทคนิคใหม่ๆ ในการส่ง หรือลักลอบเข้าไปดูและใช้ข้อมูล ซึ่งต่อมาได้พัฒนามาเป็นภัยคุกคามที่ระบาดอยู่ในปัจจุบัน
จากเอกสารผลสำรวจที่จัดทำขึ้นโดยหน่วยงาน คอมพิวเตอร์ ซิเคียวริตี้ อินสติติวท์/สำนักงานสืบสวนสอบสวนกลาง (CSI/FBI) ที่ได้กล่าวอ้างถึงข้างต้น และเอกสารบรรยายโดย CERT® Coordination Center สามารถสรุปประเด็นสำคัญๆ ได้ดังนี้
ความเสียหายที่เกิดขึ้นเนื่องจากการโจมตีจากไวรัสคอมพิวเตอร์คิดเป็นมูลค่ามากที่สุด
การโจมตีไปยังเวบไซต์มีอัตราเพิ่มสูงขึ้นอย่างมาก
หน่วยงานราชการเป็นหน่วยงานที่ลงทุนกับเรื่อง IT Security สูงที่สุด
ครึ่งหนึ่งของหน่วยงานผู้ถูกสำรวจ งบลงทุนทางด้าน IT Security คิดเป็นประมาณ 1-5% ของงบประมาณทางด้าน IT
การคำนวณการลงทุนทางด้านIT Security มีดังนี้
38% ใช้ Return on Investment (ROI)
19% ใช้ Internal Rate of Return (IRR)
18% ใช้ Net Present Value (NPV)
การแจ้งความลดลงอย่างต่อเนื่องทุกปี
87% ของหน่วยงานผู้ถูกสำรวจได้มีการทำ Security Audit เพิ่มขึ้นจาก 82% ในปีก่อนหน้านี้
ผู้ตอบแบบสอบถามส่วนใหญ่ให้ความสำคัญการอบรมเรื่อง Security Awareness

แนวโน้ม
ผู้บุกรุกที่มีความเชี่ยวชาญ/ผู้บุกรุกหน้าใหม่ มีจำนวนเพิ่มสูงขึ้น
ความถี่และผลลัพธ์ในการบุกรุกมีจำนวนสูงและรุนแรงขึ้น
รูปแบบและเครื่องมือที่ใช้ในการโจมตี/บุกรุก มีความซับซ้อนขึ้น
อุปกรณ์และระบบป้องกันมีความซับซ้อนมากขึ้น

ยกตัวอย่างข่าวที่เกี่ยวกับความมั่นคงและอาชญากรรมทางคอมพิวเตอร์ที่ผ่านมาในรอบ 2 ปี
ในปี 2551-2552 ที่เป็นข่าวเกี่ยวกับความมั่นคงทางเศรษฐกิจด้วยการจรากรรมข้อมูล 18 เมษายน 2551 ข่าวในผู้จัดการรายวัน "รวบแฮกเกอร์หนุ่มเจาะข้อมูล-ดูดเงินบัญชีลูกค้าแบงก์ใหญ่เกือบล้าน"
8 กรกฏาคม 2551 ข่าวจาก OKNation "เว็บสภาโดนแฮกเกอร์เปลี่ยนรูปท่านประธานชัย"
24 กรกฏาคม 2551 ข่าวจาก อสมท (MCOT) "จับแก๊งไนจีเรียใช้ไทยตุ๋นคนทั่วโลกผ่านระบบอินเตอร์เน็ต"
30 สิงหาคม 2552 ข่าวจากไทยรัฐออนไลน์ "ไอซีที พบ 16 จุดต่อต่อคลิปเสียงนายกฯ"
14 กันยายน 2552 ข่าวจากมติชนออนไลน์ เปิดปฏิบัติการ"ลับ"สีกากีเจาะข้อมูลป.ป.ช.-โยงอดีต "บิ๊ก ตร." -รัฐมนตรีสังกัดพลังประชาชน
29 ตุลาคม 2552 คดีปล่อยข่าวลือเรื่องหุ้น จนมีผลกระทบต่อนักลงทุน ซึ่งคดีนี้ก็ใช้ พ.ร.บ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์มาใช้กับการเสนอข้อมูลอันเป็นเท็จซึ่งก่อให้เกิดผลต่อความมั่นคงของชาติ
ในต่างประเทศ
8 พฤษภาคม 2551 ข่าวจาก Cyberbiz ในเว็บไซต์ผู้จัดการ "เว็บไซต์โรคลมบ้าหมูถูกแฮก ทำคนอ่านลมชัก-ไมเกรนกำเริบ"
แหล่งข่าวเดียวกันในวันที่ 13 สิงหาคม 2551 "เว็บประธานาธิบดีจอร์เจียย้ายโฮสไปอเมริกาหลังถูกแฮก"
13 กรกฏาคม 2552 ข่าวจาก คม-ชัด-ลึก สงครามไซเบอร์...ถล่มเกาหลีใต้ส่ง"ซอมบี้" ทำลายระบบสื่อสาร จนระบบล่มไปเกือบ 3 วัน ข่าวนี้ทำให้โลกเริ่มตะหนักถึงภัยคุกคามที่เรียกว่า "botnet" มากขึ้นและมีโอกาสที่เกิดขึ้นได้กับทุกประเทศ
นอกจากนี้ก็ยังมีข่าวการหลอกลวงทางอินเตอร์เน็ตผ่าน social network ทั้งเด็ก ผู้ใหญ่ แม้กระทั่งพระ ซึ่งก็มีอัตราส่วนในการที่เป็นข่าวไม่เว้นแต่ละเดือน
แต่ที่หยิบยกมาเป็นเพียงบางส่วนของข่าวที่ได้รับความสนใจจากประชาชน จะเห็นได้ว่าที่เป็นข่าวพวกนี้มีเรื่องอินเตอร์เน็ตและคอมพิวเตอร์มาเกี่ยวข้องด้วย และมีอัตตราความรุนแรงมากขึ้นด้วย

ดังนั้นเราควรมีวิถีการดำเนินธุรกิจ การดำเนินงานของหน่วยงานราชการ และยุทธศาสตร์ในการป้องกันประเทศ กิจกรรมต่างๆเหล่านี้ล้วนแล้วต้องอาศัยเครือข่ายเชื่อมโยงของเทคโนโลยีสารสนเทศ ที่เรียกว่า ไซเบอร์สเปซ (Cyberspace) ยุทธศาสตร์แห่งชาติในการทำให้ Cyberspace ได้ถูกเตรียมขึ้นเพื่อพัฒนาวิธีการปกป้องโครงสร้างพื้นฐานที่สำคัญต่อเศรษฐกิจ ความปลอดภัย และวิถีการดำเนินชีวิตประจำวัน” จะพบว่ามีหลายประเทศในปัจจุบันนี้ได้บรรจุเรื่องการป้องกันตัวเองจากภัยคุกคามที่มาพร้อมกับ ไซเบอร์สเปซ ซึ่งอาจถือได้ว่าเป็นแนวรบที่สี่ (กองทัพเน็ต) นอกจากกองทัพบก กองทัพเรือ กองทัพอากาศ เข้าเป็นวาระแห่งชาติไปเรียบร้อยแล้ว เช่นตัวอย่างในประเทศอเมริกา อดีตประธานาธิบดี George W. Bush ในเอกสาร National Strategy to Secure Cyberspace ซึ่งถูกจัดทำโดย Department of Homeland Security ในปี 2003 ได้จัดทำเรื่องงานก่อการร้ายภัยคุกคามทางอินเตอร์เน็ตเป็นวาระแห่งชาติ เป็นต้น

