Saturday, December 27

บทวิเคราะห์การใช้งานอินเทอร์เน็ตของประเทศเกาหลีเหนือ

 
ในช่วงเวลาที่ผ่านมามีการพูดถึงการโจมตีไซเบอร์กันมากขึ้น โดยเฉพาะที่กระทบต่อประเทศเกาหลีเหนือ ทั้งในเรื่องการโจรกรรมข้อมูลของบริษัทโซนี่พิคเจอร์ จนเป็นข่าวโด่งดัง และหากใครได้ติดตามข่าวก็จะพบว่ามีประเทศไทยเข้ามามีส่วนในการเจาะระบบบริษัทโซนี่พิคเจอร์ ยังไม่เพียงแค่นี้ยังมีประเด็นที่ประเทศเกาหลีเหนือไม่สามารถใช้งานอินเทอร์เน็ตได้ทั้งประเทศ ซึ่งทั้งหมดคิดว่าหลายคนคงอย่างทราบถึงว่าเกิดอะไรขึ้น? จึงถือโอกาสนี้เขียนอธิบายข้อมูลเบื้องต้นเพื่อเป็นการศึกษาไว้ และหากมีโอกาสจะส่วมวิญญาณนักสืบดิจิทัล วิเคราะห์ความเป็นไปที่ปรากฏการณ์ที่เกิดขึ้นนี้เป็นระยะเท่าที่ทำได้

1. ข้อมูลทั่วไป 

ประเทศเกาหลีเหนือ ภาษาอังกฤษ : Democratic People’s Republic of Korea สาธารณรัฐประชาธิปไตยประชาชนเกาหลี มีประชากรทั้งหมดในประเทศ 24,851,627 คน (ผลสำรวจเมื่อปี 2014) ข้อมูลเชิงสถิติถึงจำนวนผู้ใช้งานอินเทอร์เน็ตในประเทศยังไม่สามารถระบุได้ แต่โครงสร้างในการติดต่อสื่อสาร (Internet Infrastructure) 
วันที่เกิดเหตุการณ์อินเทอร์เน็ตใช้งานไม่ได้ทั้งประเทศเกาหลีเหนือตรงกับวันที่ 22 ธันวาคม 2557 เวลา 23:15 เวลาในประเทศไทยโดยประมาณ

2.การใช้งานอินเทอร์เน็ต 
ASN (Autonomous System Number) ประจำประเทศ หมายเลข AS131279 ชื่อ Ryugyong-dong ขอจดทะเบียน ASN เมื่อวันที่ 21 ธันวาคม 2552 พึ่งจดทะเบียนเมื่อ 5 ปีที่แล้ว 

2.1 รายละเอียดข้อมูลหมายเลขอินเทอร์เน็ต 
aut-num: AS131279 
as-name: STAR-KP 
descr: Ryugyong-dong 
descr: Potong-gang District country: KP 
admin-c: SJVC1-AP 
tech-c: SJVC1-AP 
mnt-by: MAINT-STAR-KP 
mnt-routes: MAINT-STAR-KP 
changed: hm-changed@apnic.net 20091221 
source: APNIC role: STAR JOINT VENTURE CO LTD - 
network administrat address: Ryugyong-dong Potong-gang District country: KP phone: +850 2 381 2321 fax-no: +850 2 381 2100 
e-mail: postmaster@star-co.net.kp 
admin-c: SJVC1-AP tech-c: SJVC1-AP nic-hdl: SJVC1-AP mnt-by: MAINT-STAR-KP changed: postmaster@star-co.net.kp 20141202 
source: APNIC ชื่อติดต่อที่ star-co.net.kp 

2.2 รายละเอียดข้อมูลเส้นทางการเชื่อมต่ออินเทอร์เน็ต 

  
 ข้อมูลจาก HURRICANE ELECTRIC BGP จะพบว่าทั้งประเทศเกาหลีเหนือมีจำนวนค่าไอพีทั้งเป็นเป็นชนิดไอพีเวอร์ชั่น 4 จำนวน 1,024 ยังไม่มีการทำเป็นไอพีเวอร์ชั่น 6

2.3 เส้นทางการเชื่อมอินเทอร์เน็ตต่อกับต่างประเทศ 


จากแผนภาพพบว่าเส้นทางการเชื่อมต่ออินเทอร์เน็ตของ AS131279 ซึ่งเป็น ASN เพียงอันตัวเดียวในประเทศเกาหลีเหนือ


จะเห็นได้ว่าเส้นทางการเชื่อมต่อเพียงจุดเดียวที่ออกไปยังต่างประเทศ คือติดต่อไปที่ AS4837 เป็นของ China Unicom Backbone แล้วค่อยติดต่อไปยัง AS1239 ของ Sprint ประเทศสหรัฐอเมริกา

เส้นทางการติดต่อจากประเทศไทย
ทดสอบจากการใช้ ISP Loxinfo  เพื่อดูเส้นทางการเชื่อมต่ออินเทอร์เน็ต




เส้นทางอินเทอร์เน็ตจากไทยไปยังเกาหลีเหนือจะผ่านประเทศดังต่อไปนี้ (1)ไทย - (2)สิงค์โปร - (3)อินเดีย - (4)แคนาดา - (5)สหรัฐอเมริกา - (6)จีน และเข้า(7)เกาหลีเหนือ ประมาณ hop ที่ 18

2.4 ย่านไอพีแอดเดรสที่ใช้งาน

จำนวนไอพีแอดเดรสทั้งหมด 1,024 ค่า ซึ่งเทียบเคียงได้เท่ากับจำนวนไอพีของสถาบันการศึกษา-มหาวิทยาลัย ในบางที่ของประเทศไทยด้วยซ้ำ ย่านไอพีแอดเดรสที่สำคัญ ทั้งที่เป็นโครงสร้างพื้นฐานของประเทศ จะอยู่ที่ 175.45.176.0/24

2.5 ค่าโดเมนแนม 



โดเมนที่หลักของประเทศเชื่อมที่ไอพีแอดเดรสเดียว จากข้อมูลการสำรวจค่าไอพีแอดเดรสพบว่า Name Server จำนวน 38 รายชื่อจากจำนวน 1024 ค่าไอพีแอดเดรส

3. บทสรุป

การที่ประเทศเกาหลีเหลือประสบปัญหาอินเทอร์เน็ตใช้งานไม่ได้ทั้งประเทศแบ่งได้ 4 ประเด็นดังนี้

1) เส้นทางอินเทอร์เน็ตประเทศเกาหลีเหนือที่ออกต่างประเทศมีช่องทางเดียว คือจากประเทศจีน แล้วไปที่ ประเทศสหรัฐอเมริกา
- หาก AS4837 เป็นของ China Unicom Backbone ขัดข้องเกาหลีเหนือทั้งประเทศก็ใช้อินเทอร์เน็ตไม่ได้
- หรือหาก AS1239 ของ Sprint ประเทศสหรัฐอเมริกา ขัดข้องเกาหลีเหนือทั้งประเทศก็ใช้อินเทอร์เน็ตไม่ได้
- หรือตัวใดตัวหนึ่งปิดการเส้นทางการเชื่อมต่ออินเทอร์เน็ต (Peering) ทั้งผู้เรียกเข้าติดต่อประเทศเกาหลีเหนือ และ คนในประเทศเกาหลีเหนือเรียกอินเทอร์เน็ตออกประเทศไม่ได้ทันทีหากตัวใดตัว หนึ่งที่กล่าวนั้นขัดข้องหรือเปลี่ยนเส้นทางกระทันหัน ซึ่งก็เป็นการควบคุมของประเทศจีน (AS4837) หรือ ประเทศสหรัฐอเมริกา(AS1239) นั้นเอง อินเทอร์เน็ตทั้งประเทศเกาหลีเหนือตกอยู่การควบคุมจาก 2 มหาอำนาจ ชนิดที่เรียกว่า "ลูกไก่ในกำมือ"

2) อินเทอร์เน็ตที่ใช้งานไม่ได้เป็นเพราะ DNS ในประเทศเกาหลีเหนือไม่พร้อมใช้งาน ไม่ว่าจากการโจมตีชนิด DDoS/DoS  หรือจะเป็นการโจมตีชนิดอื่นที่ทำให้ไม่สามารถใช้งานได้ อันเนื่องมาจาก Root DNS หลักของประเทศเหลือเพียงตัวเดียวคือ IP : 175.45.176.15 ซึ่งหากเครื่องดังกล่าวถูกโจมตีก็จะไม่สามารถ Query ชื่อที่เป็นโดเมนได้ แต่จะเป็นลักษณะผู้ใช้งานในประเทศที่ไม่สามารถเรียกข้อมูลที่เป็นโดเมนแนม ได้ (สำหรับผู้ใช้งานในประเทศที่ตั้งค่า DNS แบบ Default รับค่า DHCP จาก Router ที่ไม่ได้มีการ Fix ค่า DNS เองจะประสบปัญหานี้)

3) เป็นข่าวเพื่อปั่นกระแสหนังที่กำลังเข้าฉายที่ชื่อ “The Interview”
ในยุคปัจจุบันนี้มีการโฆษณาประชาสัมพันธ์แบบคาดไม่ถึงอยู่เป็นประจำ โดยเฉพาะการปล่อยข่าวลือบนอินเทอร์เน็ต หรือที่เรียกอีกอย่างหนึ่งว่า "การทำ Propaganda"  การที่จะไม่ตกเป็นเหยื่อการทำ Propaganda ได้นั้นนอกจากจะต้องมีสติไม่พอต้องมีปัญญาด้วย นี้สิเรื่องยากจะไม่ตกเป็นเหยื่อ

