Tuesday, January 31

ถามตอบเพื่อสร้างความเข้าใจระบบ Lawful Interception (LI)


ด้วยว่าคำว่า LI หรือ Lawful Interception ยังมีหลายท่านยังสงสัยกับคำศัพท์ดังกล่าวนี้พอสมควร ในฐานะที่ผมเป็นคนแรกๆ ที่เผยแพร่บทความที่เกี่ยวกับ LI มาจึงอยากจะสร้างความเข้าใจให้เกิดขึ้นสำหรับผู้เริ่มศึกษาและผู้ที่จะนำไปสื่อสารหรือเผยแพร่ข้อมูลได้อย่างถูกต้องและเหมาะสมให้ก่อประโยชน์แก่สังคมต่อไปในอนาคต

จึงขอเริ่มด้วยการ ถาม-ตอบ เกี่ยวกับคำศัพท์ Lawful Interception กันก่อน โดยมีคำถามตั้งต้นดังนี้
1. Lawful Interception คืออะไร ?
2. การจัดทำ Lawful Interception ทำเพื่ออะไร ?
3. มีการดำเนินการจัด LI ทำอย่างไรแบบ step by step ?
4. ปัญหาและอุปสรรคในการดำเนินการอะไรบ้าง ?
5. LI ได้ประโยชน์อย่างไร ?
6. ใครเป็นผู้ได้- ใครเสียประโยชน์จากการทำ LI ?
7. การทำ LI มีผลกระทบต่อสังคมอย่างไร ?
โดยข้อ 4 ถึง 7 ยังไม่ขอกล่าวถึงในที่นี้






คำถามที่ 1 : Lawful Interception คืออะไร ?
ตอบ :
คือระบบการตรวจสอบข้อมูลสารสนเทศที่ถูกต้องตามกฏหมาย หรือ กฏระเบียบภายในองค์กร
ซึ่งเราสามารถแบ่งรูปแบบในการตรวจสอบข้อมูลแบบ LI ดังนี้
- ระดับโลก / ระดับภูมิภาค
- ระดับประเทศ
- ระดับบริษัท และหน่วยงาน

1. ระดับโลก / ระดับภูมิภาค นั้นจะพบว่าการสร้างเป็นกฏระเบียบการปฏิบัติการ Lawful Interception มีความพยายามให้เป็นสากลโดยการออกมาตรฐานต่างๆเพื่อมารองรับได้แก่ สถาบันมาตรฐานโทรคมนาคมแห่งยุโรป (European Telecommunications Standards Institute : ETSI) โครงการ 3rd Generation Partnership Project (3GPP) หรือองค์กรต่าง ๆ ของเคเบิลแล็บส์ (CableLabs) ที่รับผิดชอบด้านเครือข่ายไร้สาย/อินเทอร์เน็ต เครือข่ายไร้สาย และระบบเคเบิล ตามลำดับ ในสหรัฐฯ ข้อบังคับที่เทียบเคียงได้ให้อำนาจตามกฎหมาย Communications Assistance for Law Enforcement Act (CALEA) ซึ่งได้ระบุความสามารถเจาะจงโดยการประกาศใช้ ด้วยความร่วมมือของคณะกรรมการกลางกำกับดูแลกิจการสื่อสาร (Federal Communications Commission) และกระทรวงยุติธรรม

2. ระดับประเทศ ในแต่ละประเทศอาจมีกฏระเบียบแตกต่างกันไป ขึ้นกับการบริหารและการปกครองของแต่ละประเทศ อย่างเช่นประเทศที่เป็นสังคมนิยม หรือ สาธารณรัฐก็จะมีความเด็ดขาดในการออกกฏเกณฑ์ต่างๆที่เกี่ยวข้องกับการใช้งานข้อมูลสารสนเทศและอินเทอร์เน็ต เช่นประเทศ จีน พม่า และประเทศแถบอาหรับ , ส่วนประเทศที่เป็นเสรี ที่มีระบอบประชาธิปไตย ก็มีหลายประเทศที่ทำ LI อย่างเป็นกิจลักษณะ โดยเฉพาะประเทศที่พัฒนาแล้ว เช่น อเมริกา แคนาดา ญี่ปุ่น เป็นต้น ด้วยเหตุว่าการเปิดเสรีในแสดงความคิดเห็นในการกระทำใดๆก็ตามนั้น ผู้แสดงความคิดต้องรับผิดชอบการกระทำของตนด้วย เพราะถึงจะเสรีแต่ก็ตรวจสอบได้ หากพบการก่อเหตุอันจะทำให้เป็นภัยแก่ประเทศของตนเอง แล้วนั้นต้องป้องกันภัยไม่ให้ภัยนั้นตกสู่ประชาชน นี้เป็นแนวคิดของประเทศที่เสรีที่พัฒนาแล้ว
สำหรับประเทศไทยนั้นได้มีการนำ LI พิจารณาหลายครั้งแต่ปัจจุบันยังคงไม่ได้ทำกันอย่างเป็นกิจลักษณะและยังไม่มีหน่วยงานที่รับผิดชอบอย่างเป็นทางการ

3. ระดับบริษัท / หน่วยงาน ได้แก่ ธนาคาร บริษัทมหาชน หรือ บริษัทที่เกี่ยวข้องกับการผลิต บริษัทที่เกี่ยวข้องกับข้อมูลการให้บริการประชาชน เหล่านี้ล้วนแล้วแต่จัดทำ Lawful Interception ซึ่งความแตกต่างในระดับประเทศและภูมิภาคนั้น คือ การดำเนินการและการออกกฏเกณฑ์ต่างๆ ที่อาจจะเกิดผลลัพธ์ในเชิงรูปธรรมได้สะดวกว่าในระดับอื่นที่กล่าวมา