ภัยคุกคามที่มาพร้อมกับ ไซเบอร์สเปซ อาจก่อให้เกิดปัญหาสำหรับความมั่นคงภายใน เป็นสิ่งที่หน่วยงานกลางของรัฐบาล หน่วยงานราชการ สถาบันการศึกษา และบริษัทเอกชนรวมทั้งพลเมืองในประเทศต้องร่วมมือกันเพื่อรับมือและแก้ไขเหตุการณ์ที่สามารถเกิดขึ้นได้อยู่ตลอดเวลา จากการสำรวจของคอมพิวเตอร์ ซิเคียวริตี้ อินสติติวท์/สำนักงานสืบสวนสอบสวนกลาง (CSI/FBI) พบว่าในปี 2009 คาดการณ์ว่าจะมีมูลค่าความเสียหายราว 300 ล้านเหรียญสหรัฐ ทั้งนี้เป็นคิดเป็นมูลค่าที่ลดลงมากเมื่อเทียบกับปีที่ผ่านๆมา เพราะหลายๆหน่วยงานในสหรัฐอเมริกา ได้ให้ความสนใจกับปัญหาและร่วมกันป้องกันปัญหาดังกล่าว สำนักข่าวกรองแห่งชาติในหลายประเทศ ได้เพิ่มงบประมาณในการจัดหาเทคโนโลยีเพื่อหาข่าวและสืบค้นหาผู้กระทำความผิดทางอินเตอร์เน็ตไม่ว่าในประเทศอเมริกาหน่วยงานอย่าง CIA หน่วยสืบรายการลับของกลาโหม , NSA และ NRO เป็นองค์กรพันธมิตรด้านงานราชการลับ , FAPSI สำหรับตอบโต้การจารกรรม , ในรัสเซียมีหน่วยงานชื่อ MI5 ในประเทศอังกฤษ มีหน่วยงานชื่อ GCHQ ในฝรั่งเศส ก็มีหน่วยงานชื่อ DGSE ในเยอรมันมี BND ที่ประเทศจีนมีกระทรวงความมั่นคงแห่งชาติ
ส่วนประเทศไทย มีกองบังคับการปราบปรามการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี สำนักงานตำรวจแห่งชาติ , DSI สำนักคดีเทคโนโลยีและสารสนทเทศ ,
สำนักงานข่าวกรองแห่งชาติ , ศูนย์ iSOC กระทรวงเทคโนโลยีและการสื่อสาร และหน่วยงานด้านความมั่นคงทางทหารอื่นๆ อีกพอสมควร
จากข้อมูลพบว่าหน่วยงานในสังกัดรัฐบาลและหน่วยงานราชการได้ให้ความสำคัญกับการลงทุนด้านบุคคลากรและเทคโนโลยีในการป้องกันภัยในอัตราที่สูงมากที่สุด ข้อมูลเหล่านี้ย่อมสะท้อนถึงสิ่งที่จะเกิดขึ้นกับประเทศไทยอย่างหลีกเลี่ยงไม่ได้เช่นเดียวกัน

สำคัญว่างานด้านความมั่นคงภายในประเทศ เราควรมียุทธศาสตร์ที่ให้การพัฒนาศักยภาพด้านเทคโนโลยีในชาติมากขึ้นโดยพึ่งพาเทคโนโลยีต่างชาติให้น้อยลง เพราะศึกครั้งนี้ถือว่าเป็นอนาธิปไตยที่เราทุกคนในชาติต้องร่วมมือกัน มีคำกล่าวว่าสงครามโลกครั้งที่ 3 ไม่มีแล้ว จะเป็นสงครามทางไซเบอร์ แทนเพราะเราปฏิเสธไม่ได้ว่าในชีวิตประจำวันของเรานั้นล้วนเกี่ยวข้องกับข้อมูลข่าวสารทั้งสิ้น ไม่ว่าเป็น ธนาคารที่มีการทำธุรกรรมผ่านระบบอินเตอร์เน็ต , โรงพยาบาลที่มีการเก็บฐานข้อมูลคนไข้ผ่านระบบเครือข่ายคอมพิวเตอร์ , งานข้อมูลเกี่ยวข้องภาครัฐมีการเชื่อมต่อระบบอินเตอร์เน็ตให้ประชาชนเข้าถึงได้สะดวกขึ้น ไม่ว่าเป็น กรมสรรพกร , ทะเบียนราษฎร์ , ข้อมูลทะเบียนรถ , ข้อมูลเบอร์โทรศัพท์ อื่นๆ รวมถึงการหลุดข้อมูลลับจากการค้นหาผ่าน search engine เหล่านี้ล้วนแต่เราต้องกลับมานั่งคิดไตร่ตรองถึงวิธีการป้องกันภัยที่จะเกิดขึ้นบนความมั่นคงของชาติเราต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman
ข้อมูลข่าว
http://infosec.sran.org/?p=88
http://www.manager.co.th/CyberBiz/ViewNews.aspx?NewsID=9510000053962
http://www.oknation.net/blog/chao/2008/07/08/entry-1
http://www.matichon.co.th/news_detail.php?newsid=1252844935&grpid=no&catid=02
http://www.sran.net/archives/161
http://news.mcot.net/crime/inside.php?value=bmlkPTEyMjcyNSZudHlwZT10ZXh0

Monday, October 19

3 in 3 out ภาคสืบหาผู้กระทำความผิดทางอินเตอร์เน็ต

ผู้กระทำความผิดทางอินเตอร์เน็ตคอมพิวเตอร์นั้น สามารถแบ่งได้เป็น 2 ส่วนคือ การกระทำความผิดด้วยเจตนา และการกระทำความผิดแบบไม่มีเจตนา
ในโลกความเป็นจริงแน่นอนสิ่งแรกที่เกิดขึ้นย่อมเกิดจากเจตนาของผู้ไม่ประสงค์ดีเสียก่อน และในโลกของการสื่อสารอินเตอร์เน็ตคอมพิวเตอร์นั้นเมื่อต้นเหตุคือผู้ที่เจตนาที่จะโจมตีระบบ สามารถสร้างเหยื่อที่เป็นเครื่องไม่เจตนานั้นมาใช้ในการกระทำความผิดได้ ที่เรียกว่า"การยืมดาบฆ่าผู้อื่น" และมีปริมาณสูงขึ้นพร้อมๆกับความเจริญเติบโตทางวัตถุนิยมและการบริโภคสื่อข่าวสาร

จำนวนเครื่องคอมพิวเตอร์จำนวนมากที่ขายในร้านค้า ในเวลาไม่ช้านานกับพบว่าเป็นเครื่องมือหนึ่งที่ใช้ในการโจมตีระบบหากไม่ระมัดระวังในการใช้ข้อมูลผ่านเครือข่ายอินเตอร์เน็ต ซึ่งเครื่องคอมพิวเตอร์นั้นจะสามารถถูกควบคุมในระยะไกลจากผู้ไม่หวังดีขึ้นเครื่องที่ตกเป็นเหยื่อ ดังกล่าวเรียกว่า ผีดิบ (zombie) ปริมาณของผีดิบมีจำนวนมากขึ้นก็เรียกว่า botnet ตามมา
การที่เราจะหาต้นตอของเครื่องคอมพิวเตอร์ที่กระทำความผิดนั้นเรียกว่า Traceback หรือสืบย้อนกลับไปหาต้นทางที่เป็นสาเหตุของการกระทำความผิดด้านคอมพิวเตอร์