4) กดดันเกาหลีเหนือโดยใช้การโจมตีไซเบอร์เป็นเครื่องมือโดยอ้างว่าเกาหลีเหนือมีแฮกเกอร์เจาะระบบจริง ซึ่งจริงไม่จริงปัจจุบันไม่มีใครทราบ ดูแล้วคล้ายพม่าก่อนเปิดประเทศ แต่เป็นคนละวิธีการ ตามยุคสมัยเพราะยุคนี้ต้องยอมรับว่าคือยุคไซเบอร์
และหากให้ผมเดา ... ผมจะรอดูว่าถ้าผู้นำสูงสุดของประเทศเกาหลีเหนือขึ้นปกนิตยสาร Time Magazine เมื่อไหร่ก็เมื่อนั้นไม่นานเกิน 2 ปีจะพบว่าประเทศนี้ได้เปิดประเทศแล้ว พร้อมเหล่าบรรดาทุนนิยม บริษัทยักษ์ใหญ่ที่ต้องการเพิ่มช่องทางในการลงทุนมากขึ้นเหมือนประเทศพม่าที่เป็นเพื่อนบ้านของเรานี้เอง


เขียนโดย
นนทวรรธนะ  สาระมาน
27 ธันวาคม 2557

อ้างอิงข้อมูล
Hurricane Electric IP Transit : http://he.net
Robtex : http://www.robtex.com
Internet Worldstats : http://www.internetworldstats.com

Tuesday, December 9

เอฟบีไอออกเตือนธุรกิจของสหรัฐ ฯ เกี่ยวกับมัลแวร์ที่เป็นอันตราย

เอฟบีไอออกเตือนธุรกิจในสหรัฐ ฯ ว่าแฮกเกอร์ได้ใช้ซอฟท์แวร์มุ่งร้ายเพื่อโจมตีเป้าหมายในสหรัฐ ฯ หลังจากที่มีการโจมตีบริษัท โซนี่ พิคเจอร์ส เอ็นเตอร์เทนเม้นต์ ทางอินเทอร์เน็ตเมื่อสัปดาห์ที่ผ่านมา
คำเตือนจากเอฟบีไอจำนวน 5 หน้า ได้ส่งให้กับบริษัทต่าง ๆ เมื่อวันจันทร์ที่ผ่านมา ให้รายละเอียดทางเทคนิคเกี่ยวกับซอฟท์แวร์มุ่งร้ายที่ใช้ในการโจมตี แต่ไม่ได้ระบุถึงชื่อของเหยื่อที่ถูกโจมตี
โฆษกของเอฟบีปฏิเสธให้ความเห็น เมื่อมีผู้ถามว่าซอฟท์แวร์ตัวนี้ถูกใช้เพื่อโจมตีบริษัทหนึ่งในเครีอข่ายของโซนี่ ที่ตั้งอยู่ในแคลิฟอร์เนียหรือไม่
เจ้าหน้าที่รายหนึ่งของเอฟบีไอบอกกับนักข่าวว่า คำแนะนำนั้นให้ข้อมูลข่าวสารที่เกี่ยวของกับการโจมตีบริษัทโซนี่ รวมถึงโค้ดภาษาคอมพิวเตอร์จำนวนหลายหน้า แต่ไม่เกี่ยวกับการโจมตีของมัลแวร์ชนิดใหม่
เจ้าหน้าที่หลายรายบอกว่าพวกเขากำลังวิเคราะห์การโจมตีบริษัทของโซนี่ ซึ่งทำให้เกิดความเสียหายร้ายแรงกับฐานข้อมูลของบริษัท
การโจมตีโซนี่ ทำให้ภาพยนตร์ของบริษัทจำนวนห้าเรื่องถูกเผยแพร่ผ่านทางออนไลน์ รวมถึงหนังเรื่อง “Annie” ที่ปรับปรุงแล้ว การโจมตีที่เกิดขึ้นเมื่อวันที่ 24 พฤศจิกายนที่ผ่านมา และปรากฏเป็นรูปของโครงกระดูก ในคอมพิวเตอร์ของบริษัท และข้อความที่เขียนไว้ว่า “Hacked by #GOP” ซึ่งเป็นกลุ่มที่อยู่เบื้องหลังการโจมตีที่ใช้ชื่อว่า “Guardians of Peace”
hacked%2Bby%2Bgop.jpg
ข้อความนี้ได้ขู่ที่จะปล่อยข้อมูลความลับของบริษัท ทางผู้สืบสวนกำลังหาความเชื่อมโยงกับภาพยนตร์เรื่อง “The Interview” และเกาหลีเหนือ ว่ามีความเกี่ยวข้องกันหรือไม่
เอฟบีไอได้ส่งคำเตือนเร่งด่วนให้กับบริษัทต่าง ๆ เป็นครั้งคราว เพื่อบอกรายละเอียดเกี่ยวกับภัยคุกคามทางอินเทอร์เน็ตที่กำลังเกิดขึ้นใหม่ เพื่อช่วยบริษัทต่าง ๆ ให้สามารถป้องกันการโจมตีแบบใหม่ได้ แต่จะไม่ระบุถึงชื่อของเหยื่อที่ถูกโจมตีในรายงานเหล่านี้
ในรายงานกล่าวไว้ว่า มัลแวร์ได้ทำลายข้อมูลในฮาร์ดไดรฟ์คอมพิวเตอร์ ทำให้มันไม่สามารถทำงานได้ และปิดการเข้าถึงเครือข่าย
จากรายงานที่แจกจ่ายให้กับผู้ทำงานด้านการรักษาความปลอดภัยในบริษัทต่าง ๆ ระบุว่าเป็นเรื่องที่ยากในการกู้คืนฮาร์ดไดรฟ์ ที่ถูกโจมตีด้วยมัลแวร์นี้
การวิเคราะห์มัลแวร์
มัลแวร์นี้ถูกใช้เพื่อโจมตีบริษัทของโซนี่ เป็นมัลแวร์ที่มีอันตรายตัวเดียวกับที่เอฟบีไอได้เตือนไว้ บริษัทด้านแอนตี้ไวรัสของญี่ปุ่น Trend Micro ได้วิเคราะห์การทำงานของมัลแวร์นี้ว่า หน้าที่หลักของมัลแวร์นี้คือการเก็บรวบรวมชื่อผู้ใช้ และรหัสผ่านที่เก็บใน network drive ที่มีการแชร์ในเครือข่าย
หลังจากผู้ใช้ในเครื่องได้ลบไฟล์มัลแวร์นี้ และไฟล์ที่เชื่อมโยงกับ network drive และหยุดการทำงานของ Microsoft Exchange Information Store service จากนั้นมัลแวร์จะหยุดทำงานไปสองชั่วโมง จากนั้นจึงรีสตาร์ทระบบ อีกส่วนหนึ่งของมัลแวร์จะใส่ไฟล์ bmp ในคอมพิวเตอร์ แสดงข้อความว่า “Hacked by #GOP” ซึ่งเป็นภาพเดียวกับที่ปรากฏในคอมพิวเตอร์ของโซนี่ ดังนั้น Trend Micro จึงเสนอว่ามัลแวร์นี้ถูกใช้เพื่อโจมตีโซนี่
ต่อไปนี้เป็นรายงานวิเคราะห์อย่างละเอียดของมัลแวร์นี้
ข้อมูลอ้างอิง

Monday, November 3

อินเทอร์เน็ตสะอาดไปกับ D' Family


“ชีวิตที่ทำเพื่อคนอื่น นั้นคือคุณค่าต่อการมีชีวิต”


 จุดเริ่มต้นของเรื่องนี้มันเกิดขึ้นจาก การก่อตัวประจุไฟฟ้าและคลื่นแม่เหล็กจากอากาศส่งเป็นสัญญาณทางข้อมูลที่ใช้ ความเร็วเท่าแสงวิ่งผ่านสายเคเบิลใต้น้ำและส่งตรงเข้าสู่ภาคพื้นดินผ่านเข้า สู่ระบบเครือข่ายคอมพิวเตอร์ เพื่อส่งสารข้อความไปยัง คนที่อยู่ห่างไกลกัน เป็นระยะทางที่ห่างกันเป็นทวีปได้สามารถเห็นหน้าตากัน ได้พูดคุยกันผ่านจอสี่เหลี่ยมที่อยู่ตรงหน้าเรา เพียงเสี้ยววินาทีก็ทำให้เกิดการเปลี่ยนแปลง การเปลี่ยนแปลงนี้เกิดขึ้น และตั้งอยู่ บนยุคดิจิตอลที่มีตัวกลางของการเชื่อมต่อนั้นก็คือ “อินเทอร์เน็ต” ส่งผลให้ชีวิตของเราเข้าต้องเข้าสู่สังคมดิจิตอล (Digital) อย่างเต็มตัวตั้งแต่ตื่นนอนตอนเช้าและยังคงดำเนินอยู่แม้ในยามที่เราหลับไหล และสิ่งนี้เองจึงเป็นจุดเริ่มต้นของการสร้างโครงการนี้ขึ้นมา

เนื่องด้วยข้อมูลข่าวสารในปัจจุบันล้วนมีอิทธิพลต่อชีวิตประจำวันเป็นอัน มาก เรากำลังเข้าสู่ IoT (Internet of Things) บนสภาวะ การขับเคลื่อนด้วยข้อมูลขนาดใหญ่ หรือ Big Data อันเป็นสิ่งที่ต้องเผชิญหน้าทุกครั้งที่อยู่หน้าจอ ซึ่งถือได้ว่าเป็นความท้าทายกับการใช้ชีวิตให้สมดุลและปรับตัวให้เข้ากับ ข้อมูลข่าวสารที่ผ่านเข้าสู่สายตาเรา ทุกที่มีแต่การออนไลน์ขึ้น ไม่ว่าการติดต่อสื่อสาร การทำธุรกิจ การหาข้อมูลต่างๆ ล้วนต้องพึ่งพาการออนไลน์