คำถามที่ 2 : การจัดทำ Lawful Interception ทำเพื่ออะไร ?
ตอบ :
เป้าหมายของการทำ Lawful Interception นั้นคือ การตรวจสอบข้อมูลอันอาจก่อให้เกิดความเสียหาย การกระทบต่อความมั่นคงของ ภูมิภาค ประเทศ และ องค์กร
โดยข้อมูลในนี้คือการติดต่อสื่อสารระหว่างผู้ส่งสารและผู้รับสาร โดยผ่านผู้ให้บริการข้อมูล ซึ่งจะเฉพาะจงเจาะสำหรับข้อมูลที่สื่อสารผ่านระบบเครือข่ายคอมพิวเตอร์ และอินเทอร์เน็ต เป็นสำคัญ เนื่องจากข้อมูลบนอินเทอร์เน็ตมีความเสรีในตัว ซึ่งหากจะจำแนกเจาะจงว่าผู้ใดเป็นผู้ส่งสารนั้นจะไม่สามารถทำได้หากขาดระบบการทำ Lawful Interception

ข้อมูลที่ก่อให้เกิดความเสียหาย นั้น อาจแบ่งได้ดังนี้
- ข้อมูลที่เกิดจากการแสดงความคิดเห็นที่เป็นภัยต่อประเทศ และ องค์กร ซึ่งในที่นี้จะหมายถึงความคิดเห็นจากบุคคลทั่วไป หรือ พนักงานในองค์กร ที่มีลักษณะความคิดที่แตกต่างกัน ซึ่งนำไปสู่ความขัดแย้ง อันก่อให้เกิดผลเสียหายตามมา หากมีความผิดตามกฏระเบียบแบบแผน , กฏหมาย , วัฒนธรรมและศิลธรรมอันดีงามแล้วก็จะก่อให้เกิดความเสียหายต่อภาพลักษณ์องค์กร หรือประเทศ ได้ ยกตัวอย่างเช่น ในระดับประเทศ เป็นประเทศไทย การแสดงความคิดเห็นซึ่งมีผลกระทบต่อสถาบันหลักของประเทศ เช่น สถาบันพระมหากษัตริย์ ซึ่งถือได้ว่าเป็นศูนย์รวมจิตใจของประชาชนชาวไทย มีความอ่อนไหวในการแสดงความคิดเห็น หรือแม้กระทั่ง ความขัดแย้งทางความคิดเสื้อแดง เสื้อเหลือง เป็นต้น ในระดับองค์กร ก็จะมองในเรื่องทรัพยากรบุคคล อันทำให้เกิดความเสื่อมเสียขององค์กร และการเสียผลประโยชน์ขององค์กรเป็นหลัก

- ข้อมูลที่เป็นบ่อเกิดของอาชญากรรม ได้แก่ การหลอกลวงในชนิดต่างๆ ผ่านช่องทางการสื่อสาร ซึ่งในปัจจุบันก็จะพบข้อมูลประเภทนี้มากขึ้น เช่น อาชญากรรมข้ามประเทศ , การหลอกลวงผ่านแก๊ง Call Center ผ่านระบบ VoIP อินเทอร์เน็ต , การค้ามนุษย์, การค้ายาเสพติด ผ่านช่องทางสื่อสารอินเทอร์เน็ต เป็นต้น

- ข้อมูลที่เป็นภัยคุกคาม ได้แก่ การก่อการร้าย, การวางระเบิด, การขโมยข้อมูลภายในองค์กร/หน่วยงาน การละเมิดลิขสิทธิ ทรัพย์สินทางปัญญา และการกระทำอื่นที่ทำให้ประชาชนในประเทศและองค์กร เกิดความไม่ปลอดภัยในชีวิตและทรัพย์สิน เป็นต้น

- ข้อมูลที่เป็นภัยคุกคามทางเทคนิค ได้แก่ การแพร่ระบาดของไวรัสคอมพิวเตอร์ การบุกรุกเครือข่ายคอมพิวเตอร์จาก Hacker , การโจมตีเพื่อให้ระบบข้อมูลไม่สามารถทำงานได้ DDoS / DoS , การส่งข้อมูลขยะ (Spam) การหลอกลวง (Phishing) ทำให้เกิดผู้เสียหาย เป็นต้น

หากประเทศใด หรือ องค์กรใด ยังไม่มีระบบที่สามารถตรวจสอบข้อมูลอันเป็นภัยดังกล่าวมานั้น จะทำให้การก่อเหตุอันไม่เหมาะสมนั้นเกิดขึ้นอย่างต่อเนื่องและกระทบต่อชีวิตความเป็นอยู่ของประชาชนในประเทศนั้นได้ เนื่องจากการกระทำความผิดในรูปแบบการสื่อสารผ่านช่องทางเครือข่ายคอมพิวเตอร์และอินเทอร์เน็ตนั้นไม่สามารถตรวจสอบที่มาที่ไปของข้อมูลได้หากไม่มี กระบวนการ ,เทคโนโลยี และ บุคคลการ พอเพียง

ในบางประเทศที่มีการใช้งานข้อมูลอินเทอร์เน็ตจำนวนมาก เช่น จีน และ อเมริกา จึงสนใจการทำ Lawful Interception มากและมีกฏระเบียบที่ชัดเจนสำหรับความมั่นคงของชาติและการป้องกันประเทศของตนให้พ้นจากภัยอันตรายที่เกิดจากการสื่อสารข้อมูล เป็นต้น

คำถามที่ 3 : มีการดำเนินการจัด LI ทำอย่างไรแบบ step by step ?
ตอบ
ขั้นตอนการทำ Lawful Interception (LI) เนื่องจากในขั้นต้นได้บอกว่า LI นั้นเป็นระบบ ซึ่งในระบบนั้นจะมีส่วนประกอบย่อย โดยสามารถแยกเป็นองค์ประกอบได้ดังนี้
1. องค์ประกอบการดำเนินการ LI (Process) : การออกกฏเกณฑ์เพื่อปฏิบัติ อันเป็นที่ยอมรับในสังคม จะจัดทำเป็น
1.1 นโยบาย (Policy) เพื่อออกกฏระเบียบมาตราฐานกลาง (Compliance) ที่ใช้ในประเทศ หรือ องค์กร
1.2 กระบวนการปฏิบัติ (Procedure)
1.3 บทบาทหน้าที่รับผิดชอบ : หน่วยงานที่เกี่ยวข้อง หน่วยงานที่รับผิดชอบในการปฏิบัติงาน หน่วยงานที่กำกับดูแลการออกนโยบาย เป็นต้น