การ Traceback เพื่อหาผู้กระทำความผิดสามารถพิจารณาได้ 2 กรณี

กรณีที่ 1 การหาผู้กระทำความผิดในเครือข่ายภายในองค์กร
ในกรณีนี้ไม่มีอะไรซับซ้อนมากหากเครือข่ายองค์กรนั้นมีการบริหารจัดการระบบไอซีทีที่ดี มีการนำเทคโนโลยีที่เหมาะสมมาใช้ในองค์กร มีการเก็บบันทึกข้อมูลจราจร (Log) มีการจัดทำระบบบริหารจัดการรายชื่อพนักงานในการใช้งานอินเตอร์เน็ต มีคนใช้เทคโนโลยีอย่างมีวินัยและมีมาตราฐาน มีนโยบายควบคุมคน เพื่อให้คนใช้เทคโนโลยีอย่างมีประสิทธิภาพ(อ่านเพิ่มเติมได้ที่ การสร้างเครือข่ายตื่นรู้ )
หากมีการกระทำความผิดภายในเครือข่ายองค์กรนั้นสามาร Traceback สืบค้นย้อนกลับได้จากเทคโนโลยีการเก็บ Log ที่มีไว้ในเครือข่ายนั้นๆ นั้นเอง ในกรณีที่ 1 นี้ยังสามารถแยกเป็น 2 มุมมองได้ดังนี้
มุมมองแรกคือ มีการโจมตีจากภายนอกระบบเครือข่ายองค์กรเข้าสู่ภายในเครือข่ายองค์กร ได้แก่ การแพร่ระบาดไวรัสคอมพิวเตอร์ที่กระจายอยู่ทั่วอินเตอร์เน็ต ที่เป็นลักษณะ DDoS/DoS ได้โจมตีเข้าสู่เครือข่ายองค์กร การที่จะ Trackback หาต้นตอของการแพร่กระจายไวรัสนั้นจำเป็นต้องเข้าใจถึงหลักเกณฑ์การพิจารณาตามหลัก 3 in 3 out เสียก่อน คือพิจารณาตามชั้นของการสื่อสารข้อมูล
ชั้นแรก ข้อมูลที่เข้าและออกในฝั่งชายแดนเครือข่ายองค์กร ชั้นแรกสุด ได้แก่อุปกรณ์ Router , อุปกรณ์ Firewall เป็นต้น ดังนั้น Log ที่เกี่ยวข้องกับการแพร่ระบาดนั้นจะสามารถวิเคราะห์ได้จากทั้ง 2 อุปกรณ์ที่กล่าวมาแล้วเป็นหลัก
ชั้นสอง ข้อมูลที่เข้าและออกในฝั่งเครือข่ายองค์กรภายใน IP Address ภายใน ได้แก่ ข้อมูลที่ผ่านเข้าออก Core Switch , Sub Switch เป็นต้น
ชั้นสาม ข้อมูลที่เข้าและออก ภายในเครื่องคอมพิวเตอร์ภายในองค์กร เช่น เครื่องพนักงานนาย ก , เครื่องผู้จัดการฝ่าย , เครื่องประธานบริษัท เป็นต้น
หากไวรัสคอมพิวเตอร์สามารถหลุดผ่านในแต่ละชั้นเข้ามาภายในเครือข่ายองค์กรลงสู่เครื่องคอมพิวเตอร์ในองค์กรได้นั้น เราก็ยังมีหลักเกณฑ์การในการพิจารณาถึงความสัมพันธ์ข้อมูล และการไหลเวียนข้อมูลเข้าและออก จาก Log flies ที่เก็บเป็นชั้นๆ ตามหลัก 3 in 3 out ได้
มุมมองที่สอง คือ ภัยคุกคามเกิดจากภายในเครือข่ายองค์กรกระจายไปสู่โลกอินเตอร์เน็ต ดังนั้นการ Traceback สืบหาต้นตอนั้นจำเป็นต้องใช้หลัก 3 in 3 out มาพิจารณา โดยเริ่มเป็นชั้นๆ ในการวิเคราะห์ข้อมูลจาก Log files เป็นต้น ซึ่งในมุมมองที่สองนั้น ควรพิจารณาตามกฏหมายคอมพิวเตอร์ด้วยหากมีผู้ได้รับความเสียหายที่เกิดจากการกระทำที่เกิดจากองค์กรของเราเอง ก็จะทำให้มีความผิดตามกฏหมายได้เช่นกัน
(อ่านเพิ่มเติมได้ที่บทความเทคนิคการสืบหาผู้กระทำความผิดเกี่ยวกับคอมพิวเตอร์)

กรณีที่สอง การหาผู้กระทำความผิดจากภายนอก บนโลกอินเตอร์เน็ต
มีหลักการพิจารณาให้สังเกตการส่งข้อมูล ซึ่งการส่งข้อมูลนั้นประกอบด้วย 2 ส่วนคือ
- การส่งข้อมูลภายในประเทศไทย (National Internet Exchage:NIX)
- การส่งข้อมูลออกนอกประเทศไทย (International Internet Gateway:IIG)
ซึ่งทั้ง 2 ส่วนนี้จะเป็น IP Address ที่เป็น Public IP หรือ IP ที่สามารถมองเห็นได้จากโลกภายนอก

จากข้อมูล Internet Map ที่ทาง NECTEC จัดทำขึ้น (internet.nectec.or.th)

ขั้นตอนในการ Traceback
1. ค้นหาการจดทะเบียน (Whois) ของ IP Address หรือ Domain ที่ต้องการค้นหา เช่น 61.47.10.205
whois จากการใช้เครื่องผ่านเว็บไซต์หรือซอฟต์แวร์เสริม ได้แก่บริการ http://sran.org/whois
ส่ิงที่ต้องการพิจารณาเป็นพิเศษคือ ชื่อผู้ให้บริการ (ISP) ชื่อและที่อยู่ผู้ให้บริการ เบอร์โทรศัพท์
2. ค้นหาการเชื่อมโยงค่า AS (Autonomous System) เพื่อดูเส้นทางการไหลเวียนข้อมูลว่าชุด IP Address หรือ Domain ที่ต้องการค้นหาออกไปเส้นทางใด เช่น www.sran.net

จากภาพจะเห็นว่า domain www.sran.net ออกเส้นทาง AS4765 เป็นต้น ข้อมูลจาก robtex

ในบาง domain อาจมีการเชื่อมต่อที่มากกว่า 1 AS number เช่น domain บนเว็บไซต์ที่มีหลาย sub domain หรือมีระบบ e-mail server เป็นต้น

จากภาพ domain ของ gbtech.co.th มีช่องทาง AS number ถึง 3 ช่องทาง ข้อมูลจาก robtex

AS Number จะมีประโยชน์มากหากการรับส่งข้อมูลมีการติดต่อสื่อสารไปยังต่างประเทศ เช่นเราต้องการเปิดเว็บไซต์ที่อยู่ในต่างประเทศ www.google.com เส้นทางการรับและส่งข้อมูลก็จะเริ่มต้นขึ้นจากเครื่องคอมพิวเตอร์ของเราซึ่งอาจจะอยู่ที่บ้านหรือที่ทำงานหรือเป็น smartphone จะส่งข้อมูลไปยัง ISP ผู้ให้บริการในประเทศไทย ถ้าเป็น ISP ที่มีการเชื่อมสัญญาณข้อมูลไปต่างประเทศคือมี IIG (International Internet Gateway) เช่น CAT , TOT หรือ True Internet เป็นต้นการเชื่อมข้อมูล ISP ไปยัง AS router ที่อยู่ IIG ก็จะส่งข้อมูลไปยัง AS Router ที่ต่างประเทศเป็นทอดๆ (สังเกตการเชื่อมต่อข้อมูลจาก internet map ของ NECTEC) เราสามารถทดสอบเองได้ถึงเส้นทางการส่งข้อมูลผ่านคำสั่ง tracert (traceroute) ในเครื่องคอมพิวเตอร์ของเราเอง

การทราบค่า AS (Autonomous System) จะทำให้เราทราบถึงกลุ่ม IP Address

จากภาพจะเห็นว่าความสัมพันธ์ต่างๆ ได้แก่ Member of AS router, Number of originated prefixes , IP numbers เป็นต้น

ค่า AS number ยังมีประโยชน์สำหรับการวิเคราะห์ IP ที่เป็น Spam และ Phishing อีกด้วย ถ้าหากพบว่ามี IP ที่มีลักษณะดังกล่าวก็สามารถปิดการส่งข้อมูลได้ดังนั้น IP ที่อยู่ในบัญชีดำก็มักจะถูกปิดกั้นที่ AS Router ได้เช่นกัน

3. การค้นหา NS Lookup เพื่อดูการเชื่อมต่อของ DNS สำหรับเครื่องเป้าหมายที่มีชื่อ Domain name อยู่แล้วก็ไม่ซับซ้อนในการค้นหาด้วยวิธีนี้นักแต่หากมีแต่ IP Address เราจะทราบได้อย่างไรว่ามี Domain อะไรอยู่ภายใต้ IP Address นี้บ้างซึ่ง 1 IP Address อาจมีได้หลาย Domain ก็ได้ ดังนั้นเราจึงควรใช้วิธีสืบหาด้วยเทคนิค Reverse IP Lookup เช่นในกรณี IP 61.47.10.205 เมื่อทำการ Reverse IP Lookup แล้วจะพบว่ามีทั้งหมด 13 Domain ใน 1 IP ดังภาพข้างล่างนี้