การเข้าถึงข้อมูลไม่ใช่มีเพียงแต่ผู้ใหญ่ที่เข้าถึงข้อมูลได้อีกต่อไป เด็กอันเป็นเยาวชนของชาติก็เข้าถึงข้อมูลบนอินเทอร์เน็ตได้เช่นกัน การเข้าถึงข้อมูลของเด็ก และ ผู้ใหญ่ ย่อมแตกต่างกันอันเนื่องจากเด็กนั้นยังไม่สามารถแยกแยะถึงข้อมูลที่ได้พบเจอ บนโลกออนไลน์ได้มากกว่าผู้ใหญ่
ดังนั้นหากมีการควบคุมการเข้าถึงข้อมูลอันไม่เหมาะสมและอันเป็นภัย อันตรายต่อเยาวชนของเราย่อมเป็นสิ่งที่ดี ดังนั้นทาง SRAN ทีมได้ระดมเทคนิคที่ได้สะสมมากว่า 10 ปี จัดทำเทคโนโลยีที่คิดว่าเหมาะสม สะดวกในการใช้งาน และเข้าถึงกับคนที่ไม่จำเป็นต้องรู้เทคนิคมากก็สามารถใช้งานได้  “Simple is the Best” สิ่งที่ดีที่สุดคือการกลับคืนสู่สามัญ เพราะทางเราได้เล็งเห็นว่าส่วนนี้เป็นสิ่งสำคัญสำหรับการพัฒนาบุคลากรอันมี ประสิทธิภาพ โดยเริ่มต้นตั้งแต่เยาวชนที่ต้องได้รับการคัดกรองข้อมูลอันไม่เหมาะสมและส่ง เสริมข้อมูลอันมีคุณค่าในการพัฒนาการของเยาชนอันเป็นอนาคตของประเทศ จึงเห็นว่าควรจัดทำโครงการนี้ขึ้น

cropped-Defamily-logo1.jpg

เรามีความตั้งใจทำโครงการนี้ ให้เกิดเป็นรูปธรรมที่สุดเท่าที่จะมีกำลังทำได้ โดยใช้ชื่อโครงการนี้ว่า“D’ Family” หรือ เดอ แฟมมิลี่ จะเป็นตัวช่วยคัดกรองข้อมูลอันไม่พึ่งประสงค์ และสามารถป้องกันภัยอันตรายจากการใช้งานอินเทอร์เน็ตตามบ้านได้เป็นอย่างดี

อีกท้งระบบ Content Filtering ที่ใช้งานกันอยู่ส่วนใหญ่เป็นของต่างประเทศ ดังนั้นฐานข้อมูลที่มีเนื้อหาไม่เหมาะสมจึงถูกคัดกรองที่ภาษาอังกฤษ หากเป็นเนื้อหาภาษาไทย และภาษาในประเทศกลุ่มสมาชิกอาเซียน นั้นซอฟต์แวร์ที่ใช้กันมักจะไม่รู้จักและไม่สามารถคัดกรองเนื้อหาได้ครบตาม พื้นที่ประเทศนั้นจึงควรจัดทำระบบดังกล่าวเองเพื่อความถูกต้องและแม่นยำใน การคัดกรอง จึงเป็นเหตุให้เราต้องมาจัดทำโครงการนี้ขึ้น
“D’ Family : Internet Safety at Home” จึงเกิดขึ้นในช่วงปลายฝนต้นหนาว  ปี 2014

หลักการทำงานของ D' Family เบื้องต้น

ปกติการใช้งานอินเทอร์เน็ตในครอบครัวบ้านทั่วไปเมื่อไม่มีระบบคัดกรองข้อมูลอันไม่เหมาะสม เด็กเยาวชนผู้ที่ใช้งานร่วมกับผู้ใหญ่ก็อาจประสบพบเจอเนื้อหาอันไม่พึ่งประสงค์ได้ทุกเมื่อในการท่องอินเทอร์เน็ต
befor-home-net-use01

แต่เมื่อมี D’ Family ไว้ในบ้านแล้ว เวลาใช้งานอินเทอร์เน็ตจะทำการป้องกันไม่ให้เด็กเปิดเนื้อหา ข้อมูลอันไม่เหมาะสมจากการใช้งานอินเทอร์เน็ตได้
after-home-net-use01
ด้วยเทคนิคการเชื่อมต่อข้อมูลผ่าน Cloud Services บนเครือข่ายดาต้าเซ็นเตอร์โดยมีระบบคัดกรองข้อมูลอันไม่เหมาะสมเป็นฐานข้อมูลกลางที่ทำให้ความปลอดภัยของครอบครัวที่ใช้ D’Family ได้ใช้งานอินเทอร์เน็ตอย่างปลอดภัยไร้กังวัลในการเข้าถึงข้อมูลอันไม่พึ่งประสงค์ได้
สุดท้ายนี้
เราหวังว่า D’ Family โครงการเล็กๆ นี้จะประโยชน์กับสังคมในยุค Big Data ได้บ้าง
ดังเช่นอัลเบิร์ต ไอน์สไตน์ได้เคยกล่าวว่า “Only a life lived for others is a life worth while.”
ชีวิตที่ทำเพื่อคนอื่น นั้นคือคุณค่าต่อการมีชีวิต
logo_SRAN0556
Nontawattana Saraman
30/10/57

รายละเอียด  http://defamily.sran.net

Friday, May 30

บทวิเคราะห์ Facebook ล่มในประเทศไทย

ในขณะที่ "Facebook ดับ"ผมนึกว่าเราจะกลายเป็นเหมือนประเทศจีน ที่มีโครงการ "Great China Firewall" เสียอีก แต่นั้นคือเขาทำได้เพราะช่องทางออกอินเทอร์เน็ตที่เชื่อมไปยังต่างประเทศมีไม่กี่ช่อง ทางแต่ปัจจุบันเมืองไทยเรามีช่องทางการออกอินเทอร์เน็ตที่เชื่อม ต่างประเทศ หรือเรียกทางเทคนิคว่า IIG (Internal Internet Gateway) นั้นมีหลายช่องทางและมีแนวโน้มจะเพิ่มขึ้นตามปริมาณการใช้งาน ดังนั้นการที่จะทำการปิดกั้นจากศูนย์กลางที่เดียวแบบ Single Command คงเป็นไปได้ยาก
เนื่องจากผมไม่ได้อยู่ในเหตุการณ์ช่วงที่ Facebook ล่ม ถึงอยู่ในช่วงเวลานั้นก็ไม่กระทบอะไรเพราะตนเองไม่มี account facebook และไม่คิดจะมี account facebook แต่เมื่อหลายคนพูด Talk of the town เลยมานั่งวิเคราะห์ดูว่าสาเหตุที่แท้จริงคืออะไร เผื่อว่าจะเป็นการแชร์ความรู้ให้กับทุกท่านที่ได้ติดตามอ่านบทความของผมอย่างต่อเนื่อง

เมื่อทำการวิเคราะห์สามารถพิจารณาจาก 2 ส่วน  ดังนี้
ส่วน ที่ 1 พิจารณาการเชื่อมต่อข้อมูลบนระบบเครือข่าย (Route Traffic)  ซึ่งในเส้นทางการเชื่อมต่อในส่วนนี้อาจเปลี่ยนแปลงไปเรื่อยๆ ไม่คงทีขึ้นอยู่กับการ config ของฝั่งผู้ให้บริการ ดังนั้นการยกตัวอย่างในบทความนี้อาจไม่เป็นเช่นนั้นเสมอไป

ส่วนที่ 2 พิจารณาการเรียกค่า DNS (Domain Name System)

ส่วนที่ 1 การเชื่อมต่อข้อมูลบนระบบเครือข่าย (Route Traffic)
ซึ่งในส่วนแรกเราจะต้องตั้งต้นที่ Gateway ในขาต่างประเทศ เพื่อวิเคราะห์ว่ามีก Link ใดบ้างทีเชื่อมต่อกับ Facebook จะพบว่า
ASN ในประเทศไทยที่มีขาเชื่อมต่อต่างประเทศ มีดังนี้
1. AS4651 : CAT Telecom
2. AS17565 : ADC (Advance Datanetwork Communications Co.,Ltd. BuddyB service. Bangkok)
3. AS45796 : BB Connect (UIH or DTAC)
4. AS7568 : CSLoxinfo
5. AS45629 : JasTel (3BB)
6. AS45430 : SBN (AIS)
7. AS132876 : Symphony
8. AS58430 : TCCT
9. AS38082 : True Internet
10. AS38040 : TOT

ASN ของ Facebook คือ AS32934 มีค่าไอพี (IPv4) ทั้งหมด 54,272
ซึ่งในนี้จะมีการเชื่อมต่ออยู่จำนวน 152 Link
ที่ ASN ของ Facebook มี Link ไปประเทศสิงค์โปร มีจำนวน 2 Link คือ
- AS7473 : Singapore Telecom
- AS4844 : Super Internet Access PTE

(1) AS7473 : Singapore Telecom มีการเชื่อมต่อในประเทศไทย ดังนี้
1.1 AS38082 : True Internet
1.2 AS4651 : CAT Telecom
1.3 AS7568 : CSLoxinfo
1.4 AS45629 : JasTel
1.5 AS38040 : TOT