2. องค์ประกอบด้านเทคโนโลยี และการออกแบบระบบ Lawful Interception
2.1 ระดับประเทศ
- จัดทำตามแผนปฏับัติการตามนโยบายงานกลาง (Compliance) ที่กำหนดขึ้น
- ทำความเข้าใจสำหรับผู้ให้บริการข้อมูลเครือข่ายคอมพิวเตอร์และอินเทอร์เน็ต
- ศึกษาวงจรการเชื่อมต่อข้อมูลเครือข่ายคอมพิวเตอร์และอินเทอรเน็ตในฝั่งผู้ให้บริการ เพื่อออกแบบระบบให้รองรับกับปริมาณข้อมูลจราจรเครือข่ายคอมพิวเตอร์ (Traffic data)
- การจัดทำประเภทข้อมูลเพื่อใช้ในการทำการตรวจสอบ ได้แก่ ชนิดของ Protocol ที่ใช้สำหรับการสื่อสาร, ชนิดการสื่อสาร เป็นต้น
- การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารกันภายในประเทศ
- การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากภายในประเทศออกสู่ต่างประเทศ
- การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากต่างประเทศเข้าสู่ภายในประเทศ
- ฐานข้อมูลการเก็บประวัติเพื่อสืบค้นเฉพาะกรณี
หากมีหน่วยงานที่ดูแลรับผิดชอบที่รัฐบาลมอบหมายให้ดูแล LI ต้องทำมากขึ้นโดยการนำข้อมูลจากผู้ให้บริการอินเทอร์เน็ตมาใช้ร่วม (ยังไม่ขออธิบายในขั้นนี้)

*** ในทางเทคนิคแล้วการตรวจสอบข้อมูลในระดับประเทศไม่สามารถที่เก็บบันทึกข้อมูลทุกการกระทำทั้งหมดในการสื่อสารได้ จะทำเป็นกรณีๆ ตามเป้าหมายที่ได้ต้องสงสัยไว้หรือบางแอฟลิเคชั่นที่สำคัญเพื่อเฝ้าติดตามเป็นกรณีพิเศษ ดังนั้นหากคิดว่าจะเป็นการละเมิดสิทธิส่วนบุคคลก็ต้องขอให้คิดใหม่ว่าในทางเทคนิคไม่มีทางที่เก็บข้อมูลได้หมดและข้อมูลที่ได้ก็ยังไม่ได้หมายความว่าคือบุคคลคนนั้นจริง เพราะในโลกการสื่อสารโดยเฉพาะการสื่อสารผ่านช่องทางอินเทอร์เน็ตสิ่งที่ตรวจสอบได้คือ IP Address เท่านั้น ดังนั้นค่า IP Address ไม่ได้บอกถึงว่าคนคนนั้นคือใครได้ ต้องมีขั้นตอนในการตรวจสอบเพิ่มเติมมากกว่านี้ ส่วนเรื่องเนื้อหาของข้อมูลที่ส่งผ่านเครือข่ายคอมพิวเตอร์และอินเทอร์เน็ต หากไม่ใช่เนื้อหาจากทางการข่าวให้เฝ้าสังเกต หรือ เนื้อหาที่ก่อให้เกิดอาชญากรรม เป็นเนื้อหาจากการใช้งานอินเทอร์เน็ตโดยทั่วไปก็ไม่ต้องกังวลเพราะการทำระดับประเทศต้องมีเป้าหมายชัดเจนถึงจะสามารถตรวจสอบข้อมูลได้ ***

2.2 ระดับบริษัท
- จัดทำตามแผนปฏับัติการตามนโยบายงานกลาง (Compliance) ที่กำหนดขึ้น
- จัดทำระบบฐานข้อมูลพนักงาน (Inventory) ค่าเครื่องคอมพิวเตอร์ ตามที่อยู่แผนกชั้น
- การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารภายในองค์กร
- การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากภายในองค์กรออกสู่นอกองค์กร
- การจัดทำระบบตรวจสอบข้อมูลที่สื่อสารจากภายนอกองค์กรเข้าสู่ภายในองค์กร
- การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ (Log) ตามกฏหมาย

3. องค์ประกอบในการปฏิบัติการ (Operation) : หากได้มีการจัดตั้งหน่วยงานที่ดูแล เพื่อปฏิบัติการ ต้องจัดหาบุคคลากรที่มีความรู้ความสามารถ และมีบทบาทหน้าที่ในส่วนที่ได้จัดทำขึ้นตามแผนงานและนโยบายที่กำหนดไว้ เพื่อการปฏิบัติงานได้อย่างต่อเนื่องและก่อให้เกิดประโยชน์แก่สังคมส่วนรวม

โปรดอ่านตอนต่อไป ...

Nontawattana Saraman
นนทวรรธนะ สาระมาน
เขียน 28/01/55

หมายเหตุ :
- หากคัดลอกข้อมูลจากบทความนี้ไปเผยแพร่ ไม่ว่าจะเป็นสาธารณะหรือในที่ประชุม โปรดอ้างอิงชื่อผู้เขียน
- ผู้เขียนได้เขียนบทความนี้จากประสบการณ์ อาจมีบางแง่บางมุมที่แตกต่างกันจากที่ได้รับรู้ และบางแง่บางมุมที่ยังไม่สามารถเผยแพร่ได้อย่างครบถ้วน การนำไปเผยแพร่โปรดใช้วิจารญาณในการติดสินใจ
ภาพประกอบจากบทความ Shadow Factory Revelations : The illegal NSA Domestic Spy Dragnet

Monday, January 9

แนวโน้มภัยคุกคาม ปี 2012

แนวโน้มภัยคุกคามทางคอมพิวเตอร์และอินเทอร์เน็ต ปีค.ศ. 2012 (พ.ศ 2555)