ภาพการใช้เครื่องผ่าน http://sran.org/vhost.php จะทำให้ทราบรายชื่อ domain จากค่า IP Address ได้
การทำ Nslookup ทำให้เราสามารถได้ข้อมูลอื่นที่เกี่ยวข้องกับชื่อ domain ที่ต้องการค้นหาได้แก่ ข้อมูล DNS ของ Mail server เป็นต้น

ภาพตัวอย่างการใช้คำสั่ง Nslookup ผ่านเว็บไซต์ http://www.kloth.net/services/nslookup.php

4. นำ IP / domain name ที่ต้องการเอาไปค้นหาเพิ่มเติมใน Search engine เพื่อเรียนรู้กับข้อมูลที่ปรากฏให้มากที่สุด

5. นำ IP / domain name ที่ต้องการไปตรวจสอบกับเว็บไซต์ที่ใช้ตรวจความผิดปกติ เช่น botnet, spam , phishing , malware เป็นต้น จากแหล่งค้นหาดังนี้ google safe browsing , siteadvisor , phishtank , SANS , Project Honeypot หรือ Team Cymru เป็นต้น เพื่อค้นหาว่า IP / domain นั้นมีประวัติที่เกี่ยวข้องกับภัยคุกคามต่อผู้ใช้งานหรือไม่

หากกล่าวโดยสรุปถึงเทคนิคการสืบหาผู้กระทำความผิดทางอินเตอร์เน็ต สิ่งแรกที่เราต้องทราบก่อนนั้นคือ IP Address เป้าหมาย และตามมาด้วยช่วงวันและเวลาที่เกิดเหตุการณ์ โดยให้วิเคราะห์เป็นชั้นๆ ตาม 3 in 3 out เราจะได้มีกรอบในการปฏิบัติงานมากขึ้น

นนทวรรธนะ สาระมาน
Nontawattana Saraman


Monday, October 5

การทำ Penetration Test แบบมืออาชีพ ตอนที่ 2

จากตอนที่แล้วเราพบว่าการทำ Penetration test นั้นมีความสำคัญกับการที่จะประเมินหาช่องโหว่ที่เกิดขึ้นจากการใช้งานไอซีที ของบริษัทแล้วนั้น ตอนนี้มาทำความเข้าใจมากขึ้นอีกชนิดหนึ่งของการทำ Penetration test นั้นคือการทำ Penetration test ภายในองค์กร หรือจะเรียกว่า white box ก็ได้ ซึ่งการทำงานประเภทนี้ต้องได้รับความร่วมมือกับผู้ดูแลระบบของฝั่งผู้ใช้บริการ ตั้งแต่การให้แผนผังระบบเครือข่าย จำนวน IP Address ตลอดถึงรายละเอียดประเภทอุปกรณ์เครือข่ายที่เกี่ยวข้อง เป็นต้น เริ่มกันถึงตอนที่ 2 ต่อเนื่องเลยแล้วกันครับ

2. การทำ Penetration test ภายในองค์กรเชิงลึก
เป้าหมายในการทำ Penetration test ภายในคือการทดสอบหาช่องโหว่ที่พบจากการใช้งานไอซีทีในองค์กรเพื่อประเมินช่องโหว่และทำการปิดกั้นช่องโหว่ที่ค้นพบขึ้นเพื่อไม่เกิดปัญหาขึ้นในระยะยาว

มีขั้นตอนการทำงานดังนี้

2.1 สำรวจ : สำรวจผังโครงสร้างงานได้ไอซีทีขององค์กร, แผนผังระบบเครือข่าย, ประเภทอุปกรณ์ประกอบด้วย
- Network Device ได้แก่ จำนวนอุปกรณ์ Router , อุปกรณ์ Switch, อุปกรณ์ Firewall, Network Load balacing, Network VPN, Bandwidth management, อุปกรณ์ Network IDS/IPS
ซึ่งต้องบอกตำแหน่ง (Perimeter zone , DMZ zone) และค่า IP Address เป็นต้น
- เครื่องแม่ข่าย (Server) ได้แก่ Web Server, Mail Server , DNS Server ภายใน, Proxy Server, Authentication Server, ERP Server ซึ่งต้องบอกตำแหน่ง (DMZ zone) และค่า IP Address เป็นต้น
- เครื่องลูกข่าย (Client) ได้แก่ ระบบปฏิบัติการที่ใช้งานได้แก่ Window XP , Linux อื่นๆ ต้องบอกตำแหน่ง (VLAN) และค่า IP Address เป็นต้น

2.2 ตรวจสอบ : ตรวจสอบตามมาตราฐาน Security Checklist ดังนี้
ตรวจสอบความมั่นคงปลอดภัยตามมาตราฐานของ อุปกรณ์ Network Devices ได้แก่ Security Checklist Router , Firewall , IDS/IPS เป็นต้น
ตรวจสอบความมั่นคงปลอดภัยตามมมาตราฐานของ เครื่องแม่ข่าย (Server) ได้แก่ Security Checklist Windwos 2000 server , 2003 server , Linux Server เป็นต้น
ตรวจสอบความมั่นคงปลอดภัยตามมาตราฐานของ เครื่องลูกข่าย (Client) ได้แก่ Security Checklist การใช้งานเครื่องคอมพิวเตอร์ในองค์กรตามมาตราฐาน ISO27001 เป็นต้น

ซึ่งในส่วน security checklist นั้นทางผู้ปฏิบัติงานสามารถนำข้อมูลจาก NIST , NSA หรือ Thaicert ในเอกสารตรวจสอบในแต่ละส่วนได้

2.3 วิเคราะห์ : การวิเคราะห์ช่องโหว่ที่พบจากการสำรวจและตรวจสอบ
ในการวิเคราะห์นี้สามารถใช้อุปกรณ์ หรือ เครื่องมือในการประเมินความเสี่ยงเพื่อตรวจหาความผิดปกติและช่องโหว่ที่พบตามอุปกรณ์เครือข่าย (Network Devices) และเครื่องแม่ข่าย (Server) ที่สำคัญได้
การใช้เครื่องมือในการประเมินความเสี่ยง สิ่งที่ควรตรวจสอบให้มากขึ้นได้แก่

* การวิเคราะห์ในระดับเครือข่ายคอมพิวเตอร์ (Network Analysis)
- ปริมาณการใช้งาน Bandwidth ของระบบเครือข่าย ทั้งข้อมูลขาเข้าและขาออก
- ปริมาณ Throughput ของระบบเครือข่ายทั้งขาเข้าและขาออก แยกตาม Application Protocol ที่สำคัญ
ด้วยเนื่องจากจะช่วยตรวจสอบถึงการใช้งานอันไม่พึ่งประสงค์ของ User ในองค์กร ว่ามีการแพร่ระบาดไวรัสคอมพิวเตอร์ , เครื่อง User เป็น Botnet , การส่งข้อมูลขยะ (spam) หรือมีพฤติกรรมที่ผิดต่อนโยบายบริษัทหรือไม่อีกด้วย ซึ่งในส่วนนี้เราจะสามารถนำไปวิเคราะห์เป็นค่าภัยคุกคามในองค์กร ที่ใช้ประกอบกับขั้นตอนสุดท้ายคือการประเมินได้ต่อไป