(2) AS4844 : Super Internet Access PTE มีการเชื่อมต่อในประเทศไทย ดังนี้
2.1 AS4651 : CAT Telecom
2.2 AS38082 : True Internet
2.3 AS7568 : CSLoxinfo
2.4 AS38040 : TOT
2.5 AS45629 : JasTel
2.6 AS45796 : BBconnect
2.7 AS45430 : SBN-IIG
2.8 AS9587 : DTAC
2.9 AS9931 : CAT Telecom

เพื่อให้เห็นภาพขอทำการทดสอบผ่านผู้ให้บริการอินเทอร์เน็ต ที่ผู้เขียนสามารถจะทำได้ดังนี้
(1) ทำการ Trace route เพื่อค้นหาเส้นทาง ในกรณีที่ใช้เครือข่าย DTAC

ทำการทดสอบวันที่ 28 พค 57 เวลา 16:38  ซึ่งเป็นเกิดเหตุการณ์ Facebook ล่มไปแล้วไม่นาน


จะพบว่าใน hop ที่1 ถึง 13 เป็นการ Routing บนเครือข่ายของ DTAC เอง (เป็น Private IP Address)
จากนั้นใน hop ที่ 14 เริ่มการไปเชื่อมกับ TOT IIG ที่ ไอพี 180.180.248.69
จากนั้นใน hop ที่ 15 มีการเรียกค่าไปที่โดเมน facebook-sg.totiig.net โดย เป็นค่าไอพี 180.180.255.222
และ hop ที่ 16 เป็นการเชื่อมต่อไปที่ ae11.bb02.sin1.tfbnw.net ไอพี 31.13.28.148 ซึ่งเป็นไอพีภายใต้ AS32934
hop 21 และ hop 22 ที่ติดระบบรักษาความปลอดภัยของ Facebook
ใช้ระยะทางเรียกค่า www.facebook.com ทั้งหมด 23 hop

(2) ทำการ Trace route เพื่อค้นหาเส้นทาง ในกรณีที่ใช้เครือข่าย 3BB

ทำ การทดสอบ ที่ AS45629  ช่วงไอพีที่ทำการทดสอบ เวลาทดสอบวันที่ 29 พค 57 เวลา 8:32 ซึ่งเกิดเหตุการณ์ facebook ล่มไปแล้วหลายชั่วโมง และระบบกลับมาปกติแล้ว




เริ่มมีการเชื่อมต่อกับเครือข่ายอื่นที่ hopที่ 7 จะเป็นเครือข่ายอื่น ไอพี 80.77.0.77
AS15412 : Reliance Globalcom Limited จากนั้้น hop ที่ 8 ไปที่ ge-71-1-0.0.ejr03.sin001.flagtel.com ค่าไอพี 62.216.128.9
จาก hop ที่ 7 ถึง 8 จะไปผ่านที่ประเทศอังกฤษ Flag Telecom Global
 และออกไปที่ฮ่องกงใน hop ที่ 10 facebook-10G.hkix.net ไอพี 202.40.161.110 จากนั้นเข้าไปสู่เครือข่ายที่ Facebook
 ใช้ระยะทางเรียกค่า www.facebook.com ทั้งหมด 12 hop


(3) ทำการ Trace route เพื่อค้นหาเส้นทาง ในกรณีที่ใช้เครือข่าย True

ทำการทดสอบในวันที่ 30 พค 57 เวลา 07:43 ทดสอบผ่าน AS132061 Real Move (เป็นช่วงไอพีของ True Internet บนเครือข่ายมือถือ)

จะพบว่ามีการเริ่มออกจากเครือข่าย True ที่ hop 12 SG-ICR-GS1-10GE.trueintergateway.com โดยมีค่าไอพี 113.21.241.162  จากนั้น hop ที่ 13 xe-7-1-1.pr01.sin1.tfbnw.net ค่าไอพี 103.4.96.29 เป็นเครือข่ายของ Facebook AS32934
 ใช้ระยะทางเรียกค่า www.facebook.com ทั้งหมด 15 hop
ซึ่ง True Gateway สามารถมีการเชื่อมต่อไปตรงที่ Facebook ได้

(4) ทำการ Trace route เพื่อค้นหาเส้นทาง ในกรณีที่ใช้เครือข่าย CSLoxinfo

ทดสอบบนเครื่องแม่ข่าย (Server ส่วนตัว) เมื่อวันที่ 30 พค 57 เวลา 9:21 โดยทำการทดสอบบนย่านไอพี AS9891 ผลลัพธ์คือ

จะ พบว่าใน hop ที่ 8 มีการเชื่อมต่อไปยังต่างประเทศ คือ 32934.sgw.equnix.com มีค่าไอพี 202.79.197.65 ซึ่งอยู่ที่ประเทศสิงค์โปร จากนั้นใน hop ที่ 9 ติดต่อไปที่ Facebook
รวมระยะเส้นทางจำนวน 12 hop

หมายเหตุ : ทุกเส้นทางที่แสดงผลในนี้อาจมีการปรับเปลี่ยนได้ตลอดเวลาเนื่องจาก Routing Traffic จะเกิดขึ้นจากผู้ดูแลระบบที่ทำการ Config ค่า

ส่วนที่ 2 การเรียกค่า DNS 
เมื่อทำการ nslookup facebook จะได้ผลลัพธ์ดังนี้

facebook.com    nameserver = a.ns.facebook.com
facebook.com    nameserver = b.ns.facebook.com
facebook.com    text =

        "v=spf1 redirect=_spf.facebook.com"
facebook.com    MX preference = 10, mail exchanger = msgin.t.facebook.com
facebook.com
        primary name server = a.ns.facebook.com
        responsible mail addr = dns.facebook.com
        serial  = 1401416932
        refresh = 7200 (2 hours)
        retry   = 1800 (30 mins)
        expire  = 604800 (7 days)
        default TTL = 120 (2 mins)
facebook.com    internet address = 173.252.110.27
facebook.com    AAAA IPv6 address = 2a03:2880:2110:df07:face:b00c:0:1

a.ns.facebook.com       internet address = 69.171.239.12
b.ns.facebook.com       internet address = 69.171.255.12

ส่วนค่า DNS หลักของผู้ให้บริการอินเทอร์เน็ตในประเทศไทย จะแยกกันไป
ในที่นี้ขอยกตัวเฉพาะ DNS ของ TOT
ได้แก่ dns1.totbb.net มีค่าไอพี 203.113.5.130 , dns2.totbb.net มีค่าไอพี 203.113.7.130  และ dns3.totbb.net มีค่าไอพี 203.113.9.123
เมื่อมี การแจกค่า DNS ไปยังอุปกรณ์ Router ตามบ้าน หรือ ค่าที่ได้รับอัตโนมัติจากผู้ให้บริการจะทำให้เครื่องคอมพิวเตอร์ หรือ มือถือ จะได้รับค่า DNS จากผู้ให้บริการทันที  ยกเว้นกรณีที่ผู้ใช้งานตั้งค่า DNS เอง (Manual) โดยหลายคนอาจตั้งค่า DNS ไปที่ 8.8.8.8 ของ google เป็นต้น ซึ่งคนที่ตั้งค่าเองอาจไม่ได้รับผลกระทบกับการเรียก www.facebook.com
ดัง นั้นเหตุการณ์ที่เกิดขึ้นนี้ สามารถเข้าใช้งานในโดเมนอื่นๆได้ ยกเว้นโดเมน facebook.com มีความเป็นไปได้ที่มีการเปลี่ยนเส้นทาง DNS เพื่อให้ไป Query โดเมนที่ DNS ของผู้ให้บริการรายใดรายหนึ่ง และ DNS การสามารถกำหนด host file ในเครื่อง DNS Server เพื่อไม่ให้ผู้ใช้งานเข้าใช้บริการเมื่อมีการเรียกค่า DNS ได้ และสามารถ Redirect ไปยังเพจที่ขึ้นข้อความอื่นๆเพื่อบ่งบอกถึงว่าปิดระงับชั่วคราวได้  การปิดกั้นช่องทางผ่านเทคนิค DNS ในทางที่ก่อให้เกิดประโยชน์โดยมากเขาจะปิดกั้นไม่ให้เข้าถึง โดเมนที่มีภัยคุกคามเช่น โดเมนที่ติดไวรัส (Malware) โดเมนที่เป็น Phishing และ โดเมนที่มีความเสี่ยงทางอาชญากรรมคอมพิวเตอร์ เพื่อไม่ให้ผู้ใช้งานตกเป็นเหยื่อได้

* การตรวจดูว่า DNS เราใช้อยู่คืออะไรสามารถทำได้โดย ใช้ command  ipconfig /all  หรือใน linux ได้โดย ifconfig ตรวจดูค่า DNS หากใช้ผ่าน Router บ้านหรือองค์กรจะได้ค่าชี้ไปที่ Gateway ขององค์กร นั้นและค่า Router นั้นมักตั้งให้รับค่าอัตโนมัติ จะได้ค่า DNS จากผู้ให้บริการ