ถือ เป็นธรรมเนียมปฏิบัติไปแล้วสำหรับบริษัทและบล็อกด้านความปลอดภัยต่าง ๆ ที่เมื่อสิ้นปีจะทำนายแนวโน้มของภัยคุมคามคอมพิวเตอร์และอินเทอร์เน็ตสำหรับ ปีถัดไป ทีมงาน SRAN ได้ค้นหาและอ่านบทความทำนายแนวโน้มจากหลายสำนักจนได้รวบรวมเกิดเป็นบทความ นี้ขึ้นหวังว่าหลังจากที่ได้อ่านแล้วจะทำให้ผู้อ่านได้ความคิดใหม่ ๆ ในการป้องกันตัวเองและครอบครัวจากจากภัยที่คุณอาจจะต้องพบเจอเข้าในสักวัน หนึ่ง เพราะคอมพิวเตอร์และอินเทอร์เน็ตเป็นเรื่องใกล้ตัวที่คุณไม่อาจมองข้ามได้ อีกต่อไป

1. การโจมตีเป้าหมายเจาะจง (targeted attack) จะทำให้เกิดความเสียหายและมีความซับซ้อนมากขึ้น

สอง ปีที่ผ่านมามีข่าวเกี่ยวกับการโจมตีต่อเป้าหมายเจาะจง เนื่องจากกลุ่มที่ใช้คอมพิวเตอร์และเครือข่าย เพื่อเคลื่อนไหวทางการเมือง (เรียกว่า hacktivist มาจากคำว่า hack รวมกับ activist) อย่าง Anonymous และ LulzSec รวมถึงการเพิ่มขึ้นของอาชญากรรมทางอินเทอร์เน็ต ที่มุ่งเป้าไปที่รัฐบาล ธุรกิจและนักเคลื่อนไหวทางการเมือง ที่ต้องอาศัยเทคโนโลยีขั้นสูงและระยะเวลาที่ยาวนาน เรียกว่า Advanced Persistent Threats (APTs)

ตัวอย่างได้แก่ การโจมตีอย่างต่อเนื่องที่ทำให้โซนี่ต้องหยุดให้บริการเพลย์สเตชั่นเป็นเวลา นาน ทำให้เกิดความเสียหายทางการเงิน และการรั่วไหลของข้อมูลผู้ใช้ และการโจมตีเครือข่ายของล็อกฮีด มาร์ติน (Lockheed Martin) บริษัทผู้ผลิตเครื่องบินระหว่างประเทศและเทคโนโลยีที่ก้าวหน้า ที่อาจมีจุดมุ่งหมายเพื่อจารกรรมข้อมูลการออกแบบเครื่องบินรบ

เรา สังเกตได้ถึงระดับความซับซ้อนของการโจมตีเหล่านี้ เช่น ในขณะที่การโจมตีโซนี่เกิดจากการบุกรุกเครื่องแม่ข่ายเว็บ (web server) ที่ไม่ได้แก้ไขช่องโหว่ของโซนี่เอง แต่การโจมตีล็อกฮีด มาร์ตินเป็นผลมาจากการโจมตีบริษัท RSA ทางอีเมล เริ่มแรก พนักงานของ RSA ได้รับอีเมลแนบไฟล์สเปรดชีท ที่โจมตีช่องโหว่ Adobe Flash Playerและติดตั้งประตูหลัง (backdoor) และส่วนประกอบอื่น ๆ ของมัลแวร์ จากนั้นมัลแวร์ดังกล่าวจึงถูกใช้เพื่อเข้าถึงระบบของRSA และขโมยข้อมูลทางเทคนิคของ SecurID ซึ่งเป็นการยืนยันตัวตนสองปัจจัย (two-factor authentication) RSA ยืนยันว่าข้อมูลดังกล่าวถูกใช้เพื่อโจมตีล็อกฮีด มาร์ติน

เห็นได้ชัดว่าเหยื่อของการโจมตีเหล่านี้ได้รับความเสียหายมาก รวมถึงการเสียชื่อเสียง เสียความเชื่อมั่นของลูกค้า
ราคาหุ้นตกและเสียค่าใช้จ่ายในการแก้ไขปัญหาในทางเทคนิค

เมื่อเร็ว ๆ นี้ APTs ได้แสดงให้เห็นถึงความสามารถของมัน หนอน Stuxnet เป็นหนึ่งในตัวอย่างที่ดี อีกทั้ง
Stuxnet ยังใช้ใบรับรองอิเล็กทรอนิกส์ (digital certificate) ที่ถูกต้องอีกด้วย เมื่อพิจารณาถึงกรณีที่ใบรับรองถูกขโมยจากผู้ให้บริการออกใบรับรอง อิเล็กทรอนิกส์ DigiNotar เชื่อว่าการโจมตีต่อเป้าหมายเจาะจงจะมีเพิ่มขึ้น
โดยมีความซับซ้อนมากขึ้น ใช้การโจมตีช่องโหว่แบบ zero-day (ช่องโหว่ที่ยังไม่มีวิธีแก้ไขจากผู้ขายผลิตภัณฑ์)
และใช้หลายขั้นตอนในการโจมตี

2. จะมีการหลอกลวงในเครือข่ายสังคมออนไลน์เพิ่มมากขึ้น

เครือ ข่ายสังคมเป็นหนึ่งในวิธีสำคัญในการสื่อสาร ปฏิสัมพันธ์และร่วมแบ่งปัน ระหว่างผู้บริโภคและธุรกิจผ่านทางเว็บ โชคไม่ดีที่บริการเหล่านี้ตกเป็นเป้าหมายในการก่ออาชญากรรมทางอินเทอร์เน็ต เช่นกัน

แคมเปญที่มีจุดประสงค์ร้ายแพร่หลายไปทั่วสังคมออนไลน์ หนึ่งในวิธีการหลักที่แคมเปญทางเฟซบุ๊คแพร่หลายไป
คือวิธีที่เรียกว่า "likejacking" รูปแบบหนึ่งของเทคนิค clickjacking เมื่อผู้ใช้ถูกหลอกให้กด "Like" ในหน้าเว็บหนึ่งซึ่งจะมีผลให้แสดงข้อความหน้า Wall ในเฟซบุ๊ค บ่อยครั้งที่ข้อความเหล่านี้จะเป็นข้อความที่น่าตื่นเต้น เช่น การตายของอุซามะฮ์ บิน ลาดิน หรือ เอมี ไวน์เฮาส์ ซึ่งจะนำไปสู่หน้าเว็บมุ่งร้ายหรือน่าสงสัย รูปแบบหนึ่งที่พบทั่วไปคือแบบสำรวจออนไลน์ที่บังคับให้ผู้ใช้กรอกข้อมูลก่อน ดูวิดีโอที่ต้องการ ผู้ที่หลอกล่อให้ผู้ใช้กรอกแบบสำรวจได้สำเร็จจะได้เงินตอบแทน ส่วนแคมเปญมุ่งร้ายอื่น ๆ เช่น ใช้บริการย่อ URL เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเว็บมุ่งร้าย หรือหลอกล่อให้ผู้ใช้ copy / paste URL ที่อ้างว่าเป็นวิดีโอลงไปใน address bar โดยตรง

ผู้ให้ บริการเครือข่ายสังคมอย่างเฟซบุ๊คและทวิตเตอร์มีผู้ใช้หลายร้อยล้านคน และตามมาด้วยรายใหม่อย่าง Google+ ถึงแม้จะมีพัฒนาการด้านมาตรการด้านความปลอดภัยใหม่ ๆ ออกมาจากบริษัทผู้ให้บริการเหล่านี้ แต่เนื่องจากผู้ใช้และข้อมูลที่มีจำนวนมากจากผู้ให้บริการไม่กี่แห่ง จึงเป็นที่ดึงดูดอาชญากรทางอินเทอร์เน็ต และก่อให้เกิดการล่อลวงในสังคมออนไลน์เพิ่มมากขึ้นในปีค.ศ. 2012

3. มัลแวร์สำหรับอุปกรณ์พกพาคุกคามผู้ใช้และองค์การ

ในปีค.ศ. 2011 เพียงปีเดียวมีการเติบโตของมัลแวร์สำหรับอุปกรณ์พกพาอย่างมีนัยสำคัญ สิ้นปีค.ศ. 2010
มีมัลแวร์กว่า 2,500 ตัวอย่าง แต่ในปีค.ศ. 2011 เพิ่มขึ้นมากกว่า 7,500 ตัวอย่าง

ในปีค.ศ. 2011 ได้มีมัลแวร์สำหรับแพลตฟอร์มแอนดรอยด์เพื่อดักข้อมูล SMS ที่ธนาคารต่าง ๆ ใช้เพื่อป้องกัน
ลูกค้าจากโทรจัน เป็นตัวอย่างที่ดีของ "เกมแมวไล่จับหนู" ระหว่างผู้โจมตีและผู้ป้องกัน แอนดรอยด์ได้
กลายเป็นแพลตฟอร์มที่ตกเป็นเป้าหมายของมัลแวร์มากที่สุด มากกว่ามัลแวร์ซิมเบียนในครึ่งแรกของปี 2011 อีกด้านหนึ่งของมัลแวร์สำหรับอุปกรณ์พกพาที่เพิ่งเริ่มต้นขึ้น ได้แก่การใช้อุปกรณ์พกพาเป็นบ็อท (bots) ในเครือข่ายbots ที่แพร่หลายในคอมพิวเตอร์ตั้งโต๊ะ เนื่องจากมีอุปกรณ์และคอมพิวเตอร์ที่เชื่อมต่อเครือข่ายมากขึ้น ผู้โจมตีจึงพยายามนำทรัพยากรเหล่านี้มาใช้เพื่อประโยชน์ของตัวเอง

แอน ดรอยด์ตกเป็นเหยื่อของความสำเร็จของตัวมันเองในหลายแง่มุม เนื่องจากคนแห่กันไปใช้อุปกรณ์ที่ใช้ระบบปฏิบัติการนี้ ผู้โจมตีก็ทำเช่นเดียวกัน นอกจากนี้แอนดรอยด์ยังมีข้อเสียที่นักพัฒนาสามารถเผยแพร่แอพพลิเคชั่นใด ๆ เข้าไปในMarketplace ได้อย่างง่ายดาย การพัฒนาหนึ่งที่น่าสนใจคือการเปิดตัว Amazon Kindle Fire ซึ่งปกติแล้วจะเชื่อมต่อกับ Amazon application store เท่านั้น หวังว่าทาง Amazon จะให้ความใส่ใจกับแอพพลิเคชั่นที่ยอมให้เผยแพร่ใน application store มากกว่า Marketplaceของกูเกิล

ทุกองค์การควรให้ความสนใจกับจำนวนที่ เพิ่มขึ้นของพนักงานที่ใช้อุปกรณ์ของพวกเขาเองในที่ทำงานและดาวน์โหลดข้อมูล ขององค์การ เช่น อีเมลและไฟล์ต่าง ๆ เข้ามาในอุปกรณ์โดยไม่มีการควบคุม เป็นแนวโน้มที่เรียกว่า consumerization of ITหรือ Bring-Your-Own-Device (BYOD) องค์การจำเป็นต้องเตรียมพร้อมสำหรับปัญหาด้านความปลอดภัยและความร่วมมือที่ เกิดจากการนำอุปกรณ์ที่บริษัทจัดหามาให้ใช้งาน และที่พนักงานนำมาใช้เองด้วย

ใน ปีค.ศ. 2012 เราจะได้เห็นมัลแวร์สำหรับอุปกรณ์พกพาที่มีความซับซ้อนและผลกระทบมากขึ้น มัลแวร์ที่มุ่งเป้าที่สื่อสังคมออนไลน์จะแพร่กระจายมากขึ้น เนื่องจากมีการใช้อุปกรณ์พกพาเพื่อเข้าถึง และอัพเดทสังคมออนไลน์เพิ่มขึ้น โดยมัลแวร์ไม่เพียงแต่มุ่งเป้าที่ข้อมูลของผู้ใช้ แต่สามารถติดตามตำแหน่งของผู้ใช้ด้วย อาจเป็นเรื่องใหญ่ของความปลอดภัยสำหรับเด็ก ผู้ถ่ายภาพลามกเด็กและโจรลักพาตัวอาจสนใจภาพส่วนตัวที่เก็บอยู่ในอุปกรณ์พก พา ซึ่งจะมีข้อมูลพิกัดจีพีเอส (GPS) ของสถานที่ถ่ายภาพ ถึงแม้จะเก็บอยู่ในอุปกรณ์พกพาของผู้ปกครองก็ตาม