** การวิเคราะห์ในระดับอุปกรณ์เครือข่ายและเครื่องแม่ข่ายที่สำคัญ
- ทำการใช้เครื่องมือประเมินความเสี่ยงเพื่อตรวจดู Port Services ที่อุปกรณ์เครือข่าย และ เครื่องแม่ข่ายที่สำคัญเปิดอยู่
- วิเคราะห์ช่องโหว่จากการใช้เครื่องมือหลังจากตรวจ Port Services แล้วจะพบว่า Services ที่ทำการใช้งานอยู่บนอุปกรณ์เครือข่ายและเครื่องแม่ข่ายที่สำคัญ นั้นมีการเปิดใช้งานอยู่ นั้นมีความช่องโหว่ที่เป็นภัยรุนแรงหรือไม่ เช่น เปิด Port services 80 TCP เป็น Application Protocol ของ HTTP ซึ่งในนี้ประกอบด้วย Web Server ที่ใช้งานอยู่ที่เป็น IIS , Apache , หรืออื่นๆ ซึ่งหากเป็น Version ที่มีช่องโหว่ หรือมี code exploit ที่สามารถส่ง command หรือ script จากทางไกลและสามารถยึดครองเครื่องนั้นได้ก็จะถือว่าเป็นระดับภัยคุกคามที่รุนแรง เป็นต้น
- วิเคราะห์หา Security Patch ที่อัพเดทล่าสุดเพื่อเสริมสร้างความมั่นคงปลอดภัยให้กับอุปกรณ์เครือข่าย และ แม่ข่ายที่สำคัญ โดยทั้งนี้ควรทำการเตรียมแผนทดสอบถึงผลกระทบก่อนการอัพเดท Security Patch ก่อน

4. ประเมิน : ขั้นตอนนี้จะเป็นการสรุปผลความเสี่ยงที่พบจากขั้นตอนที่ผ่านมา โดยทำเป็นค่าดัชนีชี้วัดความเสี่ยง และผลการปฏิบัติงาน รวมถึงแนวทางในการปิดกั้นส่วนที่เป็นช่องโหว่ (Hardening) และป้องกันในระยะยาว ซึ่งในส่วนนี้จะเน้นไปทางการทำรายงานผล ในรูปแบบเอกสาร
ขยายความค่าดัชนีชี้วัดความเสี่ยงเกิดจาก Risk = Vulnerability x Threat
ค่าความเสี่ยงที่ประเมินได้ ขึ้นอยู่กับนโยบายขององค์กรด้วย หาดูแล้วไม่กระทบกับธุรกิจมากค่าความเสี่ยงนั้นก็จะแปรผันไปกับการประเมินความเสี่ยงของผู้ปฏิบัติงาน (Penetration tester) ซึ่งในแต่ละที่อาจมีค่าการประเมินไม่เหมือนกัน
เช่น ในกรณีที่พบว่า พบช่องโหว่ Web Server ที่ระบบ IIS 6.0 ที่ยังไม่ได้อัพเดท Patch security เมื่อประเมินแล้วว่า Web Server นั้นไม่สามารถเข้าถึงได้จากอินเตอร์เน็ต และเป็นเครื่องเฉพาะในแผนกใดแผนกหนึ่งดังนั้นระดับความสำคัญที่เป็นภัยคุกคามที่รุนแรงก็จะน้อยกว่าเครื่อง Web Server ที่เผยแพร่ข้อมูลสาธารณะ (Public IP) ได้เป็นต้น ซึ่งค่าดัชนีชี้วัดส่วนนี้ขึ้นกับผู้ปฏิบัติงานในการทำ Penetration Test และประสบการณ์ รวมถึงความเขี่ยวชาญของบุคคลนั้นในการประเมิน บางครั้งการให้บริษัทต่างที่กันมาประเมินหาความเสี่ยง ก็อาจมีค่ารายงานผลไม่เท่ากันเสมอไป ขึ้นอยู่กับทีมปฏิบัติงาน ซึ่งหากในทีมมี Certification ด้าน Security แทบไม่มีผลหากผู้ปฏิบัติงานหากขาดประสบการณ์ในส่วนการวิเคราะห์และประเมินค่าความเสี่ยงนี้ได้

สรุปได้ว่าค่า Vulnerability (ช่องโหว่ที่ค้นพบ จาก อุปกรณ์เครือข่ายที่สำคัญ และเครื่องแม่ข่ายที่สำคัญ) จะมีระดับความเสี่ยง สูง กลาง และต่ำ หรืออาจจะมีรายละเอียดมากกว่านั้น
ค่า Threat (ภัยคุกคาม) ขึ้นกับนโยบายองค์กร และการประเมินค่าจะผู้ปฏิบัติงาน นำมารวมค่ากันแล้วจะได้เป็นดัชนีชี้วัดความเสี่ยงได้ ซึ่งการประเมินส่วนนี้ก็เป็นเทคนิคลับของแต่ละบริษัทที่ใช้ในการประเมินและสามารถวัดผลได้จริงในทางปฏิบัติ

มาถึงตรงนี้บอกได้ว่าการประเมินความเสี่ยงนั้นไม่สามารถที่สิ้นสุดการทำงานได้จากการใช้เครื่องมือ (tools) มาแล้วจะสรุปค่าความเสี่ยงที่เกิดขึ้นจากการใช้งานไอซีทีองค์กรได้จำเป็นต้องอาศัยคนวิเคราะห์ถึงระดับภัยคุกคามและผลลัพธ์รายงานที่มีประโยชน์ต่อบริษัทเพื่อใช้ในการปรับปรุงแก้ไขให้ระบบมีความแข็งแรงและมีความปลอดภัยขึ้น

นนทวรรธนะ สาระมาน
Nontawattana Saraman
05/10/52

การทำ Penetration Test แบบมืออาชีพ ตอนที่ 1

หลายคนคงสงสัยว่า Penetration Test กับ Vulnerability Assessment มันแตกต่างกันอย่างไง วันนี้เราสามารถกระจ่างกับ 2 ศัพท์นี้กัน
คำว่า Penetration test คือการทดสอบเพื่อหาช่องทางในการเข้าถึงระบบ (Exploit) ซึ่งการเข้าถึงระบบโดยผ่านช่องโหว่ที่พบอาจเป็น 0day ที่ยังไม่พบการแจ้งเตือนจากผู้ผลิต (Vendor) และการกระทำใดๆที่อาจทำให้ผู้ว่าจ้างได้ทราบถึงความเสี่ยง เสมือนปฎิบัติจริงการเป็นแฮกเกอร์เพื่อเจาะระบบ

ส่วนคำว่า Vulnerability Assessment คือ การประเมินหาความเสี่ยงที่เกิดจากช่องโหว่ที่ค้นพบ ตามช่องโหว่ที่มีความเสี่ยง ซึ่งส่วนใหญ่แล้วเป็นความเสี่ยงที่ปรากฎต่อสาธารณะแล้วตาม CVE (Common Vulnerabilities and Exposures)
ความแตกต่างทั้ง 2 คำนี้ก็คือ Pen-test นั้นคือการทดสอบเจาะระบบแบบแฮกเกอร์ เพื่อประเมินความเสี่ยงของธุรกิจหรือองค์กรนั้น ส่วน VA จะเน้นตรวจหาช่องโหว่ที่เป็นสาธารณะที่มีการเผยแพร่ช่องโหว่นั้นแล้ว เพื่อไม่ให้ถูกโจมตีจากผู้ไม่ประสงค์ดีได้  ทั้งคู่นี้จำเป็นต้องออกรายงานถึงระดับความเสี่ยงให้ผู้ว่าจ้างนั้นได้รู้ถึงภัยอันตรายที่อาจเกิดขึ้น

ดังนั้นหากเราพิจารณาดีๆ แล้วการทำ Penetration test จะเกิดก่อนการทำ Vulnerability Assessment อยู่ยกเว้นในบางกรณีที่ลูกค้าหรือผู้ใช้บริการทราบถึงช่องโหว่แล้วแต่ยังไม่สามารถประเมินค่าช่องโหว่ได้ตรงนี้ก็จะกระโดดไปทำ Vulnerability Assessment ได้ทันที แต่หากไม่สามารถระบุช่องโหว่อะไรได้เลยสิ่งแรกที่เราควรทำคือการทดสอบเจาะระบบเพื่อหาช่องทางในการเข้าถึงระบบเสียก่อน จึงเกิดเป็นการทำ Penetration test

การทำ Penetration test และ Vulnerability Assessment มีหลักการง่ายๆ ที่ทางทีมงาน SRAN ได้รวบรวมและสรุปเป็นขั้นตอนการปฏิบัติงานที่กระชับขึ้นและสามารถใช้ได้ทุกสถานะการณ์โดยสามารถแบ่งเป็นเนื้องานได้ดังนี้