ตัวอย่าง Log DNS จากของจริงจาก srandns.com

30-May-2014 11:10:30.446 client 101.108.xx.xx#11240: query: mesu.apple.com IN A + (x.x.x.x)
30-May-2014 11:10:19.702 client 180.183.xx.xx#65484: query: sran.net IN A + (x.x.x.x)
30-May-2014 11:09:56.150 client 124.122.xx.xx#11540: query: m.ak.fbcdn.net IN A + (x.x.x.x)
30-May-2014 11:09:49.712 client 180.183.xx.xx#29337: query: www.facebook.com IN A + (x.x.x.x)
30-May-2014 11:09:36.869 client 180.183.xx.xx#19924: query: dnl-15.geo.kaspersky.com IN A + (x.x.x.x)
30-May-2014 11:09:33.959 client 180.183.xx.xx#19922: query: dnl-15.geo.kaspersky.com IN A + (x.x.x.x)
30-May-2014 11:09:14.741 client 101.108.xx.xx#11237: query: z-m.c10r.facebook.com IN A + (x.x.x.x)
30-May-2014 11:08:56.400 client 180.180.xx.xx#17540: query: imap.gmail.com IN A + (x.x.x.x)
30-May-2014 11:08:56.098 client 180.180.xx.xx#17539: query: www.sran.org IN A + (x.x.x.x)
 
จาก log จะเห็นว่าเราพบวันเวลา ค่าไอพี ของเครื่อง client ที่ใช้ DNS ค่าความต่อเนื่อง #ตามด้วยตัวเลข การ Query โดเมน  
 และค่า x.x.x.x จะเป็นค่าไอพีของฝั่ง DNS Server 
ยกตัวอย่างเบื้องต้นประมาณนี้ก่อน 

สรุปได้ว่า : ปัญหาที่เกิดขึ้นอาจจะเกิดจากการเปลี่ยนค่า DNS ที่ฝั่งผู้ให้บริการจะทำให้ผู้ใช้งานทั่วไปเรียกค่าโดเมนผ่าน DNS ใหม่ที่อาจทำให้เป็นการปิดกั้นช่องทางได้  หรือ ที่ผมเคยเขียนไว้ในบทความ "เตือนภัยเรื่อง DNS ที่มีผลกระทบต่อผู้ใช้งานตามบ้าน http://nontawattalk.blogspot.com/2014/04/dns.html " สิ่งที่เกิดขึ้นอาจเป็นเพราะคนที่เข้าไปแก้ไขค่า config เส้นทางการเรียกข้อมูลในช่วงเวลานั้นอาจจะยังไม่เข้าใจในระดับผู้ให้บริการ (ISP) ดีพอจนปล่อยให้เกิดผลกระทบที่ทำให้ทุกคนรับรู้และเป็น Talk of the town ได้ขนาดนี้


แนวทางที่ควรปฏิบัติในอนาคต

   ถึงแม้เหตุการณ์นี้จึงเป็นบทเรียนสำคัญสำหรับคนที่คิดจะทำการปิดกั้น โดยเฉพาะการปิดกั้นทั้งโดเมนสามารถทำได้ แต่อาจมีผลกระทบเยอะ และหากเปิดกั้นจากจุดเดียวด้วยวิธีนี้จำเป็นต้อง Route เส้นทาง การเรียกค่าโดเมนแนม ให้ออกไปยังจุดใดจุดหนึ่ง แต่ผลลัพธ์ก็อย่างที่เห็นคือไม่สามารถใช้งานได้ ซึ่งมีเหตุผลรองรับ เช่น อุปกรณ์ Load Balancing ที่อยู่หน้า DNS Farm Server หรือ DNS Server ใหม่ไม่สามารถรองรับ ปริมาณ traffic ได้ การ Query DNS ไม่สมารถรับค่าปริมาณเยอะๆพร้อมกันได้ อุปกรณ์ฝั่งระบบเครือข่ายไม่สามารถรองรับปริมาณข้อมูลได้ในเวลาจำกัด การปิดกั้นควรปิดกั้นเป็นบางเพจหรือค่า URI page นั้น ในอดีตการเปิดกั้นเว็บเพจ มักใช้เทคนิคเรียกว่า "TCP Hijack session" ปิดการเชื่อมต่อ session ของ ไอพีผู้ใช้งาน (Client) เพื่อไม่ให้เรียกเพจ เช่น http://xx.com/abcd/xx.html อันนี้ทำได้ในอดีต

http://www.abc.com/abc.html  แบบนี้ปิดได้
https://www.abc.com/abc.html แบบนี้ปัจจุบันยังปิดไม่ได้
แบบ facebook.com โดเมนทั้งหมด ปิดได้อยู่แล้ว  (ไม่ควรทำ) แต่อย่างไรก็ดีก็ยังไม่สามารถปิดกั้นจากจุดเดียวแบบ Single command ได้ ไม่ว่าเป็น โดเมนแนม หรือ URI ต้องบอก ISP แต่ละทีให้ปิด

กรณีเฝ้าระวังการใช้งาน HTTP
การเฝ้าระวัง (monitoring) ขอยกตัวอย่างโดยใช้อุปกรณ์ SRAN Light รุ่นเล็กติดตั้งที่ office
หน้าจอเฝ้าระวังโดยการเขียน signature จับค่า HTTP GET
 จากภาพ กรณี HTTP จะเห็นว่าเห็นทั้งค่าไอพีต้นทาง (ผู้ใช้งาน) ไอพีปลาย และ URI ที่เรียกใช้งาน
ส่วน MAC Address เครื่องเป็นค่า MAC ของอุปกรณ์ Switch ในองค์กร ซึ่งไม่ต้องสนใจเพราะค่าจะเป็นค่าเดียวเนื่องจากทำการ Mirror traffic มา

กรณีการเฝ้าระวัง  HTTP ผ่าน Proxy
จากภาพก็ยังเห็นว่า ถึงแม้จะผ่าน Proxy ก็ยังสามารถเห็นไอพีต้นทาง ไอพีปลายทาง (ก็คือ Proxy server) และ URI ที่ไปได้

กรณีการเฝ้าระวัง  HTTPS

จากภาพหากผ่าน HTTPS จะเห็นแค่ ไอพีปลายทาง ไม่เห็น URI ทำให้ไม่รู้รู้เปิด path ไหนของเว็บ เว็บนั้นๆหาได้จากไอพีปลายทางเอาไป whois หรือ covert IP to Host เอาไม่ยากสำหรับคนรู้หาได้ แต่อย่างไรก็หา URI ไม่ได้

แต่อย่างไรก็ดี HTTPS สามารถมองเห็นได้แต่ต้องทำ MITM (Man In The Middle Attack) ซึ่งในระดับองค์กรทำได้ แต่ระดับประเทศทำยาก และไม่ควรทำ

ปัจจุบันเครือข่ายสังคมออนไลน์ facebook , twitter , youtube หันมาใช้บริการ SSL คือผ่าน https หมด จึงไม่สามารถใช้เทคนิคเดิมเพื่อปิดกั้นได้เนื่องจากมีการเข้ารหัสจนไม่ สามารถล่วงรู้ถึง URI ปลายทางได้รู้แต่ค่าไอพี และทำการ covert กลับเป็นชื่อโดเมนทำให้ปัจจุบันไม่สามารถปิดกั้นได้  แต่หากทำการปิดกั้นก็มีหนทางโดยมากจะทำในระดับองค์กร แต่หากทำในระดับผู้ให้บริการระดับ ISP และในเมืองไทยมีผู้ให้บริการที่ออกโครงข่ายต่างประเทศหลายรายที่นับได้คือ เป็น 10 ที่ การทำวิธีดังกล่าวจึงมีออกแบบทั้งปริมาณข้อมูลที่รับได้ และทางฉุกเฉินเมื่อไม่สามารถเชื่อมต่อได้ ซึ่งโดยรวมนั้นอาจมีผลกระทบต่อผู้ให้บริการ (ISP) และผู้ใช้ งาน (User) โดยเฉพาะอาจได้รับ Certificate ที่ไม่ได้มาจากแหล่งต้นทาง  ดังนั้นการปิดกั้นควรคำนึงถึงเรื่องนี้ไม่งั้นอาจเป็นภัยคุกคามต่อผู้ใช้งาน ได้ เช่นกรณีคนที่ ใช้เทคนิค MITM (Man In The Middle attack) ในพื้นที่สาธารณะ บนเครือข่ายไร้สาย หรือ องค์กรขนาดเล็กก็จะได้รับค่า Certificate ที่ไม่ได้มาจากแหล่งต้นทางที่แท้จริงได้เช่นกัน และช่องทางพิเศษในการอำพรางตัวตนนั้นมีมากมาย ค้นหาใน Google หรือ Search engine อื่นก็สามารถใช้งานได้ง่ายและปัจจุบันใครก็ทำได้ ยิ่งทำการปิดกั้นก็ยิ่งมีคนอยากเข้าถึง และหาทางหลีกเลี่ยงการหลบซ๋อนค่าไอพียิ่งทำให้หาตัวผู้กระทำความผิดได้ยากขึ้น ซึ่งสิ่งที่ควรปิดกั้นคือช่องทางที่อำพรางตัวตนแบบออนไลน์มากกว่าการปิดกั้นเว็บเพจ 
(อาจดูเหมือนทำยากแต่สามารถทำได้และไม่กระทบต่อผู้ให้บริการและผู้ใช้งาน ซึ่งหากมีโอกาสจะแนะนำวิธีการให้ต่อไป)

ค่าไอพี (IP Address : Who) และ เวลา (Time : When) ส่วน What ทางเทคนิคหาได้จาก Log file  ถ้าไม่ใช้เทคนิคการหาทางการข่าวได้ เหล่านี้จะเป็นตัวบ่งบอกถึงความเป็นตัวตนของผู้ใช้งาน หากมีการอำพรางตัวตนก็เท่ากับไม่สามารถหาค่าไอพีที่แท้จริงได้ และโดยมากผู้มีเจตนาไม่ดีมักทำการอำพรางตัวตนที่แท้จริง เพราะคนที่เจตนาดีมักจะไม่มีความจำเป็นต้องอำพรางตัวตนในการใช้งาน

สรุปแนวทางในอนาคต
1. ไม่แนะนำให้มีการปิดกั้นการเข้าถึงข้อมูลไม่ว่าเป็นสื่อสังคมออนไลน์หรือเว็บเพจ เพราะยิ่งปิดกั้นคนก็จะพยายามหาทางเข้าถึง และหลีกเลี่ยงโดยไปใช้โปรแกรมอำพรางตัวเอง เช่นโปรแกรม Tor Network , Proxy Anonymous ต่างๆ และทำให้การหาผู้กระทำความผิดได้ยากขึ้น และการปิดกั้นปิด หนึ่งเว็บก็เปิดใหม่ได้อีกเรื่อยๆ เป็นลักษณะแมววิ่งไล่จับหนู ซึ่งไม่มีทางจบสิ้น และอีกอย่างสังคมปัจจุบันเป็นสังคมเปิด โดยเฉพาะสื่อออนไลน์จะมีข่าวสารฉับไว จนสามารถทำให้ผู้คนที่เข้าถึงอินเทอร์เน็ตรู้ทันกันไปหมด คิดอะไรไม่ออกก็ค้นหา google ก็รู้ได้ ดังนั้นการปิดจึงเป็นวิธีการที่ผมเองไม่เห็นว่าจะเกิดประโยชน์ในระยะยาว

2. เมื่อพบเนื้อหาไม่เหมาะสม ต้องไม่ขยายผลต่อ ไม่ว่าเป็นชื่อเพจ หรือการแชร์ ควรส่งให้หน่วยงานที่รับผิดชอบเพื่อไม่เป็นการขยายผลต่อ

3. หากจะทำการปิดกั้น ควรจะทำการปิดกั้นค่าไอพีที่ได้จากโปรแกรมอำพรางตัวตน หรือทำการปลอมตัวตนที่แท้จริงจนไม่สามารถตรวจสอบได้
 และควรปิดกั้นการเข้าถึงโดเมนที่ติดเชื้อ Malware  โดเมนที่หลอกลวงประชาชน (Phishing) ในฝั่งผู้ให้บริการอินเทอร์เน็ตไทย ซึ่งเป็นการสร้างความปลอดภัยให้กับคนในชาติ ที่ใช้งานอินเทอร์เน็ตไม่ตกเป็นเหยื่อทางอาชญากรรมคอมพิวเตอร์โดยไม่รู้ตัว

4. ควรรณรงค์ให้มีการเก็บ Log ให้ถูกต้องตามกฏหมาย พรบ. คอมพิวเตอร์ฯ เพราะ Log จะเป็นตัวช่วยสืบหาผู้กระทำผิดได้ Log บ่งบอกถึงพฤติกรรมและเหตุการณ์ที่ขยายผลในการหาผู้กระทำความผิดทั้งตัวบุคคลและเครือข่ายได้ ,Log ที่เก็บไม่ว่าผู้ให้บริการ ISP หรือ ผู้ให้บริการทาง Application ต่างๆที่มีความเสี่ยงต่อการกระทำความผิดควรเก็บ Log และไม่ว่าเป็นองค์กร บริษัท โรงเรียน โรงแรม ผู้ให้บริการไร้สาย (Wi-Fi) Log every where เป็นต้น ควรเก็บ Log ทั้งหมด ซึ่งประโยชน์ของ Log ที่สามารถเชื่อมโยงหลักฐานต่างๆ เพื่อเป็นประโยชน์ในการสืบสวนได้ เปรียบได้กล้องวงจรปิดหากมีหลายจุดก็ย่อมปะติดปะต่อข้อมูลได้ อ่านเพิ่มเติมได้
http://nontawattalk.blogspot.com/2010/08/4.html
http://nontawattalk.blogspot.com/2009/04/blog-post.html

5. ควรพัฒนาวิจัยเทคโนโลยีของคนในชาติเองอย่าไปพึ่งคนอื่น ประเทศชาติอื่นให้มาก อย่าเชื่อฝรั่งมาก ในกรณีที่เห็นได้ชัด เช่น facebook หรือ Line เราไม่สามารถขอหลักฐานได้มากมายเพราะการเก็บข้อมูลอยู่ที่ต่างประเทศทั้งหมด ซึ่งต่างประเทศก็มีกฏหมายคอมพิวเตอร์ที่แตกต่างกับเราใช้กันไม่ได้ และอีกไม่นานเมื่อ 4G มาถึงเราจะพบว่าการโทรศัพท์เราก็จะไม่ใช้เบอร์โทรอีกต่อไป เป็นหมายเลข account ของ Line หรือ google หรือ Apple หรือ facebook  และโทรศัพท์ผ่านเครือข่ายอินเทอร์เน็ตหมด พอถึงวันนั้นเราจะยืนอยู่ที่ไหน? เพราะ Server ต่างๆเราฝากชีวิตไว้ที่ Cloud Services กับผู้ให้บริการ Application ต่างชาติหมด ไม่ว่ารูปภาพ คลิป เว็บ ข้อมูลต่างๆ ก็เสมือนว่าชีวิตเราฝากไว้กับเขา
เรื่องที่เห็นชัดเจนอีกเรื่อง คือ CDN (Content Delivery Services) ที่ให้บริการ facebook ก็ยังมีเส้นทางผ่านไปประเทศสิงค์โปร CDN หลักฐาน facebook การเก็บข้อมูลส่วนที่ใกล้ที่สุดก็ยังอยู่ที่สิงค์โปรไม่ได้อยู่ในประเทศไทย ... พอเสียที่กับการเป็นแค่ตัวแทนขาย ถึงเวลาที่เราต้องมาร่วมกันสร้างชาติให้เข้มแข็งขึ้นได้แล้ว เราควรมีของที่เราใช้เองพัฒนาเองบางได้แล้ว อาจถึงเวลาที่เรามานั่งทบทวนเรื่องเหล่านี้ให้มากก่อนที่ตกหลุดพรางเสรีภาพออนไลน์แบบไร้พรมแดนแบบนี้ต่อไป


Nontawattana  Saraman
SRAN Dev Team
30/05/57



Monday, April 14

เตือนภัยเรื่อง DNS ที่ส่งผลกระทบต่อผู้ใช้งานตามบ้าน

 DNS ที่ส่งผลกระทบต่อผู้ใช้งานตามบ้าน  เรื่องใกล้ตัวที่คนไทยถูกเปลี่ยนเส้นทางในการเข้าถึงข้อมูลทางอินเทอร์เน็ตจนถึงขั้นตกเป็นเหยื่อทางอาชญากรรมทางไซเบอร์กว่าแสนเครื่อง เรื่องเก่าที่จำเป็นต้องขยายความเพื่อความตะหนักถึงภัยคุกคามที่อาจเกิดขึ้นกับตัวคุณเองได้
  
บทความนี้ขอแบ่งเป็น 3 หัวข้อ คือ
หัวข้อที่ 1 การสำรวจและสถิติข้อมูล (Internet Discovery and Census)
หัวข้อที่ 2 พิสูจน์หาความจริงเกี่ยวกับค่า DNS ที่ถูกเปลี่ยน และผลกระทบที่เกิดขึ้น
หัวข้อที่ 3 การป้องกัน (Protection)

1. การสำรวจและสถิติข้อมูล (Internet Discovery and Census)

เมื่อเดือนมกราคม 2557 ที่ผ่านมาได้มีการเผยแพร่ช่องโหว่ของอุปกรณ์เราเตอร์โดยสามารถเข้าถึงอุปกรณ์ได้และทำให้นักเจาะระบบสามารถเข้าไปควบคุมอุปกรณ์เราเตอร์ตามบ้านและทำการเปลี่ยนเส้นทางการเรียกข้อมูลโดยเปลี่ยนค่า DNS ในอุปกรณ์เราเตอร์ที่บ้านเรา ซึ่งส่งผลกระทบต่อผู้ใช้งานตามบ้าน (User) โดยตรง ปัญหานี้ถึงแม้ในปัจจุบันผู้ให้บริการได้มีการเขียนสคิปเพื่อเปลี่ยน DNS แก้กลับคืนได้ผ่านหลากหลายวิธีที่สามารถทำได้ผ่านผู้ให้บริการอินเทอร์เน็ต (ISP) แต่ถึงอย่างไรก็ไม่สามารถแก้ไขเครื่องเราเตอร์ที่มีช่องโหว่ได้ทั้งหมด โดยทั้งนี้ผู้เขียนจะขอรวบรวมสถิติที่ทางทีมงาน SRAN ได้สำรวจผ่านสคิปบอทที่จัดทำขึ้นเฉพาะเพื่อประเมินค่าทางสถิติบทวิเคราะห์รวมถึงวิธีการป้องกันต่อไปนี้  
1.1 เครื่องมือในการสำรวจ
เป็นการพัฒนาโปรแกรมขึ้นมาเพื่อสำรวจข้อมูลโดยเฉพาะ และใช้การทำ Log Analysis เพื่อทำการวิเคราะห์ข้อมูลที่ได้จากสคิปบอท



 ภาพ หน้าจอระบบสำรวจ (Internet Census) เมื่อนำเข้าสู่ระบบ Log Analysis ทำการสำรวจข้อมูล ASN จำนวนกว่า 4 ล้านค่าไอพีตลอดระยะเวลา 2 เดือน


ภาพ หน้าจอบริหารจัดการสคิปบอทที่ทำการสำรวจข้อมูลความเสี่ยงของเราเตอร์เพื่อ บอกสถานะการทำงาน ตัวเลข Current Discovery คือค่าจำนวนไอพีที่เหลือจากการตั้งค่าให้บอทตรวจสอบซึ่งสามารถเพิ่มเครื่อ ข่ายให้ตรวจสอบเพิ่มเติมได้โดยใส่ค่า Prefix IP ที่มีอยู่ใน ASN

สคิปบอทที่จัดทำขึ้นเฉพาะนั้นทำการสำรวจผ่านเทคนิคตรวจสอบการ HTTP port 80 ลักษณะตรวจ Basic Authentication และ HTTP Header โดยมีลักษณะเหมือน Crawler เช่นเดียวกับ google และ shodanhq โดยเราตั้งชื่อระบบสำรวจนี้ว่า "SRAN Internet Exposed" โดยสำรวจ 2 ครั้งต่อ 1 ค่า ASN โดยมีการระบุค่า MAC Address ที่อุปกรณ์เราเตอร์เพื่อไม่เกิดการซ้ำของค่าข้อมูล
โดยทำการตรวจสอบข้อมูลลักษณะช่องโหว่ของอุปกรณ์เราเตอร์ (Router Fingerprint) ที่พบว่ามีช่องโหว่ได้แก่ ช่องโหว่ Exploit ตาม CVE ได้แก่ d-link,tp-link,zyxel และ Huawai , rom-0 และ default password  โดยผลลัพธ์คือ

1.2 ระยะเวลา 2 เดือน คือเดือน กุมภาพันธ์ - เมษายน 2557 ทำการสำรวจค่า IPv4 ทั้งหมดจาก ASN ทั้งหมด 7 ตัวที่คิดว่าอาจมีผลกระทบต่อผู้ใช้งานอินเทอร์เน็ตบ้าน

1.3 ผลลัพธ์จากการสำรวจจัดทำเฉพาะผู้ใช้งานอินเทอร์เน็ตตามบ้าน
ซึ่งมีทั้งค่า IPv4 ที่ใช้สำรวจทั้งหมดจำนวน 4,704,557

ค่าการสำรวจถึงวันที่ 13 เมษายน 2557 พบช่องโหว่ที่พบจำนวน  616,294
ซึ่งคิดเครื่องที่มีความเสี่ยง 13.09% 

โดยสำรวจจากค่า ASN ดังนี้

(1) AS9737 จากจำนวน IPv4 ทั้งหมดจำนวน 1,238,528  พบช่องโหว่ 427,405 เครื่อง ซึ่งพบว่าเป็น Default password จากผู้ให้บริการอินเทอร์เน็ต ถึง 241,372 เครื่อง 

(2) AS45758 จากจำนวน IPv4 ทั้งหมดจำนวน 1,059,328 พบช่องโหว่ 149,381 เครื่อง

(3) AS23969 จากจำนวน IPv4 ทั้งหมดจำนวน 71,680 พบช่องโหว่ 23,547 เครื่อง


(4) AS17552 จากจำนวน IPv4 ทั้งหมด 1,594,112 พบช่องโหว่ 14,545 เครื่อง

(5) AS131090 จากจำนวน IPv4 ทั้งหมดจำนวน 90,112 พบช่องโหว่ 1,391 เครื่อง

(6) AS45455 จากจำนวน IPv4 ทั้งหมดจำนวน 7,936 พบช่องโหว่ 14 เครื่อง

(7) AS7470 : จากจำนวน IPv4 ทั้งหมด 642,861 พบช่องโหว่ 11 เครื่อง

หมายเหตุ : จำนวน IPv4 ทั้งหมดไม่ได้หมายถึงว่าจะมีเครื่องตามนั้น แต่ที่พบช่องโหว่เป็นไปตามจำนวนเครื่องจริงเนื่องจากสคิปบอทที่ทำขึ้นตรวจค่า MAC Address เป็นหลัก



2. พิสูจน์หาความจริงเกี่ยวกับค่า DNS ที่ถูกเปลี่ยน และผลกระทบที่เกิดขึ้น
 
2.1 ค่า DNS : ผลการสำรวจพบว่าเราเตอร์ที่ถูกเข้าถึงข้อูลได้นั้นมีการถูกเปลี่ยนค่า DNS ดังนี้




ภาพค่า DNS ที่ถูกวิเคราะห์จากโปรแกรม Log Analysis ที่เขียนขึ้นเฉพาะโดยทีมงาน SRAN 10 อันดับที่มีการเปลี่ยนค่า

จากข้อมูลจะพบว่าเราเตอร์ที่ถูกเข้าถึงข้อมูลได้มีการตั้งค่า DNS ไอพี 203.113.7.130 , 110.164.252.222 , 203.113.5.130 , 110.164.252.223 เป็นค่า DNS ที่มาจากผู้ให้บริการซึ่งเป็นค่ามาตรฐาน ส่วนค่า 8.8.8.8 เป็นค่า DNS จาก google ที่เปิดบริการฟรี ซึ่งค่าไอพีเหล่านี้มีความเสี่ยงต่ำที่ถูกการเข้าควบคุมเส้นทางการจราจรทางข้อมูล แต่ที่มีความเสี่ยงคือ

อันดับ 1 DNS จากไอพี : 68.168.98.196   มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 92,553 เครื่อง
อันดับ 2 DNS จากไอพี : 198.153.194.1 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 60,893 เครื่อง
อันดับ 3 DNS จากไอพี : 74.82.207.26  มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 47,944 เครื่อง
อันดับ 4 DNS จากไอพี :216.146.35.35 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 28,648 เครื่อง
อันดับ 5 DNS จากไอพี : 50.63.128.147 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าถึง 11,852 เครื่อง
และอื่นๆ ได้แก่ ไอพี 69.85.88.11 จำนวน 1,741 เครื่อง และ 5.175.147.98  จำนวน 1,379 เครื่อง ที่ถูกเปลี่ยนค่า DNS ที่ตัวอุปกรณ์เราเตอร์

2.2 วิเคราะห์
DNS ที่มีโอกาสตกเป็นเหยื่อและความเสี่ยงในการใช้งานอินเทอร์เน็ต 3 อันดับแรก

2.2.1 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 68.168.98.196 ถูกเปลี่ยนจำนวนทั้งหมด 92,553 เครื่อง
เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้

ซึ่งจะพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 87,613 เครื่อง รองลงมาคือ AS23969 จำนวน 4,133 และ AS17552 จำนวน 420 เครื่อง และ AS45758 พบ 191 เครื่อง และ AS131090 จำนวน 152 เครื่อง

ประวัติของไอพี 68.168.98.196 : พบว่าหากใช้การทำ passive DNS จะได้ค่าโดเมนคือ
ถูกพบเมื่อ วันที่ 18 ตุลาคม 2556 คือโดเมน jiopjieraee.info และ kolteranka.info
ซึ่งเคยมีประวัติเป็นโดเมนในการปล่อยไวรัสคอมพิวเตอร์

ทำการวิเคราะห์ค่า Hostname ภายใต้ไอพีแอดเดรสนี้ ผลลัพธ์ คือ

(1) jiopjieraee.info






(2) kolteranka.info


โดยทั้ง 2 Hostname นี้มีการเชื่อมโยงของเส้นทางข้อมูลเหมือนกัน


สรุปความเชื่อมโยงค่า Hostname ที่ต้องสงสัยกับการ
jiopjieraee.info และ kolteranka.info มีค่าไอพี  68.168.98.196 ตั้งอยู่ที่ Lenexa, United States
ใช้ Name Server ตัวที่ 1 ชื่อ ns1.regway.com มีค่าไอพี   176.74.216.129 ตั้งอยู่ที่ Czech Republi
ใช้ Name Server ตัวที่ 2 ชื่อ ns2.regway.com มีค่าไอพี   5.153.15.74 และ 159.253.133.210 ตั้งอยู่ที่ Netherlands


 ภาพแผนที่ประเทศที่เกี่ยวข้องทั้ง Hostname , IP Address และ Name server ที่เป็นเครื่องแม่ข่ายในการที่เปลี่ยนเส้นทางข้อมูล (ซึ่งประเทศเหล่านี้อาจไม่เกี่ยวกับการกระทำในครั้งนี้)

  (3) ประวัติไอพีและโดเมนข้อมูลจาก Virustotal ได้ข้อมูลดังนี้

 เคยพบว่ามีไฟล์ไวรัสจากโดเมนแนมภายใต้ไอพีนี้

File identification
MD5 1ff2fd35bd045844dd843648b6ca45c3
SHA1 30ea5fdce20438b83d9bb07bfff3a5372d306d68
SHA256 354c72689d66eef54d793961fade71eb5f39fa2a51206ce728ad1368e753dbe3
ssdeep
6144:C17zBIWl/4Fj5OpVP9L0/1zOMR0blqGp5F9:YmW2j8pVV0V2BqGzF9
File size 296.0 KB ( 303120 bytes )
File type Win32 EXE
Magic literal
PE32 executable for MS Windows (GUI) Intel 80386 32-bit










TrIDWin32 Executable MS Visual C++ (generic) (67.3%)
Win32 Dynamic Link Library (generic) (14.2%)
Win32 Executable (generic) (9.7%)
Generic Win/DOS Executable (4.3%)
DOS Executable Generic (4.3%)
Tags
peexe
 VirusTotal metadata
First submission 2013-10-26 20:33:55 UTC ( 5 months, 2 weeks ago )
Last submission 2013-11-03 12:54:34 UTC ( 5 months, 1 week ago )

File namesvt-upload-Jdaak
gausvdnlbhmasjdih4i5msdfvnasidbfsdf.exe
QEdit.dll

(4) ข้อมูลทางเทคนิค เมื่อทำการตรวจสอบจากเครื่องมือแสกนพอร์ตและตรวจลักษณะเครื่องแม่ข่าย (OS and Services Fingerprint) ได้ผลลัพธ์ดังนี้

Scanning 68-168-98-196.dedicated.codero.net (68.168.98.196)
ไอพีดังกล่าวตั้งอยู่ประเทศสหรัฐอเมริกา ภายใต้ AS10316 CODERO-AS - Codero,US เป็น Dedicate Server ซึ่งใครก็สามารถเช่าเครื่องแม่ข่ายนี้ได้

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 5.3 (protocol 2.0)
|_banner: SSH-2.0-OpenSSH_5.3
| ssh-hostkey: 1024 32:35:a6:b2:2d:61:47:71:f2:b5:3b:5a:6e:58:e0:05 (DSA)
|_2048 d6:8e:d0:93:1b:f8:12:54:cb:4b:58:2d:ed:8f:cf:86 (RSA)
53/tcp open  domain
Device type: general purpose
Running: Linux 2.6.X|3.X
OS CPE: cpe:/o:linux:linux_kernel:2.6 cpe:/o:linux:linux_kernel:3
OS details: Linux 2.6.32 - 3.9
Uptime guess: 8.881 days (since Sat Apr  5 19:12:49 2014)


2.2.2 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 198.153.194.1 มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 60,893 เครื่อง
เมื่อตรวจสอบพบว่าเป็นบริการฟรี DNS ของ ULTRADNS - NeuStar, Inc.,US ซึ่ง Symantec Corporation มาใช้

เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้

ซึ่งจากข้อมูลจะพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 53,918 เครื่อง รองลงมา AS45758 พบ 3,553 เครื่องคือ AS23969 จำนวน 3,239 และ AS17552 จำนวน 107 เครื่อง และ AS131090 จำนวน 54 เครื่อง
 
เมื่อตรวจประวัติการแพร่เชื้อไฟล์ไวรัสที่เคยเกิดจากไอพีนี้ จาก Virustotal
จากไอพี  198.153.194.1 พบว่ามีรายการติดเชื้ออยู่จำนวนมาก ดังนี้

Latest files submitted to VirusTotal that are detected by one or more antivirus solutions and communicate with the IP address provided when executed in a sandboxed environment.

ซึ่งส่วนนี้คงต้องวิเคราะห์กันอีกทีว่าทำไมทาง Symantec จึงมีการเปลี่ยนค่า DNS เราเตอร์ในประเทศไทยด้วย อาจเป็นเพื่อการทดลอง วิจัย (Honeypot) หรือเป็นการป้องกันภัยให้กับผู้ใช้งานอินเทอร์เน็ตก็เป็นไปได้ 

2.2.3 ค่า DNS ที่ถูกเปลี่ยนเป็นไอพี 74.82.207.26  มีเครื่องในประเทศไทยที่ถูกเปลี่ยนค่าที่เราเตอร์นี้ถึง 47,944 เครื่อง

เมื่อทำการพิจารณาตามค่า ASN ได้ผลลัพธ์การถูกเปลี่ยนค่าดังนี้


ซึ่งจากข้อมูลพบว่า AS9737 ถูกเปลี่ยนค่ามากที่สุดพบถึง 42,268 เครื่อง รองลงมาคือ AS23969  จำนวน 2,441 และ AS45758 พบ 2,434 เครื่อง และ AS17552 จำนวน 700 เครื่อง และ AS131090 จำนวน 66 เครื่อง

ตรวจดูค่า whois ได้ผลลัพธ์คือ

Host script results:
| asn-query: 
| BGP: 74.82.192.0/19 | Country: CA
|   Origin AS: 53612 - CARAT-NETWORKS - Carat Networks Inc,CA
|_    Peer AS: 174 13768
| whois: Record found at whois.arin.net
| netrange: 74.82.192.0 - 74.82.223.255
| netname: CLEARANCE-RACK
| orgname: Carat Networks Inc
| orgid: CLEAR-73
| country: CA stateprov: ON
| 
| orgtechname: Fromm, James
|_orgtechemail: fromm@caratnetworks.com
|_whois-domain: You should provide a domain name.
 
เคยมีประวัติติดแพร่เชื้อไวรัส พบเมื่อวันที่ 30 มีนาคม 2557  
รายละเอียดที่  https://www.virustotal.com/en/ip-address/74.82.207.26/information/

 2.3 แล้วผู้ใช้งานจะกระทบอะไรหากมีการเปลี่ยนค่า DNS ไปเป็นไอพีนี้
ผลกระทบคือบางเว็บไซต์อาจถูกเปลี่ยนเส้นทางเป็น Phishing site โดยเฉพาะเว็บที่มีข้อมูลส่วนบุคคล , เกี่ยวกับการทำธุรกรรมทางอินเทอร์เน็ต

โดยเฉพาะจะทำการให้มีการหลอกให้ดาวโหลดโปรแกรม Adobe Flash Player Update ซึ่งในโปรแกรมที่ทำการถูกบังคับให้ดาวโหลดนี้จะมีการฝั่ง Spyware ทั้งทีทำการเก็บข้อมูล Password รวมไปถึง Key logger ซึ่งอาจเกิดขึ้นได้


ตัวอย่างโปรแกรม Adobe Flash Player ปลอมที่ติดมัลแวร์ฝั่งในเครื่องคอมพิวเตอร์
ซึ่งไอพีที่สรุปมาให้นั้นล้วนแต่อันตรายและส่งผลให้เครื่องคอมพิวเตอร์ที่อยู่ภายใต้เราเตอร์ที่มีช่องโหว่นี้จำนวนกว่าแสนเครื่องเราเตอร์



3. วิธีการป้องกัน (Protection)

3.1 การป้องกันที่บ้านของเราเอง
3.1.1 ทำการทดสอบช่องโหว่เราเตอร์ด้วยตนเอง
เพื่ออำนวยความสะดวกสำหรับผู้ใช้งานตามบ้านทางทีมงาน SRAN ได้จัดทำระบบตรวจสอบช่องโหว่เบื้องต้นที่  http://sran.net/check  

 ภาพตัวอย่างการเข้าถึงหน้าเพจ http://sran.net/check เพื่อตรวจหาช่องโหว่ที่อาจเกิดขึ้นที่เราเตอร์ที่บ้านโดยในค่าจะบอกถึง IP Address คือไอพีที่ได้รับจากผู้ให้บริการที่เป็น Public IP ค่า Hostname ค่า ASN ของผู้ให้บริการ ชื่อ ISP ประเทศ และค่า Header ของ HTTP 
เมื่อคลิกตรวจสอบผลลัพธ์มี 2 ค่าคือเราเตอร์ไม่มีความเสี่ยง และ มีความเสี่ยง



หากพบว่ามีความเสี่ยงจะขึ้นข้อความเตือนเพื่อทำการแก้ไขให้ปลอดภัยขึ้น

3.1.2 ทำการอัพเดทค่า Firmware ของ Router (หากอัพเดทได้และไม่กระทบ)
3.1.3 หากไม่สามารถทำได้ตามข้อ 3.2 ให้ทำการปิดการติดต่อข้อมูลผ่าน HTTP 80 หรือพอร์ตอื่นๆ ไม่ให้พบค่า IP Publice หรือ IP WANซึ่งเราเตอร์บางรุ่นสามารถ config ค่าได้ผ่านเมนูการป้องกันภัย (Security) แต่วิธีนี้จะทำให้เราไม่สามารถ config router ได้ผ่านอินเทอร์เน็ต
อ่านวิธีป้องกันเพิ่มเติมได้ที่ https://www.thaicert.or.th/alerts/user/2014/al2014us001.html


3.2 การป้องกันที่ฝั่งผู้ให้บริการอินเทอร์เน็ต 
3.2.1 ไม่ปล่อยให้เกิดค่า Default  ทั้งรหัสผ่าน และ ค่าปรับปรุงระบบเราเตอร์  หรือควรแนะนำลูกค้าหลังจากติดตั้งอุปกรณ์เราเตอร์ให้มีการเปลี่ยนรหัสผ่านไม่ให้ตรงตามโรงงานหรือค่าเริ่มต้นของผู้ให้บริการอินเทอร์เน็ตให้มา
3.2.2 Firmware ที่มีช่องโหว่ ควรมีการเรียกคืนหรือเปลี่ยนเครื่องเราเตอร์เพื่อป้องกันไม่ให้ผู้ใช้งานตามบ้านที่อาจไม่เข้าใจตกเป็นเหยื่อทางอาชญากรรมทางไซเบอร์
3.2.3 หากไม่สามารถทำได้ตามข้อ 3.2.2 ควรจัดหาสคิปหรือบอทที่สามารถสำรวจข้อมูล (Internet Census) เพื่อเปลี่ยนค่า DNS กลับสู่ค่าปกติที่ได้จากผู้ให้บริการอินเทอร์เน็ต เพราะเป็นช่องทางหนึ่งที่จะทำให้ผู้ใช้งานตามบ้านไม่ตกเป็นเหยื่อของเครือข่ายอาชญากรรมทางไซเบอร์



14/04/57
Nontawattana Saraman
SRAN Dev Team

ข้อมูลและเขียนโดย นนทวรรธนะ  สาระมาน  ทีมพัฒนา SRAN
ขอสงวนสิทธิข้อมูลในบทความนี้หากต้องการนำเผยแพร่ควรอ้างอิงแหล่งที่มา
แหล่งข้อมูลอ้างอิง
https://www.robtex.com/
https://www.virustotal.com/
http://he.net