ข้อควรกังวลมาก ที่สุดเกี่ยวกับมัลแวร์ในอุปกรณ์พกพาคือ ข้อจำกัดของความสามารถของผลิตภัณฑ์ด้านความปลอดภัยในปัจจุบัน และจุดอ่อนในส่วนของผู้ใช้ เครื่องพีซีที่อยู่ในองค์การจะได้รับการดูแลจากฝ่ายไอที แต่อุปกรณ์พกพาของพนักงาน ที่ใช้เพื่อเข้าถึงและเก็บข้อมูลของบริษัท ดูเหมือนจะถูกละเลย องค์การจำเป็นต้องเพิ่มนโยบายด้านความปลอดภัย ช่วยให้อุปกรณ์พกพาสามารถเปิดเว็บได้อย่างปลอดภัย โดยที่อุปกรณ์พกพาส่วนตัวที่เข้าถึงเครือข่ายของบริษัทนั้นต้องใช้นโยบาย เดียวกันด้วย

4. ช่องโหว่ในซอฟท์แวร์เสริมการทำงานเว็บบราวเซอร์

ซอฟท์แวร์ เสริมสำหรับบราวเซอร์อย่าง Java, Flash Player และ Adobe Reader มีผู้ใช้ทั่วโลกเป็นจำนวนมาก มีช่องโหว่ในผลิตภัณฑ์เหล่านี้ที่พบและถูกโจมตีจำนวนมาก และเป็นเรื่องลำบากสำหรับผู้ดูแลฝ่ายไอทีในการอัพเดทผลิตภัณฑ์เหล่านี้ใน องค์การ ผลิตภัณฑ์เหล่านี้จึงกลายเป็นช่องทางที่ใช้ในการโจมตีที่ได้ผล ผู้ใช้งานเจอความท้าทายเดียวกัน ในบางครั้งฟีเจอร์การทำงานบางอย่างก็ไม่จำเป็นสำหรับผู้ใช้งาน การปิดการทำงานของฟีเจอร์เหล่านั้นช่วยลดความเสี่ยงในการถูกโจมตีได้อย่างมี ประสิทธิภาพ

นอกจากการเติบโตในแง่ของจำนวนแล้ว การโจมตีเหล่านี้ยังมีความซับซ้อนเพิ่มมากขึ้นอีกด้วย เช่น การซ่อนไฟล์มุ่งร้ายในไฟล์อื่นเพื่อหลีกเลี่ยงการตรวจจับ การโจมตีที่ใช้ไฟล์ flash มุ่งร้ายที่ฝังในไฟล์เอกสาร และรูปแบบที่คล้าย ๆ กันพบเห็นได้บ่อยขึ้น


สามารถอ่านต่อจนจบบทความได้ที่ http://sran.org/tl

Sunday, January 8

เตือนภัยเว็บไทยถูกโจมตีจากเทคนิค SQL Injection จำนวนมาก

การโจมตีที่ SQL Injection ที่กำลังระบาดในขณะนี้เรียกว่า lilupophilupop.com SQL injection

ระบบ ที่ถูกโจมตีเป็นระบบที่ใช้ ASP หรือ ColdFusion ที่ใช้ MSSQL เป็น backend โดยจะถูกฝังข้อความ “> อยู่ในเว็บไซต์ เมื่อเปิดหน้าที่ถูกฝังสคริปท์

นี้แล้วจะ redirect ไปที่เว็บไซต์ดาวน์โหลด Flash และแอนตี้ไวรัสปลอม

โดเมนในประเทศไทยพบ 12,800 หน้า ส่วนทั่วโลกพบประมาณ 1 ล้านหน้า

เว็บ .th ที่ถูกโจมตี
https://www.google.com/search?q=title+script+src+http+%22sl+php%22+script+%22lilupophilupop+com%22+site%3A.th&hl=en&biw=1280&bih=938&num=10&lr=&ft=i&cr=&safe=images
หรือค้นหาโดยใช้
title script src http “sl php” script “lilupophilupop com” site:.th
จาก google ดูสิ


ข้อมูลเพิ่มเติมอ่านที่ http://blog.sran.net/archives/658

Monday, January 2

สถิติภัยคุกคาม ที่เกิดขึ้นในประเทศไทยในรอบปี 2011

เริ่มต้นปีใหม่เราจะทำอะไร เหตุการณ์ข้างหน้าจะเป็นอย่างไร เรามีแต่การคาดการณ์ แต่หากเราเรียนรู้กับอดีตที่เคยเกิดขึ้นมาเป็นบทเรียนและเตรียมรับมือ พร้อมทั้งเรียนรู้ให้เท่าทันถึงภัยคุกคามที่อาจขึ้นน่าจะเป็นสิ่งที่ดี สำหรับการดำเนินชีวิตอย่างไม่ประมาท

ดั่งคำกล่าวที่ว่า "จะรู้ทิศทางอนาคต ก็ต้องรู้จักเหตุการณ์จากอดีต"

จึงเป็นที่มาให้ทีมพัฒนา SRAN ได้ทุ่มเท ความรู้ ที่มีจัดทำฐานข้อมูลภัยคุกคามที่เกิดขึ้นเพื่อเป็นการรายงานผล จัดในรูปแบบสถิติที่เกิดจากการใช้งานอินเทอร์เน็ตภายใน ประเทศไทยขึ้น โดยพัฒนาระบบนี้มานานกว่าจะออกเป็นผลลัพธ์ในเว็บ www.sran.net ซึ่งในปีนี้ก็คิดว่าระบบดังกล่าวจะสมบูรณ์มากขึ้นและเป็นประโยชน์ต่อสังคมให้ ได้เรียนรู้ถึงทิศทางภัยคุกคามที่เกิดขึ้นจากอดีตจนถึงปัจจุบันได้

เป้า หมายที่ตั้งไว้ คือ ต้องการระบบที่ตรวจสอบและแจ้งผลเว็บไซต์ Website / domain / IP Address ที่เป็นภัยอันตรายต่อการใช้งานนักท่องอินเทอร์เน็ต และทำให้ผู้ดูแลระบบที่ประสบภัยคุกคามได้มีมาตรการในการป้องกันภัยและแก้ไข ได้ทันสถานการณ์มากขึ้น โดยมีการจัดการข้อมูลในรูปแบบของสถิติซึ่งสามารถอ่านรายละเอียดได้ที่ http://nontawattalk.blogspot.com/2011/09/blog-post_04.html หรือ http://blog.sran.net/archives/640