การทำ Penetration test (การทดสอบเจาะระบบในเชิงลึก) ทั้งที่เกิดจากภายนอกระบบและภายในระบบเครือข่ายองค์กร ซึ่งการทำงานประเภทนี้ควรได้รับการอนุญาตจากบริษัท,องค์กรที่ว่าจ้างและมีการทำสัญญาการไม่เผยแพร่ความลับ และให้ดีกว่านั้นคืออาจต้องมีการเตรียมการกับผู้ดูแลระบบบริษัท , องค์กรให้ทราบถึงช่วงเวลาในการปฏิบัติงานที่แน่นอน เพื่อจะได้ระบุได้ว่าการโจมตีเกิดจากการทดสอบเจาะระบบจากทีมงานไม่ใช่นักโจมตีระบบอื่นที่ไม่เกี่ยวข้องในงาน ซึ่งส่วนนี้หากองค์กรมีระบบตรวจจับผู้บุกรุก IDS (Intrusion Detection System) ไม่ว่าเป็นระดับ Network หรือ Host base ก็จะเห็นความผิดปกติที่เกิดจากการทำการประเมินความเสี่ยงได้จาก Log ที่เกิดขึ้นบนอุปกรณ์ ซึ่งสามารถลัดขั้นตอนการทำประเมินความเสี่ยงโดยใช้อุปกรณ์ประเภทที่สามารถวิเคราะห์ Log files ที่เกิดบนระบบเครือข่ายคอมพิวเตอร์ได้ในที่นี้เราแนะนำใช้ NetApprove

1. การทำ Penetration Test จากภายนอกระบบเครือข่ายองค์กร หรืออาจเรียกว่าการทำ Black Box ก็ได้ คือ การใช้เครื่องคอมพิวเตอร์จำลองเป็นนักโจมตีระบบเพื่อหาทางเข้าสู่ระบบเครือข่ายองค์กรที่ให้ทำการประเมินความเสี่ยง โดยมีขั้นตอนดังนี้

1.1 สำรวจ : ตรวจหาเครือข่ายเป้าหมายในการปฏิบัติงาน เช่นบริษัท XYZ ต้องการให้ทำ Penetration test เพื่อดูว่าเครือข่ายองค์กรบริษัทมีช่องทางใดที่เป็นช่องโหว่และมีโอกาสที่ถูกโจมตีจากภายนอกได้
- การค้นหาข้อมูลบริษัท XYZ กับช่องทางการเชื่อมต่ออินเตอร์เน็ต โดยใช้เครื่องสาธารณะ และซอฟต์แวร์ในการค้นหาข้อมูล ซึ่งประกอบด้วย การค้นหาช่องทางสาธารณะได้แก่การ whois ชื่อ Domain name บริษัท XYZ ที่ทำการเปิดข้อมูลในสาธารณะเช่น เว็บไซต์ บริษัท อีเมลล์บริษัท เป็นต้น สิ่งที่ได้ตรงนี้คือเราจะทราบถึง รายชื่อผู้จดทะเบียนชื่อเว็บไซต์รของบริษัท ที่อยู่ เบอร์โทรศัพท์ที่ใช้ในการติดต่อ วันหมดอายุของ domain เว็บไซต์บริษัทนั้นได้ วิธีอาจจะไม่ได้รับข้อมูลทั้งหมดเนื่องจากสมัยนี้ได้มีการปิดข้อมูลชื่อผู้จดทะเบียนเว็บไซต์ และข้อมูลอีเมลล์ในการติดต่อได้
ผลลัพธ์ที่ได้จากการค้นหาข้อมูลสาธารณะนั้น คือ รายชื่ออีเมลล์ของผู้จดทะเบียนเว็บไซต์ ซึ่งปกติหากมีการจดทะเบียนควรตั้งชื่อเป็น pool e-mail ไม่ควรใช้ชื่อใครคนใดคนหนึ่งในองค์กรเป็นคนจดทะเบียนเว็บไซต์ ก็เพื่อว่าหากมีการโยกย้ายงาน หรือคนที่จดทะเบียนนั้นไม่อยู่ในบริษัทแล้วก็จะทำให้การอัพเดทข้อมูลในการจดทะเบียนเว็บไซต์เป็นไปอย่างยากลำบากขึ้น อีกทั้งหากเป็นชื่อ domain name ของเว็บไซต์ที่มีความสำคัญบุคคลที่จดทะเบียนเว็บไซต์ก็อาจจะมีความเสี่ยงที่นักโจมตีระบบจะใช้ช่องทาง e-mail เป็นการปลอมตัวเพื่อเข้าไปเป็นผู้จดทะเบียนเว็บไซต์ได้จากวิธีการเดา password หรือส่ง Trojan ไปที่ e-mail บุคคลนั้นเพื่อได้มาซึ่ง domain name ที่ได้ลงทะเบียนไว้ ถือว่าเป็นการยึด domain nameได้เช่นกัน ในปัจจุบันก็พบกันบ่อยๆว่ามีการยึด domain name เป็นตัวประกันเช่นกัน ในการค้นหาข้อมูลบริษัท XYZ ยังสามารถใช้เครื่องมือในการเรียกใช้บริการ DNS ที่ผู้จดทะเบียนเว็บไซต์นั้นได้เช่น DNS เชื่อมโยงไปยังที่ใด ฝากไว้กับ ISP หรือตั้ง DNS Server เอง ซึ่งส่วนนี้จะสามารถค้นหาช่องโหว่ที่เกี่ยวข้องกับการใช้บริการ DNS Server ได้โดยตรวจสอบหา Zone Transfer เพื่อดูความสัมพันธ์อื่นจากชื่อ domain อื่นที่พบ เช่น www.xyz.com พบว่ามี DNS ที่เกี่ยวข้องคือ mail.xyz.com , ns1.xyz.com , ns2.xyz.com เป็นต้นก็จะทำให้เครื่องเป้าหมายที่เราจะทำการ Penetration test เพิ่มช่องทางการเข้าถึงได้ถึง 3 เครื่องจากในตัวอย่างนี้ที่กล่าวไป

ในการใช้ข้อมูลสาธารณะนั้นยังมีอีกมากมาย เช่นตรวจสอบสถานะ Link ของเว็บไซต์ เพื่อดูความสัมพันธ์ของข้อมูล , ตรวจสอบหา e-mail ของ domain จากเครื่องมือค้นหา (search engine) เพื่อดูพฤติกรรมการใช้ข้อมูลองค์กร ในกรณีก็ค้นหาคำว่า @xzy.com เพื่อว่าจะเข้าถึงระบบจาก e-mail พนักงานในองค์กรได้อีกทาง ซึ่งหากทำ Penetration test ควรจะแจ้งให้บริษัทรับทราบถึงวิธีการดังกล่าวด้วย ไม่เช่นนั้นอาจผิดตามกฏหมายคอมพิวเตอร์ฯได้เช่นกันหากมีการตรวจสอบพบ

- สำรวจช่องทางการเข้าถึงเครือข่ายองค์กร โดยวิธีการนี้ต่อยอดจากการแบบแรก ซึ่งเน้นไปทางการค้นหาเส้นทางการเดินทางของข้อมูล (Route) ของบริษัท Xyz เพื่อออกสู่อินเตอร์เน็ตภายนอก หากพบว่าช่วง IP Address ที่เป็น Public IP ของบริษัทนั้นที่ค่ามาจาก ISP ก็จะทำให้มีช่องทางการเข้าถึงมากขึ้นจากเดิม ซึ่งจะทำให้นักโจมตีระบบสามารถใช้เทคนิคการตรวจสอบได้มากขึ้นเช่นการทำ DDoS/DoS กับช่วง IP ที่บริษัทได้รับมาเป็นต้น

สรุปได้ว่าในขั้นตอน สำรวจ นั้นจะต้องหาข้อมูลเกี่ยวข้องกับบริษัทที่ให้ประเมินความเสี่ยงมากที่สุด เพื่อหาช่องทางในการเข้าถึงระบบได้หลากหลายช่องทางขึ้น

