Tuesday, September 14

ร่วมตรวจสอบเว็บไทย ให้ปลอดภัยจากภัยร้าย

อีกหนึ่งโครงการดีๆ ที่จัดทำขึ้นโดยทีมพัฒนา SRAN
ชื่อโครงการภาษาไทย เรียก "คอมพิทักษ์" ภาษาอังกฤษใช้ว่า "Comsentry"

ที่มาโครงการ เพื่อเป็นรวบรวมข้อมูลการใช้งานที่เกิดขึ้นบนโลกอินเทอร์นเน็ต มาทำการตรวจสอบความไม่ปลอดภัยที่เกิดขึ้นจากการใช้งานข้อมูล และใช้ในการสืบค้นหาข้อมูลที่ปลอดภัยปราศจากไวรัสและภัยคุกคามจากการท่องโลกอินเทอร์เน็ต

คอมพิทักษ์ ประกอบด้วย 3 ส่วน คือ
1. ส่วนการสืบค้นหาข้อมูล : จัดทำเพื่อหาข้อมูลรายชื่อบุคคล ค่า IP , Domain , ASN และ E-mail เพื่อดูประวัติการใช้งานในโลกอินเทอร์เน็ตจากการทิ้งร่องรอยไว้ไม่ว่าเป็นการใช้งานติดต่อสื่อสารในเว็บบอร์ด ข้อมูลสังคมออนไลน์ (Social Network) ทั้งนี้สามารถค้นหาประวัติข้อมูล จาก ข้อมูลไอพี (IP) , ข้อมูลรายชื่อโดเมนแนม (Domain name) และข้อมูลค่าหมายเลข AS (Autonomous System) และคำค้นหาอื่น โดยจัดเรียงเหตุการณ์ตามวันเวลา
โดยทีมงาน SRAN ได้พัฒนาการค้นหาชนิดพิเศษที่ใช้เทคนิคที่เรียกว่า "semantic search" นั้นหมายถึงการรวบรวมข้อมูลจากฐานข้อมูลหลายๆที่มาแสดงผลในที่เดียว ได้แก่การนำการค้นหาจาก google , bing ,yahoo , alexa , zone-h , Phishtak ,Hurricane Electric Internet รวมถึงการได้ข้อมูลจาก Honeypot มาคัดแยกข้อมูล (Correlation) เพื่อนำค่ามาประมวลจนทำให้เกิดประโยชน์สูงสุดต่อผู้ใช้งาน

2. ข้อมูลและสถิติ : ข้อมูลภัยคุกคามที่เกิดขึ้นไม่ว่าเป็นภัยคุกคามจากไวรัสคอมพิวเตอร์ , ข้อมูลการโจมตีเว็บไซต์ ภัยคุกคามที่เกิดจากอีเมล์ขยะ โดยคัดแยกเฉพาะเหตุการณ์ที่เกิดขึ้นในประเทศไทย โดยจัดเรียงเป็นฐานข้อมูลโดยแบ่งได้ดังนี้

2.1 ข้อมูลและสถิติ เว็บไซต์ในประเทศไทยที่ถูกโจมตี เช่น เว็บที่ถูกแก้ไขข้อมูลจากนักโจมตีระบบ (Web Defacement) , เว็บใช้เป็นเครื่องมือในการโจมตีของนักโจมตีระบบ เป็นต้น ทั้งนี้จัดทำเป็นสถิติตามรายชื่อโดเมน ทั้งที่เป็นภาพรวมระบบ สถิติรายปี รายเดือน เพื่อให้ทราบถึงภัยคุกคามและได้ปรับปรุงให้ปลอดภัยมากขึ้น

2.2 ข้อมูลและสถิติ เว็บไซต์ในประเทศไทยที่เป็นฟิชชิ่ง (Phishing) เช่น เว็บที่มีลิงค์ที่หลอกหลวงให้เราเข้าหน้าเว็บไซต์ที่ผิด ซึ่งอาจเป็นภัยคุกคามแก่การใช้ข้อมูลและการทำธุรกรรมทางอินเทอร์เน็ตได้ โดยจะคัดแยกเฉพาะเว็บไซต์ในประเทศไทย ที่มีโอกาสเป็นฟิชชิ่ง (Phishing) ทั้งที่ตั้งใจและไม่ตั้งใจในการเผยแพร่ เพื่อให้รับทราบและได้แก้ไขได้ถูกต้อง ทั้งนี้จะมีการจัดทำเป็นภาพรวมระบบ สถิติตรายปี รายเดือน เพื่อใช้ในการพยากรณ์ข้อมูลและใช้ในการปรับปรุงให้ปลอดภัยมากขึ้นในอนาคต

2.3 ข้อมูลและสถิติ เว็บไซต์ในประเทศไทยที่มีโอกาสติดไวรัสคอมพิวเตอร์ ได้แก่ เว็บไซต์ที่มีไฟลล์เอกสารที่มีความเสี่ยง ให้ผู้ใช้งานได้มีการดาวโหลด (Download) ทั้งที่ตั้งใจและไม่ตั้งใจ เว็บไซต์ที่มีสคิปอันเป็นอันตรายต่อผู้ใช้งาน เป็นต้น ทั้งนี้จะมีการจัดทำเป็นภาพรวมระบบ สถิติตรายปี รายเดือน เพื่อใช้ในการพยากรณ์ข้อมูลและใช้ในการปรับปรุงให้ปลอดภัยมากขึ้นในอนาคต

2.4 ข้อมูลและสถิติ เครื่องแม่ข่ายในประเทศไทยที่มีโอกาสเป็นเครื่องแพร่อีเมล์ขยะ (Spam) ตรวจสอบจากไอพีในประเทศไทยที่มีการแพร่กระจายอีเมล์ที่มีหัวข้อ (Subject) ในบัญชีดำ เป็นการโฆษณาขายสินค้า ที่มากเกินไป มีข้อความที่สร้างความน่ารำคาญ และผู้บริโภคไม่ต้องการได้รับ ซึ่งรายชื่อบัญชีดำ (Blacklist) ได้จากฐานข้อมูลจาก Honeypot Project โดยคัดแยกเฉพาะประเทศไทย ทั้งนี้จะมีการจัดทำเป็นภาพรวมระบบ สถิติตรายปี รายเดือน เพื่อใช้ในการพยากรณ์ข้อมูลและใช้ในการปรับปรุงให้ปลอดภัยมากขึ้นในอนาคต

3. การให้ความรู้ ทางคอมพิทักษ์ มีบทความให้ความรู้ในแนวทางการป้องกันภัยคุกคามต่างๆจากการใช้ข้อมูลอินเทอร์เน็ต รวมถึงการทำการ์ตูนเพื่อสร้างความตระหนักในการใช้ข้อมูลสารสนเทศ เพื่อสร้างเป็นสื่อความรู้ที่เข้าใจง่ายขึ้นและเป็นพื้นฐานที่ดีสำหรับนักท่องอินเทอร์เน็ตในประเทศไทย

ทั้งนี้ "คอมพิทักษ์" ได้จัดให้มีหน้าสมาชิกเพื่อคนที่ต้องการมีส่วนร่วมในการแจ้งเตือนเว็บไซต์ที่ไม่เหมาะสมและควรปรับปรุงด้านความมั่นคงปลอดภัยข้อมูล อีกทั้งสามารถร่วมประชาสัมพันธ์การท่องเที่ยวประเทศไทยจากภาพสวยๆ จากการไปเที่ยวมาได้มีโอกาสแสดงภาพถ่ายนั้นเป็นภาพพื้นหลัง (Background) ของฉากเว็บไซต์ได้อีกด้วย

photo
ภาพหน้าจอระบบ คอมพิทักษ์ ในเว็บ www.sran.org

ในขณะนี้ คอมพิทักษ์ ยังอยู่ในขั้นตอนการพัฒนา และคิดว่าจะพร้อมเปิดใช้งานได้เต็มที่ในเร็วๆ นี้

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Sunday, August 8

ปัจจัยทั้ง 4 แห่งการสืบสวนทางอินเทอร์เน็ต

บทความนี้เกิดขึ้นจากงานสัมมนาแนวทางการรับมือกับภัยไอซีที เมื่อวันที่ 13 กรกภาคม 2553 ที่ผ่านมา ซึ่งผมได้บรรยายในหัวข้อแนวทางการสืบสวนและป้องกันภัยคุกคามทาง อินเทอร์เน็ต จึงอยากนำบางส่วนในการบรรยายครั้งนั้นมาถ่ายทอดให้ผู้อ่านที่ไม่ได้ร่วมงาน สัมมนานี้ให้รับทราบกัน

เรื่องปัจจัยทั้ง 4 แห่งการสืบสวนทางอินเทอร์เน็ต นั้นเป็นกรอบแนวคิดเพื่อให้ผู้ปฏิบัติงานได้มีหลักในการวิเคราะห์ที่มาที่ไป ของภัยไอซีทีได้แบบเข้าใจง่าย และเชื่อมโยงความสัมพันธ์เหตุต่างๆที่เกิดขึ้นอย่างเป็นรูปธรรมได้โดยใช้ กรอบความคิดนี้

ถ้าหากเราเข้าใกล้ความจริงแล้ว เราจะพบว่าเหตุที่เกิดขึ้นในชีวิต ล้วนแล้วแต่เชื่อมโยงถึงกัน มีที่มาที่ไปทั้งสิ้น จะไม่มีอะไรเกิดขึ้นมาโดยไม่อาศัยสิ่งอื่น ยกตัวอย่างเช่น ข้อมูลขยะ (Spam) อยู่ๆ เกิดขึ้นเองไม่ได้ ต้องอาศัยคนที่สร้างเนื้อหาข้อมูลขยะนั้น ต้องอาศัยโปรแกรมที่ส่งข้อมูลขยะนั้น แล้วคนละอยู่ๆ จะสร้างข้อมูลขยะนั้นหรือไม่ ก็ต้องมีเหตุปัจจุจัยที่ทำให้คนนั้นสร้างข้อมูล ไม่ว่าเป็นเรื่องค่าจ้าง ความสนใจส่วนตัว หรือลึกลงไปกว่านั้นอาจพบว่ามี DNA จากกรรมพันธ์ุ ที่ทำให้คนคนนั้นมีนิสัยใจคอเป็นอย่างนั้น หรือ แม้แต่การเลี้ยงดูของพ่อแม่ การอาจทำให้การรับรู้ข้อมูลที่แตกต่างกัน, การรับรู้ข้อมูลนั้นอาจวัดได้จากประสบการณ์ชีวิต
ที่ทำให้คนคนนั้นส่งข้อมูลขยะได้ จะเห็นว่าผลลัพธ์เพียงอย่างเดียวแต่มีความสัมพันธ์เชื่อมโยงอาศัยกับสิ่งอื่นๆ ทั้งสิ้น

เมื่อเราเข้าใจแล้วว่าทุกๆอย่างมีความสัมพันธ์เชื่อมโยงถึงกันหมด เราก็นำความสัมพันธ์นั้นมาสร้างเป็นกรอบแนวคิด เพื่อที่จะทำให้เราเข้าใจถึงผลแห่งเหตุนั้นได้อย่างเป็นระบบ

ปัจจัยทั้ง 4 ที่กล่าวมานั้นประกอบด้วย
คน เครื่อง ระบบ และผลลัพธ์ ตามแผนภาพ




ภาพที่ 1 แสดงถึงปัจจัยทั้ง 4 และความเชื่อมโยง เวลา และสภาวะแวดล้อม

ส่วนประกอบที่ 1 คือ คน การกระทำของคนที่เกิดขึ้นจากคนเป็นการรับรู้ในสิ่งต่างๆ มีทั้งภายใน และภายนอก ตัวคน
1.1 ภายในเองก็ประกอบด้วย ตา หู จมูก ล้ิน กาย และใจ หากอธิบายในทางวิทยาศาสตร์ ในร่างกายของคนก็มีการติดต่อสื่อสารภายใน ในระดับเซลล์ ประจุไฟฟ้า อนุภาคที่มีขนาดเล็ก รวมเป็นเนื้อเยื่อ รวมเป็นระบบประสาทที่เชื่อมโยงสื่อสารภายในตัวคน มีการถ่ายทอดข้อมูลจากบรรพบุรุษผ่านระบบดีเอ็นเอ (DNS) ที่เป็นพิมพ์เขียวจากอดีตที่ตกถอดมาถึงเรา แม้กระทั่งสารเคมีต่างๆที่อยู่ภายในร่างกายของเราที่ทำงานตลอดเวลาจนกว่าเราจะหมดลมหายใจ
1.2 ภายนอก เป็น อารมณ์ ที่ทำได้จาก ตาเห็นรูป , หูได้ยินเสียง , จมูกได้กลิ่น , ลิ้นได้รส , กายได้สัมผัส และใจที่มีความคิดปรุงแต่งตามสภาวะชั่วขณะ ที่เกิดขึ้น ตั้งอยู่ และดับไป
ทุกสิ่งทุกอย่างเป็นไปตามกระแสของเหตุปัจจัย  หรือในพุทธศาสนาเรียกว่า "อิทัปปัจจยตา" บนห่วงโซ่เหตุการณ์ของการรับและส่งข้อมูล 3-in-3-out  ห่วงโซ่ที่เกิดขึ้นแล้วเกิดขึ้นอีกซ้ำไปซ้ำมา ตามหลักพุทธศาสนา เรียกว่า "ปฎิจจสมุปบาท"

ซึ่งทั้งหมดนี้จะทำให้คน คนนั้นทำกิจกรรมและมีพฤติกรรมการแสดงออกที่แตกต่างกันตามช่วงเวลา เกิด อยู่ ตั้งอยู่ และดับไป ไม่คงที่มีการเปลี่ยนแปลงอยู่ตลอด

ส่วนประกอบที่ 2 คือ เครื่อง หมายถึงเครื่องมือสื่อสาร ไม่ว่าจะเป็นเครื่องคอมพิวเตอร์ มือถือ หรืออื่นๆที่สามารถติดต่อสื่อสารได้ ทั้งฝั่งรับข้อมูล และ ฝั่งส่งข้อมูล ในที่นี้ผมขอเปรียบเทียบเป็นเหมือนยานพาหนะ