ดัง นั้นก่อนที่จะคาดการณ์ภัยคุกคามในอนาคต เราจึงควรเรียนรู้ภัยคุกคามในรอบปีที่แล้วที่ผ่านมาเพื่อมาวิเคราะห์ถึง ทิศทางของภัยคุกคามที่เกิดขึ้นในประเทศไทยได้อย่างถูกต้องและแม่นยำมากขึ้น

โดยในรอบปี 2011 ที่ผ่านมานั้น สรุปภัยคุกคามที่เกิดขึ้นได้ดังนี้
SRAN : Thailand Internet Threat Statistic 2011


ภาพที่ 1 : สถิติภัยคุกคามที่เกิดขึ้นในประเทศไทยในรอบปี 2011

ภัยคุกคามที่ทางทีมพัฒนา SRAN ได้จัดทำขึ้นประกอบด้วย
1. Malware : คือ Website / Domain / IP Address ภายในประเทศไทย ที่เป็นพาหะที่ทำให้ผู้ใช้งานติดไวรัสคอมพิวเตอร์ หรือ file ที่ไม่เหมาะสม ที่ทำให้เครื่องคอมพิวเตอร์ (computer) คอมพิวเตอร์พกพา (notebook ,tablet) และสมาร์ทโฟม (smart phone/mobile ) ที่ขาดระบบป้องกันที่ทันสมัยอาจมีโอกาสติดเชื้อไปด้วย

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 1,057 ครั้ง ลงเมื่อเทียบกับปี 2010

2. Web Attack : คือ Website / Domain / IP Address ภายในประเทศไทย ที่ถูกโจมตี (Hacking) เข้าถึงระบบและเปลี่ยนข้อมูลในหน้าเพจเว็บไซต์

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 6,331 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010

3. Phishing : คือ Website / Domain / IP Address ภายในประเทศไทย ที่เป็นการหลอกลวงทำให้ผู้ใช้งานเข้าใจผิดและส่งผลกระทบต่อการใช้งานปกติ ซึ่งทำให้เครื่องคอมพิวเตอร์ (computer) คอมพิวเตอร์พกพา (notebook ,tablet) และสมาร์ทโฟม (smart phone/mobile ) ที่ขาดระบบป้องกันที่ทันสมัยอาจมีโอกาสติดเชื้อ Malware หรือเป็นเหยื่อของนักโจมตีระบบได้อีกด้วย

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 875 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010

4. Vulnerability : คือ ช่องโหว่ของโปรแกรม, แอฟลิเคชั่น (Application), OS (Operating System) ที่สามารถเข้าระบบ หรือทำให้ระบบไม่สามารถทำงานได้อย่างปกติ เป็นผลให้เกิดการโจมตีขึ้นได้

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นจำนวน 5,442 ครั้ง ลงเมื่อเทียบกับปี 2010

5. Proxy : คือ Website / Domain / IP Address ที่ทำตัวเองเป็นตัวกลางในการติดต่อสื่อสาร ซึ่งมีโอกาสที่เป็นเครื่องมือของผู้ไม่ประสงค์ดี และเป็นช่องทางในการกระทำความผิดเกี่ยวกับอาชญากรรมคอมพิวเตอร์ เพื่อปิดบังค่า IP Address ที่แท้จริงของผู้ใช้งานได้

สรุปภาพรวมทั้งปี 2011 เกิดขึ้นจำนวน 12,709 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010

ทั้งปี 2011 สรุปภัยคุกคามทั้ง 5 ประเภทรวมทั้งเป็น 26,394 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010 ดูรายละเอียด


ประเภทองค์กรภายในประเทศไทย ที่พบภัยคุกคามเป็นภาพรวม

แบ่งเป็น 3 ชนิดภัยคุกคาม 7 กลุ่ม คือ ชนิดภัยคุกคามจะประกอบด้วย 7 กลุ่ม ดังนี้

ชนิดของภัยคุกคามทั้ง 3 ชนิดประกอบด้วย

ชนิดที่ 1 : เว็บไซต์ในประเทศไทยที่ถูกโจมตี ได้แก่ การโจมตีชนิดที่มีการเปลี่ยนแปลงข้อมูลในเว็บไซต์ (web defacement)
ชนิดที่ 2 : เว็บไซต์ในประเทศไทย ที่ตกเป็นฐานของฟิชชิ่ง (Phishing) จนกลายเป็นเว็บหลอกลวง
ชนิด ที่ 3 : เว็บไซต์ในประเทศไทย ที่ติดไวรัสคอมพิวเตอร์ ซึ่งส่วนใหญ่แล้วจะเป็นเว็บไซต์ที่ถูกโจมตีแล้วสามารถเข้าถึงระบบได้จากนั้น จึงนำ file ที่ติดไวรัสเข้ามาใส่ในเว็บไซต์เพื่อใช้หลอกให้ผู้ใช้งานติดไวรัสต่อไป

ภาพที่ 2 ภาพรวมค่าสะสมจากอดีตจนถึงปัจจุบันบนระบบฐานข้อมูลภัยคุกคามที่เกิดขึ้นในประเทศไทย เมื่อแยกตามประเภทขององค์กร

ในรอบปี 2011 ที่ผ่านประเภทองค์กรที่พบภัยคุกคามดังนี้

ภาพที่ 3 สถิติภัยคุกคามเมื่อทำแยกแยะตามประเภทขององค์กร ที่เกิดในรอบปี 2011

ซึ่งแยกแยะตามรายชื่อโดเมนตามชื่อหน่วยงาน ได้ 7 กลุ่ม
1. สำหรับการศึกษา (Academic) จำนวนที่พบภัยคุกคามคือ 1,433 ครั้ง
2. สำหรับบริษัทห้างร้าน (Commercial Companies) จำนวนที่พบภัยคุกคามคือ 1,162 ครั้ง
3. สำหรับรัฐบาล (Governmental Organizations) จำนวนที่พบภัยคุกคามคือ 3,406 ครั้ง
4. สำหรับทหาร (Military Organizations) จำนวนที่พบภัยคุกคามคือ 129 ครั้ง
5. สำหรับหน่วยงานที่ไม่หวังผลทางการค้า (Registered Non-profit Organizations) จำนวนที่พบภัยคุกคามคือ 90 ครั้ง
6. สำหรับผู้ให้บริการอินเทอร์เน็ต (officially registered Internet Service Providers) จำนวนที่พบภัยคุกคาม คือ 2 ครั้ง
7. สำหรับหน่วยงานทั่วไป (Individuals or any others) จำนวนที่พบภัยคุกคาม คือ 528 ครั้ง

บทวิเคราะห์
โดย รวมทิศทางข้อมูลเชิงสถิติภัยคุกคามที่เกิดขึ้นในประเทศไทยโดยรวมนั้นมีอัตรา สูงขึ้นอย่างต่อเนื่อง ซึ่งเป็นไปตามการเข้าถึงเทคโนโลยีอินเทอร์เน็ตที่มีอัตราการใช้งานเพิ่มขึ้น ทุกปีเช่นกัน ภัยคุกคามในแต่ละประเภทที่จัดทำเป็นสถิตินั้นเป็นภัยคุกคามที่เชื่อมโยง ถึงกันซึ่งอาจเกิดจากส่วนใดส่วนหนึ่งก่อนแล้วเกิดผลตามมา ยกตัวอย่างเช่น เกิดจาก Web Attack ก่อน เมื่อนักโจมตีระบบ (Hackers) เข้าถึงระบบ Web Application ได้แล้วก็จะทำการเข้าถึง Web Server และระบบปฏิบัติการ OS ตามลำดับจากนั้นทำการติดตั้ง Malware และทำให้ Website / Domain / IP Address นั้นเป็นพาหะที่ทำให้เกิดติดเชื้อ และแพร่กระจายกลายข้อมูลผ่าน Link ต่างๆ ตาม Web board , Social network หรือ e-mail ในลักษณะ Phishing เป็นต้น
ซึ่งผู้ใช้งานควรมีความตระหนักรู้เท่าทันภัยคุกคามและหมั่นตรวจ สอบความปลอดภัยข้อมูลเป็นระยะโดยดูช่องโหว่ (Vulnerability) ของซอฟต์แวร์ , OS ที่ตนเองมีอยู่ ใช้อยู่ หากมีการแจ้งเตือนช่องโหว่ควรศึกษาว่าช่องโหว่นั้นมีผลต่อการใช้งานอย่างไร หากเป็นช่องโหว่ที่เข้าถึงเครื่องคอมพิวเตอร์เราได้นั้นควรรีบแก้ไขโดยเร็ว อย่างมีสติ หากเป็นผู้ดูแลระบบนั้นต้องหมั่นดูแลเรื่องนี้เป็นพิเศษ
ที่น่าสนใจคือทิศทางของการใช้งาน Proxy ทั้งที่เป็น Proxy Server , Anonymous Proxy ซึ่งมีการใช้งานที่สูงขึ้นมากอาจเป็นต้องการรักษาความลับและความเป็นส่วนตัว ของผู้ใช้งานมากขึ้น และอีกประเด็นคือที่ระบบ SRAN ตรวจพบ Proxy เยอะก็เพราะอาจมีการเข้าถึงระบบโดยเข้ายึดเครื่องและแปลงสภาพเครื่องที่ยึด ได้นั้นมาเชื่อมต่อการใช้งานแบบ Proxy เพื่ออำพรางการกระทำใดบางอย่าง ซึ่งเทคนิคดังกล่าวนี้จะส่งผลให้การสืบสวนทางอินเทอร์เน็ตทำได้ยากลำบากมาก ขึ้นนั้นเอง โดย IP Address ที่พบในฐานข้อมูลก็บ่งบอกว่ามีทั้งเครื่องแม่ข่าย (Server) และ เครื่องลูกข่าย หรือเครื่องผู้ใช้งานทั่วไป จากเมื่อก่อนการทำ Proxy ได้นั้นควรจะเป็นเครื่องแม่ข่าย แต่นี้ก็แสดงถึงการยึดระบบนั้นเข้าถึงเครื่องใช้งานทั่วไปของคนปกติที่ ออนไลน์ตลอดเวลาไม่ว่าเป็นเครื่องตามบ้านผ่าน ADSL ความเร็วสูงหรือแม้กระทั่งบนสมาร์ทโฟนที่ online อินเทอร์เน็ตตลอดเวลา ซึ่งเทียบได้กับ Server ในอดีตแต่การเปลี่ยนค่า IP Address จะไม่คงที่เท่ากับเครื่อง Server ซึ่งเท่ากับว่าเราๆท่านๆอาจมีโอกาสเป็นเครื่องมือของผู้กระทำความผิดได้เช่น กัน

ด้วยความปรารถนาดีจาก ทีมพัฒนา SRAN
SRAN Dev Team

สวัสดีปีใหม่ครับ

ปล. ข้อมูลสถิติที่เกิดขึ้นนั้นเกิดจากซอฟต์แวร์ zemog bot (สีหมอกบอท) ที่เป็นงานวิจัยและพัฒนาขึ้นจากทีมงาน SRAN สร้างขึ้น หลักการณ์เป็นการทำงานแบบ crawler โดยสร้างเป็นบอท (robot) พิเศษที่มีความชาญฉลาดกว่า crawler ทั่วไป หน้าที่คือตรวจสอบข้อมูลเมื่อพบ ASN (Autonomous System Number)ในประเทศไทยแล้วค้นหาตาม IP Address / Domain ที่พบภัยคุกคามจากแหล่งข่าวต่างๆ บนโลกอินเทอร์เน็ต แล้วนำมานำรวบรวมข้อมูล คัดแยกข้อมูลแล้วนำเสนอเป็นข้อมูลเชิงสถิติ ซึ่งไม่ได้หมายความว่าตัวเลขที่พบเป็นภัยคุกคามที่เกิดขึ้นทั้งหมด แต่เป็นการเกิดจากบอทที่สร้างขึ้นและค้นพบในโลกอินเทอร์เน็ต

รายละเอียดเพิ่มเติมดูได้ที่ http://www.sran.net/statistic