1.2 ตรวจสอบ : เมื่อเราทำการรวบรวมข้อมูลที่ได้มาจากขั้นตอนสำรวจนั้น ก็จะทำการวาดรูปความสัมพันธ์เครือข่ายองค์กรออกมาพร้อมกำหนดจุดที่ทำการตรวจสอบขึ้น การตรวจสอบมักจะใช้ check list ตามมาตราฐาน หรือใช้เครื่องมือในการตรวจสอบ ในกรณีนี้เป็นการทำ Penetration test จากภายนอก สิ่งที่ตรวจสอบได้แก่
- Information leak จากขั้นตอนที่หนึ่ง เช่น รายชื่อผู้จดทะเบียนเว็บไซต์, e-mail, รายชื่อ DNS ที่มีความสัมพันธ์กับบริษัท, ข้อมูลรั่วจากการใช้งานอินเตอร์เน็ตได้แก่ e-mail พนักงานในการโพสข้อมูล, Link ของเว็บไซต์บริษัทที่ทำให้ได้ข้อมูลอื่นๆเป็นต้น
- Web Application checklist ตรวจสอบช่องโหว่ที่พบจากเว็บไซต์ในกรณีคือ www.xyz.com ว่ามีช่องโหว่ในการเข้าถึงระบบผ่าน Web application จากมาตราฐาน OWASP เป็นต้น รายละเอียดการตรวจสอบเบื้องต้นสามารถอ่านได้ที่ http://nontawattalk.blogspot.com/2009/09/layer-7-3.html

- DNS server checklist ตรวจสอบค่า Domain name server ที่แสดงข้อมูลสาธารณะ
- E-mail Server checklist ตรวจสอบค่าการใช้งาน E-mail server ที่แสดงข้อมูลสาธารณะ เช่นกรณีที่ บริษัท XYZ จัดทำ Mail server เองขึ้นการตรวจสอบจะตรวจว่า Mail server ของบริษัทนั้นจะมีโอกาสจดหมายขยะจะเข้าถึงได้หรือไม่เป็นต้น
- Network Topology checklist ตรวจสอบการเชื่อมต่ออินเตอร์เน็ตบริษัท เส้นทางการ route ข้อมูลจำนวน Linkของ ISP ที่บริษัท xyz ใช้บริการ ซึ่งส่วนนี้จะเน้นไปการทดสอบ DDoS/DoS ว่าทางบริษัท xyz มีการควบคุมการโจมตีชนิดนี้ได้หรือไม่ ซึ่งจะสะท้อนให้เห็นถึงความพร้อมโครงสร้างเครือข่าย (Network) ของบริษัทว่าได้มีการจัดเตรียมเทคโนโลยีด้านความมั่นคงปลอดภัยครบถ้วนในส่วน Perimeter network เช่นได้มีการจัดทำ ACL (Access Control List) ค่า Blacklist ในอุปกรณ์ Router หรือ Firewall , มีอุปกรณ์ Firewall ที่ป้องกันทางเครือข่ายในระดับ stateful inspection หรือไม่ เป็นต้น
- ตรวจสอบ Port services จากข้อมูลในขั้นตอนสำรวจ เช่น เราพบ IP Address ของเว็บไซต์บริษัท , e-mail , DNS server, Router ก็ทำการตรวจสอบว่ามี Port services อะไรที่ทำการเปิดไว้เพื่อจะทำการขยายผลต่อในขั้นตอนต่อไป

1.3 วิเคราะห์ : เมื่อทำการตรวจสอบจากการสำรวจและตรวจสอบ ภายนอกเครือข่ายองค์กรแล้วนำข้อมูลเหล่านั้นมาทำการวิเคราะห์เพื่อศึกษาว่าพบช่องโหว่และการเข้าถึงข้อมูล เช่น จากการตรวจสอบ Port services พบว่ามีการเปิด Port ที่มีช่องโหว่และสามารถเข้าถึงระบบจากภายนอกได้ ผ่านการให้บริการ Web server port 80 ช่องโหว่ที่พบคือ มีการใช้ Web server version เก่าและมี tools ในการเข้าถึงระบบ (Exploit) ผ่านช่องโหว่นี้ได้ หรือ ใน Web server เปิด port 1433 เป็นการเปิด port SQL server เป็น Data base บนเครื่อง Web server และมี exploit ที่เข้าถึงระบบได้ เป็นต้น
ในขั้นตอนวิเคราะห์จะลงรายละเอียดถึงการเข้าถึงระบบจากภายนอก เป็นส่วนๆจากขั้นตอนสำรวจและตรวจสอบ เช่น ส่วนของ Web server , ส่วนของ E-mail Server , ส่วนของ DNS server และส่วนของ Router เป็นต้น

1.4 ประเมิน : ในส่วนนี้ผมขอเรียกว่า Vulnerability Assessment เมื่อทำการวิเคราะห์ถึงช่องโหว่ที่พบแล้ว ถึงขั้นตอนสุดท้ายคือการประเมิน ว่าช่องโหว่ที่พบนั้นมีความเสี่ยงและมีผลกระทบต่อธุรกิจองค์กรอย่างไร
ส่วนใหญ่เป็นเอกสารการแนะนำและการปิดช่องโหว่ที่พบ
สูตรการหาค่าความเสี่ยงต่อธุรกิจองค์กร Risk = Vulnerability x Threat หรือบ้างครั้งอาจจะเห็นเป็นสูตร
Risk = Vulnerability x Threat x cost การประเมินความเสี่ยง (Risk Assessment) สามารถมองได้ 2 แบบคือด้านมหาภาคภาพรวมองค์กร ที่ต้องดูถึง 3P คือ
Vulnerability คน กระบวนการ และเทคโนโลยี
Threat จากคน กระบวนการและเทคโนโลยี
และ จุลภาคคือทางด้านเทคนิคอย่างเดียว คือมอง Vulnerability และ Threat เฉพาะทางเทคโนโลยี
และทั้งหมดผมขออธิบายก็เป็นเฉพาะส่วนของเทคนิคอย่างเดียว ยังไม่มองแบบครบ 3P
คือการประเมินหาความเสี่ยงจาก
ค่าความเสี่ยง (Risk)ที่พบ จะเกิดจาก ช่องโหว่ที่พบ (Vulnerability) คูณกับค่าภัยคุกคาม (Threat) ลักษณะภัยคุกคามที่พบก็มีความเสี่ยงสูง กลาง และต่ำ ซึ่งส่วนนี้ขึ้นอยู่รูปแบบผู้ทำเอกสารว่าจะจัดทำค่าการประเมินความเสี่ยงจากอุปกรณ์หรือเครื่องมือในตรวจวิเคราะห์ (Tools) มาสรุปความเสี่ยง สูง กลาง และต่ำ ก็ได้

และจัดทำค่าดัชนีชี้วัดความเสี่ยงที่มีผลกระทบต่อธุรกิจทางด้านเทคนิค ซึ่งเอกสารในผลลัพธ์ของแต่ละบริษัทที่จัดทำอาจจะมีรูปแบบที่แตกต่างกันได้เช่นกัน

ในตอนหน้าเรามาพูดถึงการทำ Penetration test และ Vulnerability Assessment ภายในองค์กรกันต่อไปครับ


เขียนโดย
นนทวรรธนะ สาระมาน
Nontawattana Saraman
4 / 10 /52

Friday, October 2

SRAN ใส่ใจความเป็นส่วนตัว

ดูคลิปเองเลยครับไม่มีคำบรรยาย



หลังจากนำอุปกรณ์ SRAN Light ติดตั้งที่เครือข่ายคอมพิวเตอร์ในบริษัทแล้ว เราจะสามารถทำการกำหนดค่าความเป็นส่วนตัวของพนักงานได้ SRAN Light ใส่ใจข้อมูลความเป็นส่วนตัวของคุณ
รายละเอียดเพิ่มเติมดูได้ที่ http://sran.org/q