เครื่องเป็นพาหนะที่เกิดจากคนเป็นผู้ใช้งาน มุมมองในการพิจารณาก็มีทั้งภายในและภายนอก โดยใช้คนเป็นศูนย์กลางในการพิจารณา
2.1 ภายใน คือ คนใช้เครื่องโดยตรง
2.2 ภายนอก คือ คนถูกผู้อื่นใช้เครื่อง ทั้งที่เป็นเจตนา และไม่เจตนา บนความรู้เท่าไม่ถึงการณ์

ส่วนประกอบที่ 3 คือ ระบบ หมายถึงโครงข่ายข้อมูล (Network) ที่เป็นช่องทางในการสื่อสาร ไม่ว่าเป็นการสื่อสารผ่านอินเทอร์เน็ต มือถือ หรืออื่นๆ ในที่นี้ผมขอเปรียบเทียบเป็นเหมือนช่องถนนในการเดินทางของพาหนะ

ระบบนั้นก็มีมุมมองในการพิจารณา มีทั้งภายใน และ ภายนอก เช่นกัน โดยใช้คน และ เครื่อง เป็นศูนย์กลางในการพิจารณา

3.1 การพิจารณาโดยใช้คน และเครื่องเป็นศูนย์กลาง
- ภายใน คือ ช่องทางการติดต่อสื่อสารภายในเครือข่ายองค์กร (LAN Technology)
- ภายนอก คือ ช่องทางการติดต่อสื่อสารภายนอกเครือข่ายองค์กร (WAN Technology)
โดยทั้งคู่สามารถพิจารณาต่อลงไปถึงการไหลเวียนของข้อมูลที่เกิดขึ้นจากหลัก OSI 7 layer หรือจะเป็นฉบับย่อแบบ 3-in-3-out ที่ผมเคยเขียนในอดีตได้ต่อเนื่องอีก



ภาพที่ 2 แสดงการพิจารณามุมภายใน และ ภายนอก เมื่อเอาตัวคนเป็นศูนย์กลาง

หากเราใช้หลักพิจารณาภายในและภายนอก โดยใช้คนเป็นศูนย์กลางในการพิจารณาแล้ว จะเห็นว่าในระดับผู้ให้บริการ (ISP) นั้นจะกลายเป็นมุมภายนอกเสมอ ซึ่งในความเป็นจริงแล้วไม่ใช่ เนื่องจากผู้ให้บริการ (ISP) ก็จะมีระบบภาย (LAN) เช่นกัน ดังนั้นการพิจารณาในเรื่องนี้นอกจากเอาคนเป็นศูนย์กลางในการพิจารณาแล้วยังต้องอาศัยข้อมูลเป็นศูนย์กลางในการพิจารณาด้วย โดยข้อมูลจะแบ่งประเภทดังนี้

3.2 การพิจารณาโดยใช้ข้อมูลเป็นศูนย์กลาง ซึ่งในที่นี้จะหมายถึงข้อมูลนั้นเกิดจาก คน และเครื่อง ในประเทศไทย
- ข้อมูลที่รับและส่งภายในประเทศ (Link ภาพแผนที่อินเทอร์เน็ตภายในประเทศไทย) จะต้องผ่านช่องทางการติดต่อสื่อสาร ที่ผมเปรียบเทียบได้กับถนน ถนนที่เกิดจากผู้ให้บริการ (ISP) สร้างขนาดถนนที่แตกต่างกัน ขนาดของ Bandwidth ในการรับและส่งข้อมูลซึ่งผู้ให้บริการบางรายอาจเปรียบได้กับถนน 4 แลน บางรายอาจเปรียบได้กับ ถนน 2 แลน เป็นต้น การติดต่อสื่อสารภายในประเทศ ก็เหมือนกับถนนที่เชื่อมกันระหว่างผู้ให้บริการในประเทศ ยกตัวอย่างเช่น ผมเปิดเว็บไซต์ www.sran.org ซึ่งตัวเว็บไซต์นั้นตั้งอยู่ภายในประเทศไทย การติดต่อสื่อสารก็จะเกิดเฉพาะภายในประเทศไทย

- ข้อมูลที่รับส่งภายนอกประเทศ (Link ภาพแผนที่อินเทอร์เน็ตภายนอกประเทศ) เช่นกันจะต้องผ่านช่องทางการติดต่อสื่อสาร หรือ ถนนที่เกิดจากผู้ให้บริการ (ISP) ที่มีการสร้างขนาดถนนที่แตกต่างกัน เช่นเดียวกันกับการรับส่งข้อมูลภายในประเทศ ที่แตกต่างกันคือข้อมูลฝั่งปลายทางที่ติดต่อไปนั้นอยู่ต่างประเทศ ยกตัวอย่างเช่น ผมเปิดเว็บไซต์ www.blogger.com ซึ่งเมื่อทำการ whois ดูพบว่าตั้งอยู่ต่างประเทศ ที่ไม่ใช่ประเทศไทย การติดต่อสื่อสารก็เริ่มจากเครื่องผมที่อยู่ที่บ้าน ไปยังผู้ให้บริการที่ให้ผมได้ใช้อินเทอร์เน็ต ผู้ให้บริการก็เปิดช่องทางต่างประเทศให้ข้อมูลที่เรียกเว็บไซต์ www.blogger.com ไปถึงที่หมายปลายทาง เพียงช่วงพริบตา

ในเรื่องระบบ หัวข้อ 3 นี้เป็นเรื่องทางเทคนิคเสียส่วนใหญ่ จะขอยกตัวอย่างเป็นกรณีให้เห็นภาพขึ้นในโอกาสถัดไป

ส่วนประกอบที่ 4 คือ ผลลัพธ์ ผลลัพธ์มีทั้งเรื่องปกติ และเรื่องไม่ปกติ ซึ่งสามารถแยกแยะได้ดังนี้

4.1 ผลลัพธ์ทางเทคนิค ผลลัพธ์ ที่เป็น
4.1.1 เรื่องที่ปกติ เกิดจากการใช้งานคอมพิวเตอร์ ในการรับและส่งข้อมูลได้อย่างปกติที่เคยใช้ รับรู้ได้ด้วยตัวเอง
4.1.2 เรื่องที่ผิดปกติ เกิดจากการใช้งานคอมพิวเตอร์ ในการรับและส่งข้อมูลได้นั้นมีความผิดปกติ เกิดได้ดังนี้
- เกิดความการรั่วไหลของข้อมูลที่เป็นความลับ (ขาด C : Confidentiality)
- เกิดจากการแสดงข้อมูลที่ไม่ถูกต้องจากความเป็นจริง ( ขาด I : Integrity)
- เกิดจากความไม่คงที่ของข้อมูลทำให้ความเสถียรภาพข้อมูลนั้นสูญเสียไป (ขาด A : Availability)
ทั้งหมดนี้อาจจะสูญเสียอย่างใดอย่างหนึ่ง คือ เสียทั้ง C , I และ A หรือ สูญเสียอย่างใดอย่างหนึ่ง จนเป็นบ่อเกิดถึงความผิดปกติจากการใช้งานคอมพิวเตอร์ และการรับ-ส่งข้อมูล เกิดขึ้น
ซึ่งขอเรียกว่า ความผิดปกติ ที่เกิดขึ้นจากผลลัพธ์ทางเทคนิค ว่า "เหยื่อ" ความหมายถึง คน และ เครื่องมือในการติดต่อสื่อสารนั้น ตกเป็นเหยื่อทางเทคนิค บนความไม่รู้เท่าทัน

เหยื่อในทางเทคนิค ก็ได้แก่ การติดมัลแวร์ (Virus/worm , Trojan , Backdoor , rootkit และอื่นๆ) , การตกเป็นเครื่องมือให้นักโจมตีระบบใช้ทรัพยากรเครื่องของเราในการส่งข้อมูลขยะ (Spam) หรือ โจมตีระบบให้เกิดความเสียหาย (DDoS/DoS)

4.2 ผลลัพธ์ไม่ใช่ทางเทคนิค ผลลัพธ์ ที่เป็น
4.2.1 เรื่องปกติ ก็หมายถึง ข้อมูลที่เรารับรู้ที่ได้ปรากฏขึ้นนั้นสามารถยอมรับได้ด้วย กฏหมาย และ ศิลธรรม บนประเทศที่เราได้ทำการสื่อสารข้อมูลขึ้น ที่เขียนอย่างงี้ก็เนื่องจากแต่ละประเทศนั้นมีความแตกต่างด้าน กฏหมาย ดังนั้นก็ขึ้นกับว่าหากเอาตัวเรา และเครื่องคอมพิวเตอร์ ของเราเป็นศูนย์กลางต้องพิจารณาว่าเราใช้เครื่องคอมพิวเตอร์เรา รับ-ส่งข้อมูลที่ประเทศใด ถ้าเป็นประเทศไทย ก็ต้องดู กฏหมาย ในประเทศไทยเป็นหลัก ส่วนศิลธรรมนั้นมีโดยทั่วไปจะเรื่องที่ทั่วโลกมีความเห็นสอดคล้องกัน

4.2.2 เรื่องผิดปกติ ก็หมายถึง ข้อมูลที่เรารับรู้ที่ได้ปรากฏขึ้นนั้น เกิดจากความคิดเห็นที่แตกต่างกันในแต่ละบุคคล ซึ่งเรื่องไม่ปกตินั้น ควรดูกฏหมาย และ ศิลธรรม ของประเทศนั้นๆ ในการพิจารณาต่อ

จะขอเรียก ความผิดปกติที่เกิดจากผลลัพธ์ที่ไม่ใช่เทคนิคนี้ ว่า "เหยื่อ" ความหมายคือ คน และ เครื่องมือในการติดต่อสื่อสารนั้นตกเป็นเหยื่อ บนความไม่รู้เท่าทัน
ขยายความได้ว่า เนื่องจากข้อมูลที่เรา เรา ท่าน ท่าน ที่ได้รับข้อมูลมานั้น หากเราไม่มีสติ และความรู้เท่าทันภัย เราอาจกลายเป็นเหยื่อโดยที่เราไม่รู้ตัวได้เช่นกัน

เหยื่อที่เกิดขึ้นโดยไม่ใช่ทางเทคนิค ได้แก่
- การรับรู้ข้อมูลที่ทำให้เกิดความเข้าใจผิด ซึ่งความเข้าใจผิดอาจจะก่อให้เกิดความเชื่อ การยึดมั่นถือมั่นในสิ่งที่เข้าใจผิดไป และคิดว่าเป็นจริง หรือเรียกว่า สัญญาวิปลาศ เห็นกงจักรเป็นดอกบัว เป็นต้น

- การแสดงความเป็นห่วงโดยไม่มองให้รอบด้าน ในสื่อสารสมัยใหม่อาศัยคนเป็นเหยื่อชนิดนี้มากขึ้น ขอยกตัวอย่าง เช่น ในการแสดงความคิดเห็นในเว็บบอร์ด หรือ พวกเครือข่ายสังคมออนไลน์ (Social network) พบข้อมูลอันไม่เหมาะสม ตัวเราเองกลับเผยแพร่ให้ขยายวงการรับรู้มากขึ้น ด้วยความเป็นห่วงเห็นข้อมูลนี้ไม่เหมาะสม เผยแพร่จาก 1 คน เป็น 2 จาก 2 เป็น 4 มากขึ้นเรื่อยๆ ทำให้จากเดิมมีคนรู้ไม่กี่คนทำให้รู้มากขึ้น แบบนี้แสดงว่าผู้เผยแพร่นั้นกำลังตกเป็นเครื่องมือ หรือเป็นเหยื่ออยู่ เป็นต้น การตกเป็นเหยื่อในกรณี แก้ไขโดย หยุดทำการส่งข้อความ หรือ ข้อมูลต่อให้กับผู้อื่นที่เราควบคุมการเผยแพร่ข้อมูลไม่ได้ หากพบเรื่องไม่เหมาะสมต่อสถาบันหลักของประเทศ ก็ควรส่งให้กับหน่วยงานที่รับผิดชอบ หรือถ้าเป็นทางข้อมูลอินเทอร์เน็ตก็ส่งให้หน่วยงานในกระทวงเทคโนโลยีสารสนเทศ สายด่วน 1212 เป็นต้น




ภาพที่ 3 เราเป็นเหยื่อได้ทั้งทางเทคนิคและไม่ใช่เทคนิค




โดยมากผลลัพธ์ที่เป็นเรื่องปกติ คงไม่มีใครมาสืบหา แต่หากเป็นผลลัพธ์ที่เกิดจากเรื่องไม่ปกติ จำเป็นต้องมีหลักในการสืบหา โดยวิธีการ คือ ใช้เวลาจากสิ่งที่เกิดขึ้นแล้ว ไล่ย้อนหลังไป
จากผลลัพธ์ที่ทำให้มีผู้เสียหาย ย้อนไป ที่ระบบที่ก่อให้เกิดผลลัพธ์นั้น ย้อนไปที่ เครื่อง ที่ก่อให้เกิดผลลัพธ์นั้น ย้อนไปที่ คนที่สร้างให้เกิดผลลัพธ์นั้น โดย
มีเวลา และปัจจัยทั้ง 4 เป็นหลักในการพิจารณา

ในตอนหน้าหากมีเวลาเพียงพอผมจะขยายความในปัจจัยทั้ง 4 โดยยกเป็นตัวอย่างเพื่อสร้างความเข้าใจมากขึ้นสำหรับผู้ปฏิบัติงานด้านนี้ต่อไป


นนทวรรธนะ สาระมาน
03/08/53

บทความที่เกี่ยวข้อง
หลักการพิจารณาแบบ 3-in-3-out ในการสืบหาผู้กระทำความผิดจากการใช้งานอินเทอร์เน็ต
http://sran.it/rd
http://sran.it/re


Sunday, May 16

ยุทธวิธีฮันนีบาล


บุคคลในประวัติศาสตร์อีกคนหนึ่งที่ควรนำมาพูดถึงโดยเฉพาะในสถานะการณ์ปัจจุบันคือ " ฮันนีบาล บาร์กา "
ฮันนีบาล เป็นนักยุทธศาสตร์ ที่นำกำลังสองหมื่นหกพันคนเข้าตีกรุงโรมที่มีทหารเจ็ดแสนห้าหมื่นคนได้

ฮันนีบาลอยู่ที่กรุงคาร์เทจ ซึ่งอยู่ทางเหนือของแอฟริกา ซึ่งเมื่อก่อนคุณพ่อของฮันนีบาลได้แพ้ให้กับกรุงโรม ซึ่งก่อนหน้านั้นเมืองคาร์เทจเป็นเมืองที่ยิ่งใหญ่ .. เมื่อได้พ่ายแพ้กับกรุงโรมเมืองคาร์เทจก็คับแค้น แต่ตนเองก็ไม่มีกำลังพอที่จะไปสู้กับกรุงโรมได้ เมื่อฮันนีบาลเติบโต ก็มีวิสัยทัศน์ว่าจะแกล้งแค้นนำความยิ่งใหญ่กลับมาสู่คาร์เทจ โดยบอกกับผู้คนที่นับถือว่า "ไปร่วมปล้นกรุงโรม" โดยการชวนชนเผ่ายากจนทั้งหลาย ว่าไปร่วมปล้นกรุงโรมกัน โดยจะสร้างชีวิตใหม่ที่ดีขึ้นจากความยากจน

เนื่องจากมีทหารที่ฮันนีบาลคุมอยู่นั้นมีปริมาณน้อย ฮันนีบาลจึงว่ายุทธศาสตร์ว่า "ต้องรบในบ้านศัตรู" เพื่อที่ศัตรูที่มีจำนวนมากกว่าจะได้ กังวล ละล้าละลัง ไม่รู้จะป้องกันที่ไหนก่อนหลัง

ฮันนีบาลใช้วิธีนำกำลังทัพผ่านทางเข้ากรุงโรมโดยทางเท้าภาคพื้นดิน แทนที่จะผ่านทะเลเมดิเตอร์เรเนียน ซึ่งส่วนนี้กองกำลังของโรมมันคุมพื้นที่ไว้ได้หมด ก็เปลี่ยนแนวทางเป็นการเดินทัพด้วยเท้า ภาคพื้นดิน ข้ามสเปน ผ่านช่องแคบยิบรอลตาร์ เข้าสู่เยอรมันในปัจจุบัน

นอกจากกองกำลังของฮันนีบาลจะใช้ชนเผ่ายากจนที่มาตามต่างจังหวัดแล้ว ฮันนีบาลยังได้จ้างทหารม้ารับจ้างที่ใช้ม้าเร็วในการศึก เรียกว่า โจรรูมิเดีย ประมาณหมื่นคน โดยการจ้างครั้งนี้มีสัญญาว่าหากปล้นกรุงโรมได้เมื่อไหร่ จะแบ่งทรัพย์สมบัติกันครึ่ง - ครึ่ง

ที่ฮันนีบาล จ้างทหารม้ารับจ้าง หรือ โจรนูมิเดียน ก็เพราะว่าการเคลื่อนที่ได้เร็ว นำไปสู่การสร้างความปั่นป่วนได้เร็ว มิได้เป็นเป้านิ่ง ปั่นป่วนไปตามจุดต่างๆ ซึ่งได้สร้างปัญหาและความเสียหาย ให้กับกรุงโรมเป็นอันมาก ที่ใช้กลวิธีนี้ก็เพราะหากใช้ทหารราบ จะเคลื่อนที่ช้า และกรุงโรมมีทหารราบเยอะกว่าหากปะทะกันก็จะสู้กองกำลังโรมมันมิได้

และฮันนีบาลได้มีการสร้างไส้ศึกในกองทัพของกรุงโรม เพื่อได้ข่าวสารการวางแผนและข้อมูลอื่น
หากจะสรุปสูตรสำเร็จของฮันนีบาล ก็คือ
1. การรวมชนเผ่าที่ยากจน จากต่างจังหวัดมาร่วมในกลุ่มเพื่อใช้ในการต่อสู้
2. การว่าจ้างทหารรับจ้าง
3. การสร้างไส้ศึกในกรุงโรม

จากนั้นฮันนีบาลก็ทำการยั่วยุชาวบ้าน ฆ่าชาวบ้าน ในกรุงโรม เพื่อเหตุผล 3 ประการ
1. การเผาทำลายสถานที่สำคัญ ฆ่าชาวบ้านบริสุทธิทำให้ชาวบ้านหวาดกลัว และไม่กล้าต่อสู้ และไม่กล้าเป็นพวกของรัฐในกรุงโรม
2. ทำให้กองทัพที่ฮันนีบาลคุมนั้น มีความมั่นใจ มีขวัญและกำลังใจ ว่าตนเองเป็นใหญ่
3. ทำให้กฏต่างๆที่วางไว้ก่อนหน้าในกรุงโรมนั้นไม่มีค่า ไม่มีความหมายอีกต่อไปแล้ว
ทำให้มีความรู้สึกว่ากองทัพของฮันนีบาลเป็นผู้กำหนดว่าใครจะอยู่ใครจะตายภายใต้รัฐนี้
ทำให้เกิดภาวะ " Failed state " หรือที่เรียกว่าการล้มเหลวของรัฐ ที่ไม่สามารถควบคุมสถานะการณ์ได้ภายใต้กฏหมาย

ทั้งหมดนี้คือการเปลี่ยนความเชื่อ และทำเป็นตัวอย่างให้เห็นว่าอำนาจมันถูกเปลี่ยนแปลงไปแล้ว กฏหมายใช้ไม่ได้ สถาบัน สัญลักษณ์ต่างๆใช้ไม่ได้

ทำให้ฮันนีบาลชนะมาโดยตลอด แต่ ...

ในที่สุดกองทัพโรมันที่นำโดย สกีปีโอ อาฟรีกานุส (Scipio Africanus) ซึ่งเป็นลูกของแม่ทัพคนหนึ่งที่ฮันนีบาลได้ฆ่าในศึกก่อนหน้า ได้ศึกษาและเรียนรู้ยุทธวิธีของฮันนีบาล จึงจับประเด็นได้ว่า สิ่งที่ควรทำอันดับแรกคือ ต้องกำจัดไส้ศึกในกรุงโรมที่ฮันนีบาลได้นำมาฝังไว้ก่อน
จากนั้นให้ตัดท่อน้ำเลี้ยง โดยตัดเงินให้กับสภาเมืองคาร์เทก พอคาร์เทกไม่มีเงินเข้ามาหมุนก็ทำให้ฮันนีบาลไม่สามารถจ้างทหารรับจ้าง (โจรนูมิเดียน) ซึ่งทำให้ทหารรับจ้างนั้นไม่สามารถมาสมทบกับกองทัพฮันนีบาลได้ โจรที่มาร่วมปล้นพอไม่ได้มาเงินก็เลิกทำงานให้
จากนั้นสกีปีโอ ได้เข้านำกองทหารโรมันไปจับกุมแกนนำ ของฮันนีบาล (แกนนำตัวจริง) และตลบหลังจ้างโจรนูมิเดียนโดยให้ค่าตอบแทนที่ดีกว่าฮันนีบาล โดยให้โจรรูมิเดียเข้าปล้นเมืองคาร์เทกแทน
การรบจาก 40 ครั้งฮันนีบาลชนะหมดแต่ไม่สามารถยึดกรุงโรมได้ และในครั้งนี้จากการนำทัพของสกีปีโอ รบกันเพียงครั้งเดียวแล้วจบเลยนั้นทำให้กองกำลังของฮันนีบาลสลายทัพหมดได้

แผนของสกีปีโอ หากสรุปคือ สกีปีโอ ไม่ได้สนใจชนเผ่ายากจนที่ฮันนีบาลเกณฑ์มาจากต่างจังหวัดเลย แต่กลับไปตัดท่อน้ำเลี้ยงเงินสนับสนุนทหารรับจ้าง (โจรนูมิเดียน) จากนั้นก็จับแกนนำในกองทัพฮันนีบาลให้ได้ เมื่อแกนนำถูกจับ ชนเผ่ายากจนที่ร่วมทัพกับฮานีบาลก็แยกย้ายกลับถิ่นฐานตามต่างจังหวัด ฮันนีบาลได้พ่ายแพ้ และหนีไปยังต่างประเทศ และมาส้ินชีพที่ตุรกี จากนั้นโรมก็ทำให้เมืองคาร์เทกสูญหาย ไม่มีในแผนที่อีกต่อไป ...



นนทวรรธนะ สาระมาน
Nontawattana Saraman

Saturday, May 1

เพื่อเมืองไทยคุณจะทำอะไร ?

เมื่อย้อนอดีตไป สักปี คศ. 1993 หรือประมาณ ปี พศ. 2536 มีโฆษณาอันหนึ่ง ที่ทำให้คนดูโดยเฉพาะเยาวชนในช่วงเวลานั้น มีความรู้สึกร่วมอยากเป็นแรงกำลังหนึ่งที่ช่วยพัฒนาประเทศไทยให้ก้าวหน้า
โดยใช้เพลงชื่อ เพื่อเมืองไทย ด้วยใจและใจ .. ต้องขอบอกก่อนว่าไม่ต้องการโฆษณาอะไร แต่อยากให้ฟังเพลงและเนื้อหาของโฆษณานี้กับสถานะการณ์ในปัจจุบัน รถไฟขบวนหนึ่ง ที่มีหนุ่มสาวบนรถไฟ และเส้นทางที่ต้องร่วมกันเดินทาง บางครั้งเส้นทางอาจจะมืดเพราะต้องเข้าอุโมงค์ สลับกับแสงสว่างหลังหลุดพ้นอุโมงค์ แต่ถึงอย่างไรพวกเราก็ต้องร่วมเดินทางด้วยกัน และแน่นอนจุดหมายปลายทางของแต่ละคนในขบวนรถไฟนี้อาจจะแตกต่างกันได้ .... ลองเปรียบเทียบกับเหตุการณ์ปัจจุบันที่ยังไม่มีทางออกสำหรับประเทศไทยในเวลานี้ดู บางทีแสงสว่างจากปลายอุโมงค์จะนำพาให้ประเทศเรากลับสู่ภาวะปกติได้หากทุกคนร่วมมือกัน ..



ที่หยิบยกตัวอย่างจากโฆษณานี้มาก็เพราะมีความเชื่อมั่นในชาติไทย อยู่และเชื่อว่าปัญหาต่างๆ แก้ไขได้

ในส่วนตัวเชื่อว่า หากเราเป็นคนไทย คงไม่มีใครไม่หวังดีกับประเทศ
คงไม่มีใครอยากเห็นการทำร้ายคนไทยด้วยกันเอง
และคงไม่มีใครอยากทำร้ายประเทศ ที่เราต้องอยู่อาศัย


ขอสนับสนุนการใช้สติแก้ไขปัญหา หยุดการนำเสนอข้อมูลที่จะทำให้คนไทยเกลียดชังกันเอง
และยุติปัญหาโดยไม่ใช้ความรุนแรง

"เราควรใช้วิกฤตช่วงนี้มาสร้างโอกาส"

ทุกภาคส่วน ที่มีความเห็นไม่ลงรอยกันมานั่งคุยกันเพื่อเสนอแนวทางที่ทุกฝ่ายเราเดินทางร่วมกันได้ โดยเริ่มจากตัวเราเองก่อน ทำการเปิดใจให้กว้าง ลดอัตตาของตนเองลง เพื่อรับฟังความคิดเห็นรอบด้าน ในการหาจุดร่วมกัน และเมื่อทุกคนเริ่มเปิดใจ จะนำมาสู่การออกแบบประเทศไทยร่วมกัน เพื่อให้ประเทศไทยแข็งแรงขึ้น ด้วยแรงใจ ด้วยพลังสติและด้วยพลังปัญญาของคนไทยทุกฝ่าย เพื่อให้เมืองไทยก้าวพ้นวิกฤต กลับมาสู่ความปกติสุข และเกิดความเจริญก้าวหน้าต่อไปในอนาคต สู่รุ่นลูกรุ่นหลานของเรา บนผืนแผ่นดินที่เราดำรงชีวิตอยู่สืบไป

ไม่มีอะไรที่สายเกินไป ทุกปัญหาย่อมมีทางออกเสมอ หากใช้สติของตัวเราเอง

นนทวรรธนะ สาระมาน
Nontawattana Saraman

Sunday, February 7

รู้ทัน sniffer

ผมตั้งใจที่จะเขียนบทความนี้ขึ้นต่อเนื่องจากบทควาที่แล้วเรื่องข้อเท็จจริงในการดักข้อมูล sniffer นั้นมีคนเข้ามาจนถึงเวลานี้ที่ผมเขียนบทความใหม่ถึง 480 ครั้ง (ผลลัพธ์จากระบบ SRAN Data Safehouse) ซึ่งมากกว่าที่คิดไว้มาก ประกอบกับเมื่อวันที่ 4 กุมภาพันธ์ที่ผ่านมาผมได้มีโอกาสได้ร่วมออกงาน Information Security Day ที่กระทรวงกลาโหมจัดขึ้น ในงานนี้ถึงแม้ผมไม่ได้บรรยายแต่ได้ร่วมตอบคำถาม ในวันนั้นมีผู้มีเกียรติหลายท่านได้ตั้งคำถามและตอบกันในช่วงบ่าย ผมยอมรับว่าทำหน้าที่ถ่ายทอดได้ไม่ดี เนื่องจากมีเวลาจำกัดในการตอบคำถาม จึงอยากแก้ตัวโดยเขียนอธิบายเพิ่มในบทความนี้ ในชื่อตอน "รู้ทัน sniffer"

หลายคนคงสงสัยกับคำว่า sniffer ไม่น้อย .. และอาจเกิดคำถามว่า sniffer คืออะไรกันแน่ เกี่ยวกับการดักข้อมูลอย่างไร ? sniffer นั้นมีคุณหรือโทษ? แล้วเราจะรู้ได้อย่างไรว่ามีคนดักข้อมูลเราอยู่ หรือเราจะรู้ได้อย่างไรว่ามีใครคอย sniff เราอยู่บ้าง ? วันนี้เรามาเรียนรู้ sniffer แบบถึงแก่นกันดีกว่าครับ

sniffer เป็นชื่อที่เป็นทางการ ซึ่งไม่ว่าจะคุยกันภาษาของชาติไหนๆ ก็มักจะเข้าใจคำนี้ เช่นเดียวกับคำว่า Hack ซึ่งถือว่าเป็น De facto หรือเป็นคำมาตราฐานที่สากลรู้จักกัน เป็นต้น

sniffer คือ โปรแกรมที่ใช้ในการวิเคราะห์กระแสข้อมูล แต่เรามักจะเข้าใจในทิศทางเดียวคือเป็นโปรแกรมที่ใช้ในการดักฟังข้อมูล โดยพฤติกรรมการนี้เรียกว่า "sniff" หรือภาษาไทยว่า "สนิฟ" หรือบางครั้งเราอาจได้ยินคำว่า snoop แทนพฤติกรรมในการวิเคราะห์กระแสข้อมูลก็ได้ ซึ่งโปรแกรมที่เขียนขึ้นโดยมนุษย์ใช้ทำการวิเคราะห์กระแสข้อมูลสารสนเทศที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ (หรือภาษาอังกฤษเรียกว่าการทำ Packet analyzer) ซึ่งอาจเรียกได้ว่าเป็น subset ของคำว่า Tap "แท็ป" และคำว่า Tap เป็นทั้งเทคโนโลยีและพฤติกรรมการใช้งาน เช่นคำว่า tap เพื่อดักฟังการสนทนาโทรศัพท์ เป็นต้น แสดงว่าคำว่า Tap ข้อมูล นั้นกินความไปนอกเหนือระบบ TCP/IP ก็ได้เช่น เป็นการดักฟังการสนทนาโทรศัพท์ที่กล่าวมาข้างต้น แต่หากทุกวันนี้การโทรศัพท์นั้นได้วิ่งผ่านระบบไอที บน TCP/IP หรือมีการรับส่งผ่านเครือข่ายคอมพิวเตอร์ (Network) ที่เรียกว่า VoIP แล้ว และมีการดักข้อมูลขึ้นอาจใช้คำว่า Tap หรือ sniff ก็ได้ โดยให้เข้าใจว่า sniff คือพฤติกรรมดักฟัง ส่วน sniffer เป็นชุดโปรแกรมที่ใช้ในการดักฟังข้อมูลบนระบบเครือข่ายคอมพิวเตอร์ โดยผ่านการรับส่งข้อมูลตาม OSI 7 layer เป็นหลัก ซึ่งการ sniff "สนิฟ" อาจจะเกิดขึ้นได้ตั้งแต่ Layer 1 ทางกายภาพ (สายโทรศัพท์ ) จนถึง Layer 7 บนระบบ Application Layer ได้ทั้งสิ้น ดังนั้นการ sniff จะเกิดขึ้นสมบูรณ์ ต้องเป็นการกระทำที่เกิดขึ้นมากกว่า 1 เครื่องขึ้นไป กล่าวคือมีเครื่องกระทำและถูกกระทำ ถึงจะเรียกว่าเป็นการ sniff "สนิฟ" และในบทความครั้งนี้จะกล่าวเฉพาะ sniffer บน TCP/IP เท่านั้น จะไม่ขอกล่าว sniffer ในทางกายภาพ
เทคนิคการ sniff "สนิฟ" นั้นคือการได้มาซึ่งข้อมูลโดยที่ไม่ทำให้ผู้อื่นล่วงรู้ได้ ดังนั้นในทางเทคนิคก็มักจะมองเป็นเทคนิคเดียวคือการแปลงร่างการ์ดแลนบนตัวเครื่องคอมพิวเตอร์เข้าสู่โหมดเงี่ยหูฟัง (promiscuous mode) แต่จริงแล้วหากเรามองว่าการได้มาซึ่งข้อมูลนั้นอาจทำตัวเองเป็น Gateway หรือได้จาก Caching ได้ดังนั้นเทคนิคอื่นก็อาจเข้าข่ายการดักฟังได้เช่นกันหรือ ?? ในบทความนี้จะมีคำตอบให้

ภาพการสนิฟข้อมูลบนเครือข่ายคอมพิวเตอร์ แบบง่ายๆ


ที่ผมบอกว่าเรามักจะมอง sniffer เพียงด้านเดียวคือเรามักจะมองเห็นว่าการ sniffer คือการดักฟังข้อมูล แต่แท้จริงแล้ว sniffer นั้นมียังทำคุณประโยชน์ได้เช่นกัน นั่นคือการวิเคราะห์หาปัญหาต่างๆ ที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ได้ และ sniffer นั้นก็สามารถสร้างโทษได้เช่นกัน ขึ้นอยู่เจตนาและการใช้งาน

โทษของการใช้ sniffer
1. หากข้อมูลเป็น Plain text (ข้อมูลที่ไม่ได้มีการเข้ารหัส) ไม่ว่าเป็นการสื่อสารผ่าน Protocol HTTP , SMTP , PoP3 , FTP , Telnet หรือแม้กระทั่ง Protocol ในการส่งค่า Log คือ syslog ที่ใช้การติดต่อแบบ UDP และเป็น Plain text อันนี้ก็มีความเสี่ยงต่อการถูกดักข้อมูลได้การดักข้อมูลเหล่านี้เกือบ 100% ส่วนใหญ่มักเกิดขึ้นในองค์กร (office) ของเราเองนี้เอง เรียกว่าภัยพวกนี้ว่า "Internal Threat" เช่น มีพนักงานที่เจตนาต้องการดักข้อมูลผู้บริหาร หรือ ผู้ดูแลระบบ ก็สามารถใช้ sniffer ดักข้อมูลใครๆก็ได้ หากมีเครื่องมือ แต่ .... มีรายละเอียดมากมาย โดยเฉพาะทำอย่างไรถึงจะได้ข้อมูลมา รวมถึงการติดตั้งและการใช้เทคนิคอยู่พอสมควร มิใช่ใครมีโปรแกรม sniffer ก็จะดักข้อมูลได้ง่ายๆ ตลอดไป

หลักๆ ที่นิยมดักข้อมูลและถือว่าเป็นภัยคุกคามที่ไม่อยากให้เกิดขึ้นกับตนเอง ได้แก่
- ข้อมูลความลับที่ไม่ต้องการให้เผยแพร่ ซึ่งอาจเป็นเรื่องส่วนบุคคล หรือ เป็นเรื่องของบริษัท เป็นต้น
- ข้อมูล User/password บน Application Protocol ที่ใช้งาน เช่น User / Password จาก Web Login , User / Password จาก FTP หรือ Telnet เป็นต้น 2 ข้อที่กล่าวมานี้เองทำให้การทำ sniffer เป็นเรื่องที่น่ากังวล

2. หากข้อมูลเป็นการเข้ารหัส (encryption) การใช้ sniffer อาจประสบปัญหากับการใช้งานนิดหน่อยแต่ไม่ถึงกับว่าพบทางตัน เพราะการเข้ารหัส (encryption) ก็สามารถถอดรหัสได้ด้วยวิธีการต่างๆ แต่ที่นิยมคือใช้ sniffer ไปทำการ ARP poison ไปยังเครื่องเป้าหมาย และปลอมค่ากับ Gateway ตัวจริงจึงจะสามารถใช้งานได้ อันนี้เองมีรายละเอียดอยู่ค่อนข้างมากจึงขอยกไปต่อในตอนหน้าจะกล่าวถึงเรื่องนี้อีกครั้ง ในเทคนิคที่เรียกว่า MITM (Man in The Minddle) หากอดใจไม่ไหวให้อ่านที่ http://nontawattalk.blogspot.com/2009/08/layer-7.html ที่เป็นบทความเก่าที่ผมเคยเขียนขึ้นไว้ ชื่อตอนว่าวิเคราะห์ภัยคุกคามตาม OSI 7 layer อ่านช่วง Layer 2


คุณประโยชน์ sniffer
1. ช่วยวิเคราะห์กระแสข้อมูลสารสนเทศ เพื่อวินิฉัยปัญหาที่เกิดขึ้นบนระบบเครือข่าย เช่น
- เครือข่ายคอมพิวเตอร์ เหตุใดถึงได้ช้าผิดปกติ ก็สามารถใช้ sniffer มาช่วยวิเคราะห์และวินิฉัยได้
- เครือข่ายคอมพิวเตอร์ มีอาการที่ผิดปกติ อันเนื่องมาจากการแพร่กระจายของไวรัส (สายพันธ์ใหม่ๆ ที่ระบบป้องกันไวรัสคอมพิวเตอร์ไม่รู้จัก หรือไม่มี signature บนอุปกรณ์ NIPS/IDS , UTM เป็นต้น)
ซึ่งจากประสบการณ์จริง sniffer ช่วยให้ผมหาเครื่องที่ติดไวรัสคอมพิวเตอร์ ในงานประชุม APEC ที่จัดขึ้นในประเทศไทยเมื่อปี 2003 ได้ หากย้อนเวลาไปในช่วงนั้น ผมและทีมงานได้มีโอกาสทำงานระดับประเทศคืองาน APEC 2003 โดยทำการประเมินความเสี่ยงระบบเครือข่ายคอมพิวเตอร์ (Vulnerability Assessment) ในคืนก่อนวันเปิดงาน APEC เราพบว่าเครือข่ายในศูนย์ประชุมนั้นรับส่งข้อมูลช้าผิดปกติ เราพยายามทุกวิถีทางจนพบว่าเครื่องที่ปล่อยไวรัสนั้นกับเป็นเครื่องโทรศัพท์ (สมัยนั้นคือเป็นเครื่องลักษณะโทรศัพท์หยอดเหรียญ แต่เล่นอินเตอร์เน็ตได้ผ่านระบบ wi-fi) เชื่อไหมว่าเวลาตี 4 พวกผมยังวิ่งรอบศูนย์ประชุมแห่งชาติสิริกิติริ์ โดยถือโน็ตบุ๊ตหาสัญญาณการรับส่งข้อมูลที่ผิดปกติบนระบบ wireless LAN กว่าจะหาไวรัสตัวร้ายเจอนั้นผมและทีมงานไม่ได้นอนทั้งคืนก็เพราะหาไวรัสจากเครื่องๆเดียว เราก็กำจัดได้และทำให้เครือข่ายคอมพิวเตอร์ในงานกลับมาสู่ภาวะปกติก่อนพิธีในงาน APEC จะเปิด ก็เพราะโปรแกรม sniffer นี้เอง

2. sniffer ยังทำให้เราทำนาย เพื่อการออกแบบบนเครื่องแม่ข่าย (Server) ถึงการรับส่งข้อมูลให้มีประสิทธิภาพมากขึ้นได้อีกด้วย เช่น การออกแบบ Web Server เพื่อให้รองรับข้อมูลได้อย่างเหมาะสม การออกแบบ Data Base Server เมื่อมีการ Query ข้อมูลได้อย่างเหมาะสม ทำให้เราสามารถออกแบบ (design) ระบบ Cluster หรือการออกแบบ Cloud computing ในอนาคตถึงปริมาณการใช้งานต่อไปได้เพื่อความเสรียฐภาพของระบบได้อีกด้วย

3. sniffer ใช้หาผู้ร้าย / ผู้ต้องสงสัย ได้ ในกรณีนี้จำเป็นต้องรู้สถานที่ หรือรู้เครือข่ายคอมพิวเตอร์ที่มีผู้ต้องสงสัยอยู่ จากนั้นการใช้วิธีการสะกดรอยทางไอทีผ่านการเฝ้าสังเกตการณ์ข้อมูลที่ผ่านระบบเครือข่าย ซึ่งหากจะทำได้ควรได้รับหมายศาล หรือเป็นกรณีด้านความมั่นคงของชาติจริงๆ ถึงสมควรทำ

ดังนั้นหากเรามองให้ดีจะเห็นว่า sniffer นั้นมีประโยชน์ อยู่ไม่น้อยทีเดียว ส่วนการใช้ sniffer ในทางที่ไม่เหมาะสมล่ะ อันนี้ขอบอกว่าขึ้นอยู่กับเจตนาผู้ใช้ เพราะ sniffer นั้นสามารถที่จะดักข้อมูลได้ทั้งหมด คำว่าข้อมูลทั้งหมดนั้น ขึ้นอยู่กับชนิดโปรแกรม sniffer ด้วยนะ โดยปกติแล้ว จะได้ตาม Protocol ที่สำคัญ เช่น Protocol ที่เกี่ยวข้องกับการใช้งาน Web , Mail ,Chat เป็นต้น หากเราทำการชำแหละ sniffer ผลลัพธ์ที่ sniffer หรืออาจกล่าวได้ค่าที่ sniffer อ่านออกมาได้คือ
1. ไอพีต้นทาง (Source IP)
2. ไอพีปลายทาง (Destination IP)
3. พอร์ตต้นทาง (Source Port)
4. พอร์ตปลายทาง (Destination Port)
5. Protocol ใน Layer 4 เช่น TCP หรือ UDP
6. เนื้อหา (Content) ซึ่งเนื้อหาข้อมูล นั้นคือคำว่า "Payload" ในระดับชั้นข้อมูลคือใน Layer ที่สูง 5 , 6 และ 7 ค่า "Payload" ที่ปรากฏขึ้นบนตัวโปรแกรม sniffer สามารถมองเห็นและแปลความหมายได้ (ในบางโปรแกรม) สองวิธี คือ
6.1 แบบธรรมดา ค่า payload มองเห็นตาม Layer 2 - Layer 7 แบบเดียวกับการแสดงผลจากโปรแกรมชื่อ wireshark เป็นต้น
6.2 แบบพิเศษ นำค่า Packet ที่ได้มาประกอบร่างใหม่เรียกว่า Reconstruction หรือเป็นการทำ "Traffic Decoder" จะทำให้เห็นมากขึ้น เช่น HTTP คือการเล่นเว็บไซต์ สามารถล่วงรู้ถึงการคลิก เปิดหน้าจอ หน้าเว็บ URI path หรือ เรียกดู clip video ได้ หรือหากเป็นการที่ผ่าน VoIP สามารถ เรียกดูย้อนหลังเป็นเสียงพูดสนทนาได้ เป็นต้น
ในการทำ Reconstruction นั้น มักจะใช้กับเทคโนโลยีในการทำ Law ful Interception โดยปกติแล้วมักมีในธนาคาร หรือโรงงานที่มีความเข้มงวดในการใช้ข้อมูล ที่ต้องเฝ้าสังเกตการทุจริตที่เกิดขึ้นจากการทำงานด้านไอที (ในเมืองไทยก็มีใช้ในบางธนาคาร) เปรียบเสมือนกล้องวงจรปิด ซึ่งการทำเทคนิค Reconstruction นั้นจำเป็นต้องใช้ storage มหาศาลเช่นกัน ดังนั้นการใช้เทคโนโลยีเหล่านี้ต้องเผื่องบประมาณไว้พอสมควร
7. เรื่องเวลา คือ วันเวลาที่เครื่องแม่ข่าย (Server) ที่ใช้จัดทำขึ้นเป็น sniffer Server เป็นต้น ซึ่งในข้อนี้ผมขอละไว้ว่าสมมุติทุกเครื่องตั้งค่าเวลาปกติถูกต้องแล้ว ก็แล้วกันนะครับ จึงไม่ขอกล่าวต่อไป

จากคุณสมบัติของ sniffer ที่กล่าวมาตั้งแต่ข้อ 1 - 7 แล้วนั้น ส่วนใดบ้างที่มีความอ่อนไหวถึงความรู้ผู้คนว่า sniffer เป็นเครื่องมือที่อันตราย
จากข้อ 1-5 นั้น มีผลลัพธ์ไม่ต่างกับ Log ที่เกิดขึ้นบนอุปกรณ์เครือข่าย เช่น Router Log , Switch Log , Firewall แบบ ACL (Access Control List)

ภาพ Log Router จากเว็บไซต์ phoenixlabs.org

แต่ข้อ 6 นี้เองที่ทำให้หลายท่านกังวล นั้นคือ การมองเห็นถึงเนื้อหาของข้อมูล (content)
แล้วเทคโนโลยีอะไร ที่มองเห็นเนื้อหาของข้อมูล (Content) นอกจาก sniffer แล้วมีอีกไหม
ผมขอยกตัวอย่างสัก 3 เทคโนโลยี ได้แก่

- NIDS/IPS (Network Intrusion Detection and Prevention System) และเทคโนโลยีประเภท Deep packet Monitoring/Analysis หรือแม้กระทั่ง NAC (Network Access Control ที่ทำตัวเป็นเหมือน Switch ตัวหนึ่งทีเดียว)
การติดตั้งสามารถติดตั้งตามจุดต่างๆ บนเครือข่ายคอมพิวเตอร์ได้ ไม่จำกัด ทั้งแบบ Inline ขวางระบบเครือข่าย , Passive โดยใช้ผ่านอุปกรณ์อื่นเช่น switch เป็นต้น
ซึ่งเทคโนโลยีจำพวกนี้ สามารถมองเห็นเนื้อหาของข้อมูล (content) และมองเห็นข้อมูลตามข้อ 1- 6 ที่กล่าวมาข้างต้น แต่จุดประสงค์เทคโนโลยี NIDS/IPS ถูกออกแบบมาเพื่อตรวจสอบข้อมูลที่ผิดปกติ เช่น การโจมตี DDoS/DoS ,การแพร่ระบาดไวรัส (virus/worm) , การรับส่งข้อมูลที่ไม่พึ่งประสงค์ (Spam) ,และ การป้องกันเว็บไซต์ หรือชื่อโดเมนที่หลอกหลวง (Phishing) , การกรองเว็บไซต์ที่ไม่เหมาะสม (Web Filtering) เป็นต้น ซึ่งที่กล่าวมานั้น เป็นการตรวจเฉพาะภัยคุกคามมากกว่าการตรวจทุกเนื้อหาข้อมูล (content)
ซึ่งส่วนนี้ได้ทั้งข้อ 1- 6 รวมถึง 6.1 ด้วยแต่ไม่ได้ข้อ 6.2

ภาพติดตั้ง NIDS/IPS และ Proxy ซึ่งการติดตั้งในรูปเป็นแบบ In-line หรือ Transparent ซึ่งทำให้ข้อมูลผ่านที่ตัวอุปกรณ์ได้ เหมาะสำหรับเครือข่ายคอมพิวเตอร์ขนาดเล็กและขนาดกลาง


- Proxy Caching
การติดตั้ง ได้ทั้งเป็น gateway , transparent หรือแม้กระทั่งติดตั้งเป็นเพียงเครื่อง Server โดดก็ได้
หลายคนมองข้ามเทคโนโลยีตัวนี้ เนื่องจาก Proxy Caching มักมองในด้านการเพิ่มความเร็วแต่หากพิจารณาถึงข้อมูลบนตัวระบบ Proxy Caching ก็จะพบว่ามีคุณสมบัติตาม 1-6 ครบทุกข้อ คือได้เรื่องเนื้อหาข้อมูล (content) ด้วย เพื่อความเข้าใจมากขึ้น Proxy Caching มักใช้ทำเฉพาะ Protocol ใด Protocol หนึ่งมิใช่เปิดใช้ทั้งหมด หรือน้อยนักที่เปิดใช้ทั้งหมด Protocol ที่นิยมเปิดใช้คือ HTTP หรือการทำ Proxy Caching ส่วน Web นั่นเอง
ซึ่งส่วนนี้ได้ทั้งหมด 1-6 รวมถึงข้อ 6.1 และ 6.2 (เฉพาะ HTTP หากเป็น Protocol อื่นต้องเปิดให้ Proxy รองรับ Protocol อื่นด้วยซึ่งยังไม่เป็นที่นิยมและทำให้ Proxy ทำงานหนักเกินไป) ส่วนใหญ่เทคโนโลยีนี้ไม่ได้มีการเก็บบันทึกข้อมูลไว้ในตัวต้องหา storage มาเสริม

เทคโนโลยีสุดท้ายคือ UTM (Unified Threat Management)
การติดตั้ง เป็น gateway ขององค์กร
เทคโนโลยีนี้มาแรงในปัจจุบันเนื่องจากธุรกิจ SME นั้นมีมากขึ้นทำให้เลือกใช้ UTM มากขึ้น UTM หรือรวมทุกเทคโนโลยีด้านความมั่นคงปลอดภัยลงบรรจุในเครื่องเดียว คือ เป็นทั้ง Firewall , NIDS/IPS , Proxy จึงทำให้ Log ที่เกิดขึ้นบนเครื่อง UTM ได้ครบทั้ง 6 ข้อเช่นกัน คือได้เรื่องเนื้อหาข้อมูล (content) ด้วยเช่นเดียวกับ sniffer
ซึ่งส่วนนี้ได้ทั้งข้อ 1-6 รวมถึงข้อ 6.1 ยกเว้นข้อ 6.2 ส่วนใหญ่เทคโนโลยีนี้ไม่ได้มีการเก็บบันทึกข้อมูลไว้ในตัวต้องหา storage มาเสริม

ภาพการออกแบบ UTM บนเครือข่ายคอมพิวเตอร์ ซึ่งเป็น UTM ยี่ห้อดัง Fortigate ที่นิยมในประเทศไทย


แล้วพวก Log Management ล่ะ ? ได้ทั้งเนื้อหาข้อมูล (content) ด้วย ? คำตอบคือ Log Management ไม่สามารถทำงานได้เองโดยลำพัง ต้องได้รับข้อมูลจากอุปกรณ์ / เครื่องคอมพิวเตอร์อื่น ถึงสามารถทำงานได้ หากรับข้อมูลจาก อุปกรณ์ Router ก็จะได้เพียงข้อ 1 - 5
หากรับข้อมูลจาก อุปกรณ์ Switch ก็จะได้เพียงข้อ 1-5
หากรับข้อมูลจาก NIDS/IPS หรือ Proxy caching หรือ UTM ก็จะได้ข้อ 1-6 ตามที่อธิบายข้างต้น ส่วนจะได้ข้อ 6.2 หรือไม่นั้น NIDS/IPS , NAC , UTM ไม่สามารถได้ข้อ 6.2 ส่วน Proxy ต้องอาศัยเทคโนโลยีเสริม ดังที่กล่าวมาแล้วเป็นต้น

แล้วพวกเทคโนโลยีพวก Web Crawler ล่ะ ? เช่นพวก google , yahoo หรือ bing นี้ทำไมถึงรู้ keyword ที่เราต้องการค้นหาได้ด้วย

ภาพ web crawler ตัวแรกของโลกเมื่อปี 1996

เทคโนโลยี Web crawler เสมือนเป็นสายลับให้ผู้สร้าง crawler หรืออาจเรียกได้ว่าเป็นพวก robot ที่วิ่งหาข้อมูลอยู่ตลอดเวลาทำงานแทนคนนั้นเอง ซึ่งหากพิจารณาแล้วพบว่า Web Crawler ได้เฉพาะข้อ 2 ,4, 5 และ 6 คือ
Web Crawler จะสามารถทราบถึง
- ในข้อ 2 Destination IP นั่นก็คือ เว็บไซต์ที่เปิดขึ้น เช่นค้นหาคำว่า "SRAN" พบว่า www.sran.net อยู่บรรทัดแรกของระบบ Search engine หากเราทำการเปิดเว็บไซต์ www.sran.net ก็แสดงว่า www.sran.net คือ Destination IP (ทำการ ping www.sran.net ได้ IP Address)
- ในข้อ 4 Port Destination นั่นคือ ได้ Port ปลายทางด้วย เช่น ค้นหาคำว่า "SRAN" พบว่า www.sran.net อยู่บรรทัดแรกของระบบ Search engine ข้อมูลทุกอย่างปรากฏผ่านบราวเซอร์ของเราผ่าน Protocol HTTP ก็แสดงว่า Destination port ก็คือ 80

ภาพแสดงถึงหลังฉากการติดต่อสื่อสารจะเห็นได้ว่ามีการติดต่อจาก IP ต้นทาง (Source IP หรือ Local Address Port ต้นทาง ไปยัง Destination IP หรือ IP Foreign port ปลายทาง)

- ในข้อ 5 Protocol ในการติดต่อสื่อสาร เป็น TCP เนื่องจากเป็นการสื่อสารผ่าน HTTP นั่นเอง
- ในข้อ 6 เนื้อหาข้อมูล ตาม Keyword ที่เราค้นหา โดยเทคนิค Web Crawler จำเป็นต้องดูดเนื้อหาในเว็บไซต์มาเก็บไว้ เรียกว่า Web site Copier ที่เครื่อง Crawler Server แน่นอนครับนำเอาเนื้อหา (Content) ที่เกิดขึ้นบนเว็บไซต์เข้ามาด้วย แต่เป็นเพียงเฉพาะ Protocol HTTP โดยส่วนใหญ่ ไม่ได้ทำเพื่อใช้ Crawler ไปกับ Protocol อื่นนัก และไม่ได้หมายความว่า crawler จะทำงานได้เฉพาะ HTTP นะครับเพราะมีบางโปรแกรมก็ใช้ crawler กับ Protocol ที่ใช้แชร์ไฟล์ ก็มีคือวิ่งบน SMB Protocol ก็มีเช่นกันแต่เป็นส่วนน้อยและ เทคโนโลยี Crawler ไม่จำเป็นทำตามข้อ 6.2 คือการทำ Reconstruction นั้นเนื่องจากเนื้อหาทั้งหมดอยู่ใน storage เครื่องที่ทำระบบ Crawler ที่ประมาณข้อมูลมหาศาลเรียบร้อยแล้ว จึงเป็นขอพิพากกันถึงการทำงานของ google ที่อาจเป็นการละเมิดข้อมูลผู้อื่นได้ เนื่องจาก google มี crawler จำนวนมาก มี Server ที่เก็บเกี่ยวข้อมูลจำนวนมากจึงทำให้หลายๆประเทศมองว่า google อาจเป็นภัยต่อความมั่นคงได้เช่นกัน
แต่ทั้งนี้แล้ว
** ระบบ Web Crawler ไม่มีทางที่ได้ค่า IP ต้นทางหรือ Source IP นอกเสียจากว่า IP ต้นทางดันไปปรากฏในเว็บกระทู้ (Web board) ที่เปิดเผย IP ทั้งหมด ซึ่งหากนับแล้วเว็บกระทู้ (Web board) น้อยนักที่เปิดเผย IP Address ผู้โพสเว็บทั้งหมด ดังนั้น Web Crawler หากได้ IP ต้นทางนั้นจำเป็นต้องอาศัยโชคด้วย จึงอาจกล่าวได้อีกครั้งว่าเทคนิค Web Crawler ได้เฉพาะข้อ 2,4,5 และ 6 ดังที่กล่าวมา

เทคโนโลยีทั้งหมดที่กล่าวมาผมยังไม่กล่าวถึงการเก็บข้อมูล (Storage) และการออกแบบอย่างไรถึงจะสามารถรองรับข้อมูลได้ ซึ่งหากให้เขียนทั้งหมดจะมีเนื้อหายากและยาวเกินไป เดี๋ยวจะไม่มีใครคิดจะอ่านต่อ ผมจึงขอหยุดการอธิบายส่วนเทคโนโลยีอื่นๆ ไว้เพียงแค่นี้ก่อน
กลับไปสู่เนื้อหาต่อ ..

จะพบว่าคำถามเรายังไม่หมด สำหรับความสงสัยของผู้คน ถ้าเป็นเช่นนี้ เราไม่ยุ่งหรือ ? หากอุปกรณ์ป้องกันภัยที่ทุกองค์กรที่ใช้อยู่ ก็สามารถมองเห็นเนื้อหาข้อมูล (content) ได้เช่นกัน
คำตอบคือ ก็ขึ้นอยู่กับการใช้งาน ... หากเราคิดเพียงว่าการมองเห็นเนื้อหาข้อมูล (content) ก็เป็นการ sniff "สนิฟ" ไปเสียหมด นี้ก็ไม่ต้องทำอะไรกันพอดี ไม่ต้องมีระบบป้องกันภัยคุกคามปล่อยให้เป็นไปตามเวรตามกรรมก็คงไม่ผิด หากเป็นเช่นนี้คงไม่ได้ ดังนั้น เราจึงควรสร้างความเข้าใจ ถึงเทคโนโลยีที่เราใช้อยู่อย่างมีเหตุและผลมากขึ้น

เรามาดูอีกด้านหนึ่งบ้าง คือ โทษของ sniffer ...
ลำพังด้วยโปรแกรมอย่างเดียวนั้นคงไม่มีโทษอะไร มันก็เป็นเพียงเครื่องมือหนึ่งของมนุษย์ เป็นโทษ หรือเป็นภัยนั้น คือผู้ใช้โปรแกรม sniffer นั่นเอง หากใช้ในเจตนาที่ไม่เหมาะสม เช่นการดักข้อมูลผู้อื่นโดยมิชอบนั้นแน่นอนครับผิด ทั้งผิดตามศิลธรรมแล้วยังผิดในมาตรา 8 ของพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย ทั้งนี้จะผิดกฏหมายได้ต้องดูที่เจตนาผู้ใช้ sniffer เป็นหลักนะครับ
ทีนี้เรามาดูกันว่า เราจะรู้ทัน sniffer กัน "เราจะรู้ได้อย่างไรว่ามีใครดักข้อมูลเราอยู่" กันดีกว่า

ตอนต่อไปผมจะกล่าวถึงวิธีรู้ทัน sniffer โดยจะพิจารณาตามลักษณะการรับส่งข้อมูลดังนี้
1. พิจารณาจากมุมมอง การใช้ข้อมูล หากเราเอาตัวเองเป็นศูนย์กลาง ตัวเรานั่งอยู่ที่ไหน ?
1.1 ที่ทำงาน (office ที่เราทำงานอยู่) --> ใครจะ sniff "สนิฟ" เราได้
1.2 ที่ไม่ใช่ที่ทำงาน เช่น บ้าน ร้านกาแฟ อื่นๆ --> ใครจะ sniff "สนิฟ" เราได้
และเราจะรู้ทันได้อย่างไร ?

ถ้าหากเราระแวง จนถึงขั้นว่าทุกการกระทำต้องเข้ารหัส (encryption) เพื่อป้องกันการดักข้อมูลนั้นจะช่วยป้องกันได้เพียงใด ?

2. การทะลุข้อมูลถึงแม้จะเข้ารหัส การสามารถอ่านข้อมูลได้โดยผ่านเทคนิคที่เรียกว่า Man in the Middle attack (MITM)
2.1 ที่ทำงาน (office ที่เราทำงานอยู่) ---> ใครจะ MITM เราได้
2.2 ที่ไม่ใช่ที่ทำงาน เช่น ที่บ้าน ร้านกาแฟ อื่นๆ --> ใครจะ MITM เราได้
และเราจะรู้ทันได้อย่างไร ?

ผมมีคำตอบให้ในตอนหน้า ครับ

เพื่อความแข็งแรงขึ้น และจะได้ลงลึกในรายละเอียดที่กล่าวในตอนหน้าต่อไป ให้กลับไปอ่านเรื่องมุมมองภัยคุกคามจาก
http://nontawattalk.blogspot.com/2009/04/blog-post.html
และ http://nontawattalk.blogspot.com/2009/10/3-in-3-out.html
และ บทความภัยคุกคามตาม Layer ทั้ง 7
http://nontawattalk.blogspot.com/2009/08/layer-7.html
http://nontawattalk.blogspot.com/2009/09/layer-7-2.html
http://nontawattalk.blogspot.com/2009/09/layer-7-3.html

นนทวรรธนะ สาระมาน
Nontawattana Saraman
07/02/53

Wednesday, January 27

ข้อเท็จจริงในการดักข้อมูล sniffer


ครั้งแรกกะว่าจะไม่เขียนแล้วนั่งดูกระแสสังคมเงียบๆ และปล่อยให้เวลาเป็นตัวสร้าง ระดับการเรียนรู้ของผู้คนที่ใช้งานอินเตอร์เน็ตในประเทศไทยได้เรียนรู้กันเอง แต่อดไม่ได้จึงขอเขียนบทความนี้ขึ้นมาสักหน่อยเผื่อว่าใครค้นหาเจอแล้วได้พบข้อมูลนี้ขึ้น และเผื่อว่าจะเพิ่มมุมมองอีกด้านหนึ่งให้เป็นที่รับรู้กัน

จากข่าวที่ออกมาว่า กระทรวงเทคโนโลยีและการสื่อสาร หรือ ไอซีที นั้นได้ขอความร่วมมือจากภาคเอกชนในการแก้ไขปัญหาการละเมิดทรัพย์สินทางปัญญาบนเครือ ข่ายอินเทอร์เน็ต ออกใบอนุญาตให้กับผู้ประกอบการต้องติดตั้งอุปกรณ์ดักจับข้อมูลบนเครือข่าย อินเทอร์เน็ต หรือ Sniffer ไว้ที่เกตเวย์ด้วยเพื่อใช้ดักอ่านข้อมูลที่วิ่งบนระบบเน็ตเวิร์ค จนเกิดกระแสสังคมต่อต้านอย่างสูงจนเป็นประเด็นร้อนในสังคมออนไลท์เมืองไทยในช่วงอาทิตย์ที่ผ่านมา

ซึ่งทำให้สังคมออนไลท์มองว่าการนำ sniffer มาใช้นั้นจะผิดกฏหมายในมาตรา 8 ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และทำให้เป็นการละเมิดสิทธิส่วนบุคคล
หากแยกเป็นสองส่วนคือ เรื่องผิดกฏหมายในมาตรา 8 และเรื่องละเมิดสิทธิส่วนบุคคล

1. เรื่องผิดกฏหมาย
ซึ่งหากให้อธิบายในส่วนมาตรา 8 นั้นอาจกล่าวได้ว่าการกระทำผิดนั้นจะเกิดขึ้นได้ก็ต่อเมื่อการกระทำนั้นเกิดจากการกระทำโดยมิชอบด้วยกฏหมาย โดยดูที่เจตนาผู้ใช้เครื่องมือนี้เป็นหลัก จึงจะมีผลในมาตรา 8 หากชอบโดยกฏหมายแล้วนั้นการกระทำเช่นนี้ก็ไม่ผิด

ผมขอสร้างความเข้าใจเพิ่มขึ้น สักนิด โดยการยกตัวอย่าง บริษัท ABC เป็นโรงงานแห่งหนึ่ง ออกกฏให้พนักงานต้องพิสูจน์ตัวตนก่อนใช้งานคอมพิวเตอร์และเชื่อมต่ออินเตอร์เน็ต จากนั้นถ้าบริษัท ABC ได้จัดซื้อระบบ Monitoring System และประกาศให้พนักงานทุกคนรับทราบ ก็เพื่อดูพฤติกรรมการใช้งานผิดประเภทของพนักงานที่ใช้งานอินเตอร์เน็ต เช่น การส่งความลับบริษัทออกไปภายนอก , การติดไวรัสคอมพิวเตอร์การอินเตอร์เน็ตบราวเซอร์ เครื่องคอมพิวเตอร์ในเครือข่ายติด Spyware และเป็น botnet สร้างความเสียหายให้แก่บริษัทและชื่อเสียงองค์กร และอื่นๆ ที่พึ่งเป็นประโยชน์แก่องค์กร บริษัท ABC ซื้อระบบนี้ก็เพื่อป้องกันภัยที่อาจจะเกิดขึ้นในอนาคต คำถามว่าบริษัท ABC ทำผิด พรบ.คอมพ์ฯ หรือไม่ หากเราคิดเอาแต่ได้คือคิดฝั่งเราเองแต่อย่างเดียว ไม่เห็นอกเห็นใจ เจ้าของบริษัท ABC ผู้ที่ซื้อคอมพิวเตอร์ให้พนักงาน ให้เช่าสัญญาณอินเตอร์เน็ต จ่ายค่าไฟฟ้า ค่าลิขสิทธิ์ระบบปฏิบัติการ ซอฟต์แวร์ที่ใช้งาน และค่าซ่อมบำรุงต่างๆแล้วนั้น ก็แน่นอนอาจตีความหมายได้ว่าบริษัท ABC มีโอกาสผิด พรบ. แต่ในความเป็นจริงแล้ว ต้องบอกว่าบริษัท ABC ใช้ระบบ Monitoring System ซึ่งอาจใช้เทคนิคการ sniffer ก็ได้ แต่เป็นการทำโดยชอบ เพราะเขาได้ลงทุนระบบไปแล้ว และหากทำโดยชอบแล้วก็ไม่ถือว่าผิดมาตรา 8 ที่กล่าวมา กลับเป็นเรื่องดีเสียอีกที่ทำให้บริษัท ABC ไม่เสียโอกาสกับการทำ "Internal Threat" ที่อาจจะเกิดขึ้นได้ทุกองค์กรที่มีการเชื่อมต่ออินเตอร์เน็ต คำตอบในข้อนี้คือหากทำจริงก็ไม่ถือว่าผิดกฏหมาย แต่ต้องตีความหมายใหม่ซึ่งผมจะอธิบายต่อไป

กลับมาสู่ประเด็น รัฐบาลจะใช้ sniffer เพื่อดูเรื่องละเมิดทรัพย์สินทางปัญญา นั้นควรทำหรือไม่
?
ตอบ : ในส่วนตัวผมคิดว่า "ควรทำ" แต่ควรเป็นเรื่องความมั่นคงของชาติ ไม่ใช่เรื่องละเมิดทรัพย์สินทางปัญญา ด้วยมีเหตุผลสมทบ 3 เหตุ ดังนี้

1.1 หากจะทำควรให้ความรู้ประชาชนก่อน (User ผู้ใช้อินเตอร์เน็ต) ถึงพิษภัยบนโลกไซเบอร์ ว่าปัญหาการใช้ข้อมูลบนโลกอินเตอร์เน็ตนับวันยิ่งผู้ใช้งานมากขึ้น มากขึ้นๆ และมีทั้งคุณและโทษ โดยในด้านโทษนั้นจะเห็นได้ชัดว่าอินเตอร์เน็ตเป็นเหตุปัจจัยให้เกิดคดีต่างๆมากมายเช่นกัน เช่น คดีหลอกหลวงคน จากการซื้อขายสินค้าในอินเตอร์เน็ต , คดีละเมิดทางเพศ ไม่เว้นแต่พระ , คดีหมิ่นประมาท , หรือจะเป็นการโจมตีระบบเครือข่ายจนไม่สามารถใช้งานได้ โดยปีที่แล้วก็มีข่าวอันโด่งดังคือ ข่าว DDoS/DoS ที่ประเทศเกาหลี จนเกาหลีไม่สามาถใช้อินเตอร์เน็ตได้ทั่วประเทศ แต่เกาหลีมีระบบ Monitoring ที่ดีจึงสามารถตรวจหาผู้โจมตีและเอาผิดดำเนินคดีได้ในระยะอันสั้น ถึงได้กล่าวว่าภัยเหล่านี้มีความถี่มากขึ้นๆ ซึ่งทุกวันนี้ ประเทศไทยเราเอง หากมีการกระทำผิดบนโลกอินเตอร์เน็ตและเป็นคดีความนั้น จะเป็นไปได้ยากมากในสืบหาผู้กระทำความผิด
ขอยกตัวอย่างกรณีแก๊งไนเจีย 419 ทาง FBI แจ้งมาที่ตำรวจไทยว่าแก๊งนี้อยู่ที่เมืองไทยโดยใช้ประเทศไทยเป็นฐานในการหลอกลวง (Phishing) ผู้คนทั่วโลกผ่าน e-mail เชื่อหรือไม่ว่าตำรวจเรากว่าจะหาแก๊งนี้และจับได้นั้นใช้ความสามารถของคนและโชค โดยแท้ และหาก FBI ไม่แจ้งมานั้นเราก็ไม่รู้หลอกว่าประเทศเราได้เป็นฐานของแก๊งนี้ใช้หลอกลวงขึ้น เหมือนดังว่าประเทศของเรากลายเป็นแหล่งเพาะเชื้อโรคด้านอาชญากรรมข้ามชาติไปเลยในกรณีนี้

ดังนั้นวิธีอย่างหนึ่งที่จะช่วยให้สังคมอินเตอร์เน็ตสงบได้ก็คือทุกๆที่มีการให้บริการข้อมูลควรมีการเก็บ Log และ Log ที่เก็บต้องเป็นประโยชน์ในการสืบสวนมิใช่เป็น Log ที่อ่านยาก จนไม่รู้จะหาผู้กระทำผิดและเป็นหลักฐานได้อย่างไร อันที่จริงแล้วก็มีประกาศเป็นกฏหมายในมาตรา 26 ของ พรบ.คอมพ์ฯ แต่หลายๆครั้งเราก็พบว่าหลายก็ยังไม่ได้มีการเก็บ Log : ขออธิบายเสริมนอกเรื่อง ว่าในการเก็บ Log ที่ดีนั้นถ้าเลือกได้ Log Server ไม่ควรรับ Log มาจาก Router หรือ Switch เหล่านี้การพิสูจน์หาหลักฐานแล้วแทบไม่มีประโยชน์จาก Log เหล่านั้นเลย เนื่องจากโลกอินเตอร์เน็ตทุกวันเป็น Content Application มิใช่เพียงแค่ Network IP , ดังนั้น Log จาก Router หรือ Switch มีประโยชน์เพียงการดูความผิดปกติจากการโจมตี DDoS/DoS และการแพร่ไวรัสชนิดที่ยังไม่มีฐานข้อมูล หากจำเป็นต้องเก็บ Log (ภายในองค์กร) ควรเป็น Log จาก Firewall (UTM) หรือ Proxy หรือ NIDS/IPS และ AD (Active Directory) เป็นอย่างน้อย (อ่านเพิ่มเติมจากบทความเทคนิคการสืบหาผู้กระทำความผิด , สืบจาก Log ) แต่การเก็บบันทึก Log ก็ไม่ได้ซึ่งเหตุการณ์ที่ทันเวลา และไม่สามารถบังคับให้ทุกทีเก็บ Log ได้เหมือนกันหมดเพราะเหตุปัจจัยด้านการออกแบบทั้งระบบ Log Management เองและ ระบบ Network ซึ่งแต่ละที่มีการออกแบบที่แตกต่างกันอยู่ และที่สำคัญคือทุนในการจัดซื้อจัดจ้างเทคโนโลยี สุดท้ายคือบุคคลากร ที่ทำงานด้านนี้ต้องประสานกันได้

1.2 กระทรวงไอซีที ไม่ควรใช้คำว่า sniffer หากเป็นลักษณะการ Tap ข้อมูลก็ต้องอธิบายให้เข้าใจว่าไม่มีทางที่เอาข้อมูลมาได้ทั้งหมด หรือหากได้ทั้งหมดด้วยทุนมหาศาลแล้วนั้น ก็ไม่สามารถที่รู้ได้ว่าใครเป็นใคร ในโลกอินเตอร์เน็ตได้ นอกเสียจาก IP Address ผู้ใช้งานเท่านั้น ควรใช้คำว่า การทำ Lawful interception ที่หลายๆประเทศทั้งยุโรป อเมริกา และ ญี่ปุ่น เกาหลี และจีน ก็ทำกันทั้งนั้น

ผมขอให้ข้อมูลเพิ่มเติมว่า ในต่างประเทศเขาเรียกการทำแบบนี้ว่า Lawful Interception หากแปลเป็นไทยคือการตรวจสอบข้อมูลโดยชอบด้วยกฏหมาย ซึ่งในต่างประเทศจะต้องออกกฏระเบียบ เป็นกฏหมายขึ้นมาก่อน แล้วให้หน่วยงานกลางเป็นผู้ดูแลเรื่องเหล่านี้ ซึ่งจะมีประโยชน์กับ ISP หรือผู้ให้บริการ หากมีคดีความ และเหตุการณ์ด้านความมั่นคงฉุกเฉิน จะได้ไม่ต้องขอข้อมูลจาก ISP อีกต่อไป ตำรวจและเจ้าหน้าที่จะตรงไปที่หน่วยงานกลางที่จัดตั้งขึ้นมานี้ทันที

ซึ่งหากเมืองไทยจะทำ กฏหมายเหล่านี้ นั้นมีอยู่แล้วในเรื่องความมั่นคงในราชอาณาจักร ทั้งกฏหมายไทย เช่นหน่วยงาน DSI หรือ หน่วยพิเศษทางทหารบางหน่วย ก็สามารถใช้กฏพิเศษเหล่านี้ได้ เพื่อจุดประสงค์ด้านความมั่นคงของชาติเป็นหลัก

1.3 กระทรวงไอซีที ควรมองเรื่องนี้ไปในทิศทางด้านความมั่นคงของสถาบันหลักของชาติไทยเป็นหลัก มากกว่าเรื่องละเมิดทรัพย์สินทางปัญญา เพราะหาก Implement สำเร็จ สิ่งที่ได้ตามมานั้นคือการ Trackback เรื่องละเมิดทรัพย์สินทางปัญญาได้อยู่แล้ว เป็นผลพ่วงทางอ้อม และสิ่งที่ได้มาจริงๆ นั้นก็เป็นเพียง IP Address ต้นทาง ที่ ISP จ่าย IP ให้ ไม่ได้รู้หลอกว่าเป็นใคร ซึ่งส่วนนั้นต้องไปตามกันต่อที่ระบบ Radius หรือระบบ Billing ที่จ่ายค่า account อินเตอร์เน็ตไปกับหมายเลขโทรศัพท์ซึ่งจะตามต่อได้แล้วว่าเป็นใคร ซึ่งมีกระบวนการทำงานอีกพอสมควร (ถึงแม้จะมี IPv6 ก็ตามขั้นตอนก็ไม่ได้แตกต่างไปเลย ยกเว้นบ้าง ISP ที่มีระบบ Inventory ดีๆ อาจจะ Trackback ได้ง่ายขึ้นโดยเฉพาะ พวกที่ใช้มือถือใช้งานอินเตอร์เน็ต เป็นต้น)

ในต่างประเทศให้ความสำคัญเรื่อง Lawful Interception มาก โดยเฉพาะประเทศที่มีบทเรียนด้านอาชญากรรมทางคอมพิวเตอร์มาแล้ว เช่น อเมริกา ทุกวันนี้หากกล่าวกันอย่างเต็มปากเต็มคำแล้ว ประเทศไทยเรายังโชคดีมาก ที่การใช้งานอินเตอร์เน็ตถือว่าเสรีมากๆ และไม่มีระบบระเบียบอะไรมาควบคุม และสาวตัวถึงต้นตอของการกระทำผิดผ่านทางอินเตอร์เน็ตได้ คือต้องอาศัยความสามารถส่วนบุคคลในการสืบ การติดต่อ ISP และการพิสูจน์หาหลักฐานในอินเตอร์เน็ตมากกว่าเทคโนโลยี อเมริกา จีน และประเทศในฝั่งยุโรป นั้นตรวจหมดใน Protocol ที่สำคัญ ไม่ว่าเป็น HTTP (Web) , SMTP , POP3 , Web Mail , VoIP อื่นๆ อเมริกาถึงขั้นตรวจภาพเพื่อตรวจหาการซ่อนข้อความไว้ในภาพ (Steganography) ที่ตรวจละเอียดจนไม่เหลือความเป็นส่วนตัวได้นั้นก็เพราะเขามีบทเรียนจากเหตุการณ์ 9/11 มาแล้วว่าผู้ร้ายซ่อนข้อมูลในภาพและส่ง e-mail กัน


2. เป็นการละเมิดสิทธิส่วนบุคคล หรือไม่ ?

"เรากังวลในเรื่องไม่น่ากังวล !!" เพราะสิ่งที่เราเป็นอยู่ทุกวันนี้ ข้อมูลเราก็หลุดไปสู่โลกภายนอกอยู่แล้ว
เรากังวัลเรื่องข้อมูลส่วนตัวเราจะถูกล่วงรู้ ?? จากรัฐบาลหรือผู้ทำระบบ หรือ อื่นๆ หากผมจะบอกว่าข้อมูลส่วนตัวของเรา นั้นจริงๆแล้วไม่มีความลับเลยตั้งแต่เราเชื่อมต่ออินเตอร์เน็ต หรือตั้งแต่เราซื้อคอมพิวเตอร์เครื่องนี้มาใช้เล่นอินเตอร์เน็ต แม้กระทั่งข้อความที่ผมพิมพ์อยู่นี้ อย่างน้อย robot จาก google คงตามผมเจอเพราะผมใช้ blogspot และค่า fingerprint บนระบบปฏิบัติการผม IP Address ที่ไปประทับแล้วใน blogspot (Log บน Web blogspot server) ไปเรียบร้อยแล้ว

ที่กล่าวไปอย่างงี้ คงมีคนเถียงผมเป็นแน่ จึงขอยกตัวอย่างว่าทำไมเราไม่ไปกังวลเรื่องอื่น เช่นเรื่องที่ผมจะกล่าวต่อไปนี้ เป็นตัวอย่าง ๆ ไปแล้วกันครับ

2.1 Peering ข้อมูลที่ไหลออกนอกประเทศ : เวลาเราเล่นอินเตอร์เน็ต สงสัยบ้างไหมว่า ทำไมดูเว็บบ้างเว็บเร็วจังเลย เช่น www.youtube.com , google.com , msn และ social network อื่นๆ ที่เร็วเป็นเพราะว่า ISP ในประเทศไทยแข่งขันกันอยู่เพื่อให้ลูกค้ามาใช้บริการมากๆ เขาต้องทำระบบ Caching เพื่อการที่ทำให้ข้อมูลในเร็วขึ้น แต่การ Caching google ได้นั้น ต้อง Peering ส่วนใหญ่ ISP จะทำ Peering Link ไปที่ประเทศสิงคโปร์ แล้วเราไม่เอะใจ ++ บ้างหรือว่า Caching อยู่ที่สิงคโปร์นั้น ข้อมูลใน Caching นั้นไม่ละเมิดความเป็นส่วนตัวเรา ? เพราะได้ทั้งเนื้อหาทั้งหมด (Content) ที่เราเปิดอยู่ได้ ทั้งนี้ก็เพื่อให้ความเร็วในครั้งต่อไปเราจะได้เปิดเร็วขึ้น คนอื่นที่เปิดคลิปเสียง คลิปวิดีโอที่เราเคยเปิดก็เปิดได้เร็วขึ้น แล้วที่สำคัญข้อมูลไม่ได้อยู่ในประเทศเรากับไปยังต่างประเทศ แบบนี้เราไม่กังวลหรือ ??

ภาพบริการ Peering ส่วนใหญ่จะใช้กับเว็บไซต์ยอดนิยม (ภาพจาก www.digitalsociety.org )

2.2 สงสัยบ้างไหมว่าซอฟต์แวร์ Anti-virus บางค่ายหรือเกือบทุกค่าย รู้ E-mail เราได้อย่างไร แถมส่งมาบอกว่า "License ซอฟต์แวร์ Anti-virus ที่คุณใช้อยู่หมดไปแล้ว ให้คุณซื้อและเสียเงินให้เขาได้แล้ว" น่าแปลกไหมทั้งที่เราไม่เคยกรอกข้อมูลให้เลย ?? เพราะเราคิดว่าหาซอฟต์แวร์ Anti-virus ฟรีมา ลงเวลา Install ก็กด Next ๆ ไม่ได้อ่านเงื่อนไขซอฟต์แวร์ หากอ่านให้ดีพบว่าหากเราไม่เสียค่า License ซอฟต์แวร์ Anti-virus ที่เราใช้อยู่เขามีสิทธิโดยชอบในเครื่องเรา สามารถดูข้อมูลในเครื่องเราได้ ในระดับหนึ่ง (ที่ทางเทคนิคค่าย Anti-virusทำได้) นั้นทำให้เขารู้ e-mail และกลุ่ม mail เพื่อนๆเราได้จากคอมพิวเตอร์เราเอง และอีกอย่าง Anti-virus ต้องการ Research ชนิดไวรัสคอมพิวเตอร์ใหม่ๆ การ Research ได้ดีก็ต้องอาศัยเครื่องคอมพิวเตอร์ของผู้ใช้งานเพื่อดูค่า Hashing ที่สร้างขึ้นในเครื่องนำมาสรรหาไวรัสใหม่ๆกัน ถ้าไม่เชื่อลองทำด้วยตัวเองดูไหมครับ ท่านใช้ Anti-virus ค่ายไหนอยู่ ลองใช้แบบไม่เสียตัง แล้วไม่สนเรื่องที่แจ้งว่า "ท่านต้องซื้อได้แล้ว" แล้วลองเอาโปรแกรมพวก Wireshark ไปรันตอนมันส่งข้อมูลออกไปสิแล้วจะเห็นความจริง Anti-virus หลายตัว run backgroud process ในเครื่องเราไม่ต่ำกว่า 1 process ส่วนหนึ่งก็อาจเรียกได้ว่ามีหน้าที่คล้ายกับ spyware ที่คอยส่งข้อมูลไปแจ้งเรื่อง bug และการ research อยู่ตลอด (ที่เขียนไปนี้ ผู้อ่านมีสิทธิที่ไม่เชื่อในสิ่งที่บอก แต่ขอให้ลองทำดูว่าเครื่องเราเองนั้นส่งอะไรออกไปข้างนอกเครือข่ายเราบ้าง)

2.3 ซอฟต์แวร์บราวเซอร์ ใครใช้ บราวเซอร์ IE6 อยู่ ก็จะพบว่ามีโปรแกรม Alexa ฝั่งเข้าในเครื่องเราเพื่อดูพฤติกรรมการใช้งานอินเตอร์เน็ตของเราเอง เพื่อจัดสถิติและเพื่อประโยชน์ในกลุ่มวิจัยการตลาด เพื่อให้สินค้าได้ซื้อขายได้ถูกประเภทกับท้องถิ่นที่ใช้งานมากขึ้น ยกตัวอย่างเช่นพฤติกรรมใช้อินเตอร์เน็ตในประเทศไทย ควรจะขายสินค้าไหนดี โฆษณาอะไรดี เป็นต้น
ผมแสดงถึงความสงสัยต่อ Alexa ดังนี้

-

** เราเคยสงสัยบ้างหรือไม่ว่า Alexa จัดอันดับเว็บไซต์ในประเทศไทยได้อย่างไร ? ทั้งทีไม่ได้ติดสคิปพวก Web stats ในเครื่อง Web Server เราเลย (http://www.alexa.com/topsites/countries/TH)

ผมไม่เคยติดสคิป alexa ใน www.sran.net แต่ดูนี้สิทำไม alexa ถึงรู้ว่ามีคนเข้าเว็บนี้กี่คน ส่วนใหญ่ใช้ keyword อะไรถึงรู้จัก www.sran.net (http://www.alexa.com/siteinfo/sran.net) alexa ก็อาศัยพวกคุณๆ ที่ใช้ tools bar หรือ IE ที่มากับระบบปฏิบัติการ Microsoft นั่นสิ แล้วแบบนี้เราทำไมไม่กังวลกันว่าข้อมูลส่วนตัวเราไม่รั่วไหลไปไหนเหรอ ??
alexa เอา cookie ในเครื่องเราไปเพื่อจัดทำสถิติ แล้วแบบนี้เราไม่กังวลหรือ ?

2.4 google เจ้าพ่อข้อมูล ใครที่ใช้บริการ google app ที่เป็นระบบ Cloud computing คุณไม่ต้องห่วงว่าทำไม e-mail ที่ใช้ google app โฆษณาข้างมุมขวามือของเรา ถึงได้เข้าถึงตัวเรา รู้จัก Life style เราเป็นอย่างดี ซึ่งหากเราใช้ บราวเซอร์จาก google , Mobile จาก google , mail จาก google , web ค้นหาจาก google แล้วนั้น โอ้ไม่ต้องกล่าวครับข้อมูลส่วนตัวเราไปอยู่ข้างนอกเกือบหมดแล้ว ข้อมูลส่วนตัวนั้นคือพฤติกรรมการใช้อินเตอร์เน็ตของเรา พฤติกรรม e-mail ที่ส่งเข้ามาใน mail box ของเรา อีกทั้ง google ยังสามารถใช้ crawler สำรวจเนื้อหา e-mail เราได้หากเราใช้บริการฟรี mail บน google app จึงขอบอกว่าโลกอินเตอร์เน็ตของเราถูก google สร้างกรอบขอบเขตให้อย่างหมดจดแล้ว ทั้งนี้ก็เพื่อความสะดวกสบายในการใช้งานอินเตอร์เน็ต ที่เราอยากรู้อะไรก็ได้รู้ อยากทำอะไรก็ได้ไม่ต้องลงโปรแกรมให้ยุ่งยาก เช่นมี widget มาให้พร้อม ไม่ต้อง Implement หา Mail Server ที่มีความปลอดภัยและเสรียฐสูงๆ แต่ทั้งหมดนั้นเราได้ง่ายเราก็ต้องยอมที่เสียความเป็นส่วนตัวไปบ้าง ?? แบบนี้เรายอมรับกันได้ ?? ข้อมูลของเราในมือของคนอื่น เรายอมได้หรือ ??

ภาพการ์ตูนล้อเลียนการสอดส่องข้อมูลของ google ภาพจาก theipinionsjournal

2.5 ที่ไหนมี Link ที่นั้นมี Bot อันนี้เป็นบทความล่าสุดที่เขียนขึ้น ผมพยายมพิสูจน์ดูว่า ใครจะเห็นข้อความผมก่อนจากที่ได้ลองโพสใน Twitter ปรากฏว่า bot ทั้งนั้น แล้ว bot พวกนี้มีไว้ทำไม ก็เพื่อเก็บเกี่ยวข้อมูลในการทำระบบ Search engine ลองอ่านรายละเอียดได้ที่ http://sran.org/g5 ก็เป็นอีกบทพิสูจน์หนึ่งว่าไม่มีความลับในโลกอินเตอร์เน็ต เพราะมี robot อยู่ทั่วอินเตอร์เน็ตเพื่อสอดแนมเรา
robot ที่วิ่งเข้าถึงข้อมูลของเราก่อนใครเพื่อนคงหนีไม่พ้น google เราเคยสงสัยบ้างไหมว่าทำไม google ถึงได้รู้ว่าประเทศของเรามี Keyword คำไหนที่เป็นที่นิยม และเลือกดูตามรายภูมิภาค ว่าจังหวัดไหนในประเทศไทยมีการใช้ Keyword ใดในการค้นหาข้อมูลมากที่สุด ทำไม google รู้ได้ ทั้งทีเราก็ไม่เคยรู้ตัวว่าข้อมูลเหล่านั้นไปที่ google ได้อย่างไร

ภาพแสดงหน้าจอเว็บไซต์ http://www.google.co.th/insights/search/#

อื่นๆอีกมากมาย ที่ข้อมูลเราหลุดไปทางอินเตอร์เน็ต โดยที่เราเองไม่รู้ตัว ... ซึ่งข้อมูลเหล่านั้นก็ส่งไปที่ประเทศต้นกำเนิดอินเตอร์เน็ตนั่นแหละ ที่กล่าวนั้นคิดว่าละเมิดมากกว่า sniffer ที่กระทรวงไอซีทีประกาศ เนื่องจาก การ sniffer นั้นเป็นไปไม่ได้ที่จะเอาข้อมูลมาทั้งหมด หรือหากเป็นไปได้ว่าข้อมูลทั้งหมด ก็คงไม่มีใครมานั่งดูอยู่ตลอดว่าใครเป็นใคร จะรู้ก็แค่เพียง IP Address ที่เราได้รับจากฝั่ง ISP เท่านั้นหากใช้ เมื่อรู้ IP ก็ยังต้องไปตามต่อว่าเบอร์โทรศัพท์ที่ ISP ส่งค่าให้ใช้อินเตอร์เน็ตได้นั้นเป็นใครที่จดทะเบียนไว้ ได้เบอร์โทรศัพท์ถึงได้ที่อยู่ ซึ่งมีขั้นตอนพอสมควร ที่หลายคนเป็นห่วงนั้น ผมเลยตั้งคำถามว่าจะกลัวอะไร หากเราไม่ได้ทำผิดอะไร ? ถ้าดูเว็บโป๊ ก็ไม่ต้องกลัวหลอก แต่ถ้าขายยาบ้านี้สิอาจจะถูกจับได้หากระบบบันทึกได้ จึงไม่อยากให้ผู้ใช้งาน (User ผู้ใช้งานอินเตอร์เน็ตไทย) ต้องกังวลเพราะที่ผมกล่าวไปทั้ง 5 ข้อมูลที่ส่งจากเครื่องเราได้ส่งไปโดยตรงด้วยซ้ำ หนักกว่าการ sniffer เสียอีก แบบนี้ยังไม่เห็นมีใครลุกขึ้นมาบ่น ..

มาถึงตรงนี้แล้วหลายคนอยากจะหนีไปให้ไกล แล้วใช้วิธีการต่างๆ นานา เพื่อเชื่อมต่ออินเตอร์เน็ตแบบที่ไม่มีใครรู้ว่าเราเป็นใคร เช่น การใช้ Network Tor ผมก็เคยเขียนเรื่องราวเกี่ยวกับ Tor และพวก Anonymous proxy มาว่า ไม่มีคนปกติที่ไหนจะใช้พวกนี้ ดังนั้นพวกที่ใช้ Tor หรือ Anonymous ก็อาจจะมีคนเฝ้าดูอยู่เพราะส่วนใหญ่เป็นพฤติกรรมที่ไม่พึ่งประสงค์ เช่น ขายยาในเว็บ หรือ เป็น Spammer อื่นๆ ... ดังนั้น Tor เองก็มี NSA spy จากอเมริการเฝ้าดูเราอยู่เช่นกัน (อาจมีมากกว่า NSA Spy..แล้วแต่ผู้ให้บริการที่แตกต่างกันในแต่ละประเทศ) ถ้าใครอยากอ่านเพิ่มเติมก็อ่านได้ที่
Anonymity Network เครือข่ายไร้ตัวตน ตอนที่ 1 และ ตอนที่ 2 หากใครจะใช้วิธี Tor หรือ Anonymous proxy ก็ให้คิดดูดีๆ อาจจะเป็นหนีเสือปะจระเข้ ก็ได้

ภาพ NSA Spy ที่คอยสอดแนมใน Anonymous proxy ข้อมูลภาพจาก www.linuxreviews.org

ที่กล่าวไปข้างต้น ไม่ใช่ว่าจะให้กลัวจนไม่ต้องใช้อินเตอร์เน็ตพอดี ทุกวันนี้ดีขึ้นกว่าเมื่อก่อน เพราะมีระบบ open source ที่ปล่อยให้เราตรวจสอบได้ทั้ง โปร่งใสขึ้น แต่ถึงอย่างไรความก้าวหน้าของเรากับระบบไอซีทีในต่างประเทศมันห่างไกลกันอยู่จึงทำให้ผู้ใช้งาน (User) ต้องการความสะดวกสบายมากกว่าข้อมูลส่วนตัว จึงเกิดเป็นเช่นนี้ขึ้น ผมคิดว่าเราควรสร้างโอกาสนี้เป็นการเผยแพร่ความรู้ให้ผู้ใช้งานให้มาก สร้างคนให้มีความรู้เบื้องต้นในการป้องกันตนเองจากการใช้ข้อมูลอินเตอร์เน็ต และการหันไปใช้ระบบ Open source อย่างสร้างสรรค์มากขึ้น

ที่ผมกล่าวๆ มานั้น จะเชื่อหรือไม่ นั้นไม่ว่ากัน แต่ถามว่าแบบนี้จากข้อ 2.1 - 2.5 ที่กล่าวไปนั้น เราไม่กังวลมากกว่าเรื่อง sniffer ที่เราถือว่าเป็นการละเมิดสิทธิส่วนบุคคล หรือไม่ ??

และใครกันแน่ที่ละเมิดสิทธิส่วนบุคคล ก่อนใคร ?? หากเป็นเพราะความไม่รู้จากตัวเราเอง และการเป็นผู้ใช้งานที่ดี เกินกว่าการเป็นนักทดลองศึกษา

จากข้อ 2.1-2.5 ซึ่งเป็นตัวอย่างที่กล่าวมานั้น ข้อมูลเราหลุดไปต่างประเทศ ที่ไม่ใช่ประเทศไทย แน่นอน google , yahoo , microsoft ค่าย anti-virus/spyware อาจไม่สนใจประเทศเล็กๆอย่างเราก็เป็นไปได้ เพียงแค่ต้องการดูพฤติกรรมการใช้งาน เพื่อไปทำการโฆษณาและการตลาดในต่างประเทศ เพื่อจะนำสินค้ามาขายให้พวกเราๆ นี้แหละ ให้สินค้าตรงกับกลุ่มเป้าหมายมากขึ้น ข้อมูลของเราที่วิ่งไปต่างประเทศนั้น เขาไม่สามารถบอกได้ว่า นี้คือ นาย ก. นี้คือเครื่อง นาย ข. รู้แค่ IP Adress ที่มาจากประเทศไทย ในภาคกลาง เหนือ ใต้ อีสาน จังหวัด เท่านั้น ไปมากกว่านั้น ณ ตอนนี้ยังทำไม่ได้ และที่ต้องการคือเรื่องเดียวคือ พฤติกรรมในการบริโภคสื่ออินเตอร์เน็ต ซึ่งผมขอบอกได้ว่าข้อมูลของเราหลุดไปนานแล้ว และทุกวันนี้ก็ยังหลุดอยู่ และยังคงเป็นเช่นนี้ต่อไปเรื่อยๆ หากเรา คนไทยไม่หันมาพัฒนาเทคโนโลยีของเราเองได้

สรุปว่า ที่เขียนไปเสียยาว ก็เพื่ออธิบายว่า "สิ่งที่เรากังวลและควรเป็นประเด็นคือ ได้เวลาแล้วหรือยัง ที่เราจะไม่ปล่อยให้ข้อมูลภายในประเทศของเราหลุดไปยังที่อื่นอีก" มากเสียกว่ากลัวเรื่อง sniffer

ผมคิดว่าหากใครได้อ่านจบแล้ว ก็ลองพิจารณาดูและควรหาทางช่วยกันเถอะครับ วันหนึ่งเราควรมีระบบค้นหา (Search engine) เองของประเทศเรา มีระบบ E-mail ที่ไว้ใจได้ มีความเสรียฐ มีระบบป้องกันไวรัส และที่สำคัญ Mail Server ต้องป้องกัน Spam mail ได้ดีเยี่ยม ทั้งหมดควรเกิดจากการพัฒนาขึ้นของคนในชาติเรา มีระบบ Caching ที่ไม่ต้องไปพึ่งต่างประเทศ มีระบบเฝ้าระวัง ที่ใช้เทคโนโลยีที่ควบคุมได้เอง กันเถอะ วันนี้ประเทศในยุโรปรู้ถึงเรื่องราวเล่านี้แล้ว จีนก็รู้แล้ว และอีกหลายประเทศ (จากข่าวเร็วๆนี้จีนก็ไม่ให้ google อยู่ในประเทศแล้ว) หากในอนาคตมีอินเตอร์เน็ตใช้ทั่วทุกมุมโลก สมรภูมิรบใหม่บนโลกใบนี้ก็จะหันมาชนะกันที่ข้อมูลข่าวสาร มากขึ้นและลองจิตนาการภาพดูว่าตอนนี้ใครคือผู้กุมเทคโนโลยีอินเตอร์เน็ตได้มากที่สุด .... หากเวลานั้นมาถึงจริงประเทศของเราก็เพียงแต่เป็นผู้ตามชาติที่แข็งแรงกว่าอย่างไม่ต้องสงสัย (อ่านเพิ่มเติมบทความสมรภูมิรบใหม่บนโลกไซเบอร์ Cyberwar) วันนี้เราเหมือนผู้เริ่มได้สนุกกับการใช้เทคโนโลยีอินเตอร์เน็ตที่ยังตื่นตาตื่นใจกัน ผมถึงเขียนในบรรทัดแรกตั้งแต่ตอนต้นบทความนี้แล้วว่า อยากปล่อยให้เวลา เป็นตัวพัฒนาระดับการเรียนรู้ของผู้ใช้งานอินเตอร์เน็ตเมืองไทยไปเองเสียก่อน ถึงจุดหนึ่งเราอาจต้องหันมาดูเรื่องความมั่นคงของข้อมูลมากขึ้น ตระหนักถึงผลร้ายผลเสีย โดยคำนึงถึงผลประโยชน์ของชาติเราเสียก่อน หลังจากที่เราได้อิ่มกับการใช้งานเทคโนโลยีไปพอสมควรแล้ว

วันนี้คิดว่ายังไม่สายเกินไป สำหรับประเทศไทย หากเราเริ่มลงมือ ให้โอกาสคนไทยได้ทำ เพื่อประเทศไทยของเรา


บทความนี้เขียนขึ้นจากทัศนะคติส่วนตัว โดยไม่มีธุรกิจมาเกี่ยวข้อง
นนทวรรธนะ สาระมาน
Nontawattana Saraman
26/01/53