นนทวรรธนะ สาระมาน
Nontawattana Saraman

ปฏิวัติระบบระบุตัวตนทางเครือข่ายคอมพิวเตอร์ SRAN Light ตอนที่ 2

เคยเบื่อบ้างไหม! กับการต้องมานั่ง Login ทุกครั้งเมื่อต้องการใช้งานอินเตอร์เน็ต เหตุเพราะที่ทำงานต้องการเก็บ Log คนเข้าใช้งาน เลยต้องทำระบบระบุตัวตน (Authentication) การ Login เป็นการยืนยันตัวตนแบบชั้นเดียวก็มีโอกาสผู้อื่นมาใช้ username และ password ที่สุดแสนจะเดาง่ายของเราได้ เนื่องจากต้องทำการ Login บ่อยๆ จึงทำให้ตั้ง password ที่สะดวกในการจดจำ

แล้วเคยเบื่อบ้างไหมว่า ลงทุนระบบไปแล้วติดตั้งไม่รู้จักจบจักสิ้นเสียที ติดตั้งมาเป็นเดือนแล้วยังไม่ได้ผลลัพธ์อย่างที่ต้องการ แถมซ้ำ Log ที่ได้มากับค้นหาผู้กระทำผิดได้ยากหรืออาจจะไม่ได้เลยเพราะอ่านไม่รู้เรื่อง หากเคยเบื่อกับอาการดังกล่าว ลองหันมาฟังทางนี้ เรามีทางเลือกใหม่ให้ ทุกอย่างครบและเสร็จสิ้นที่อุปกรณ์เดียวในชื่อ SRAN Light จะทำให้ Log ที่เห็นเป็นเรื่องง่ายในการสืบค้นโดยไม่จำเป็นต้องอาศัยผู้เชี่ยวชาญก็อ่าน Log ของ SRAN แล้วบอกถึงผู้กระทำความผิดทางคอมพิวเตอร์ได้

SRAN Light ถูกออกแบบมาเพื่อให้ผู้ใช้ (User) เกิดความสะดวกสบาย ขึ้นโดยไม่ต้อง Login ทุกครั้งที่จะเชื่อมต่ออินเตอร์เน็ตในเครือข่ายองค์กร เพียงครั้งแรกและครั้งเดียวระบบก็จะเก็บบันทึกความเป็นตัวตนของผู้ใช้งานไว้ ด้วยเทคโนโลยี HBW (Human Behavioral Warning System) ที่ได้ถูกคิดค้นขึ้นจากทีมงาน SRAN จึงทำให้ไม่ต้อง Login แล้ว Login อีก ก็สามารถระบุตัวตนผู้ใช้งานได้อย่างครบถ้วน

รายละเอียด http://sran.org/q

ไฟล์เอกสารแนะนำเทคโนโลยีและการออกแบบการใช้งานสำหรับ SRAN Light http://sran.org/b2

คลิปสาธิตการเฝ้าระวังภัยคุกคามภายในองค์กร (Insider Threat)


อีกก้าวหนึ่งของทีมงาน SRAN ที่พัฒนา SRAN Light เป็นการระบุตัวตนและเฝ้าระวังภัยคุกคามทางเครือข่ายคอมพิวเตอร์ได้อย่างลงตัว
สนใจติดต่อตัวแทนขายที่ท่านรู้จักเพื่อทดลองใช้ดูกัน อีกสิ่งดีๆที่ต้องการเสนอให้กับเครือข่ายองค์กรในประเทศไทยได้รู้ทันภัยคุกคามที่อาจเกิดขึ้นกับตัวของท่านและบริษัทของท่านได้ตลอดเวลา SRAN Light ถือว่าเป็นก้าวหนึ่งที่แสดงถึงการพัฒนาการอย่างไม่หยุดนิิ่งจากทีมวิจัยพัฒนา SRAN

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Thursday, October 1

ปฏิวัติระบบระบุตัวตนทางเครือข่ายคอมพิวเตอร์ SRAN Light ตอนที่ 1


ผมได้ดูพิธีวันชาติของประเทศจีนเมื่อวานนี้จากทางข่าวในทีวี บอกว่าอาวุธ,ถัง และเทคโนโลยีการทหารและด้านความมั่นคงของชาติ เป็นเทคโนโลยีที่จีนเป็นเจ้าของทั้งสิ้น ซึ่งในความเป็นเราๆก็รู้ๆกันอยู่ว่าจีนเก่งในเรื่อง C&D (Copy and Development) แต่นั้นไม่ใช่ปัญหา เนื่องจากผลลัพธ์ที่เราๆท่านๆเห็นอยู่ตรงหน้านั้นคือความยิ่งใหญ่ จนทุกวันเราคงยอมรับกันอย่างแพร่หลายแล้วว่าประเทศจีนคือประเทศมหาอำนาจชาติหนึ่งและเรียกได้ว่าอาจเป็นอันดับหนึ่งของโลกไปแล้วในไม่ช้านี้

ความเหมือนกันของวันชาติสิงคโปร์กับจีนนั้นเหมือนกันคือแสดงให้เห็นถึงความรักต่อประเทศของตน และแสดงศักยภาพให้ต่างประเทศที่ได้รับรู้ข่าวสารอย่างเราได้แต่ชื่นชม
ที่ผมกล่าวเช่นนี้นั้นหมายความได้ว่า ประเทศไทยหากจะต้องการเป็นมหาอำนาจอย่างเขา เราต้องเริ่มที่จะทำเทคโนโลยีเราเองบ้าง ผมคิดว่าประเทศไทยเป็นประเทศที่อุดมสมบูรณ์กว่า 2 ประเทศที่กล่าวมาอยู่มาก โดยเฉพาะภัยทางธรรมชาตินั้นเราน้อยกว่าเห็นๆ ยิ่งมีพายุเข้าในช่วงนี้รู้สึกรักประเทศไทยมากขึ้น คิดดูสิ พายุก่อตัวที่ฟิลิปปิน กว่าจะเคลื่อนเข้าประเทศไทย ต้องผ่านเวียดนาม ลาว กว่าถึงไทย พายุก็อ่อนกำลังลง ทะเลของเราก็สวยแถมยังเสี่ยงภัยน้อยกว่าที่อื่นๆ มองจากแผนที่โลกลงมาเนื้อที่โดดเด่นที่สุดก็คิดว่าเป็นประเทศไทยนี้แหละ อยู่ตรงกลางพอดีเลย
ที่กล่าวมาทั้งหมดไม่ได้เกี่ยวกับหัวข้อเลยแค่อยากให้คนไทยเริ่มต้นที่สร้างชาติกันอย่างหยั่งยืน ซึ่งอีกทางหนึ่งบนความรู้และความถนัดของผมและทีมงานแล้วเราก็คงได้เป็นเพียงส่วนหนึ่ง
และตอนนี้เราได้พัฒนาเทคโนโลยีตัวหนึ่งที่อยากนำเสนอ จริงๆเขียนไว้แล้วที่ http://www.sran.net/

Presentation ในงานเปิดตัว SRAN Light





ประเทศไทยจะก้าวไกลได้ทุกคนในชาติต้องสนับสนุนเทคโนโลยีที่เกิดจากภูมิปัญญาของคนไทยด้วยกัน
อย่าคิดว่าของไทยแล้วห่วยเทคโนโลยีไทยเป็นได้แค่การเกษตร จนมองข้ามเทคโนโลยีที่ถือว่าเป็นตัวชี้วัดคุณภาพของประเทศนั้นได้ไป และมองเพียงว่าเทคโนโลยีที่คนไทยทำนั้นไม่ work! ต้องบอกว่าไม่มีผู้ประกอบการคนไหนที่ต้องการสร้างของไม่ดีให้กับผู้บริโภคหลอก ยิ่งเราอยู่ตรงนี้ถ้าทำไม่ดีคนก็ว่าเราได้ตรงๆ กระทบต่อชื่อเสียงเราตรงๆ ต่างกับเทคโนโลยีข้ามชาติถ้าไม่ work เขาก็เอาตัวอื่นมาขายไม่ได้ยืนอยู่ตรงนี้เหมือนกับเรา รวมกันเถอะครับสนับสนุนเทคโนโลยีที่คนไทยเป็นผู้พัฒนาขึ้นอย่างน้อยทำให้เจตนาผู้ทำได้มีกำลังใจในการทำงานไม่เฉพาะ SRAN แต่ทุกเทคโนโลยีนับแต่นี้ไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman