Thursday, December 31

แนวโน้มเทคโนโลยีในอนาคต ปี 2559 จากทัศนะของเข้าพเจ้า


ในยุคที่อินเทอร์เน็ตกลายเป็นส่วนหนึ่งของชีวิต
มือถือที่ทำหน้าที่เอนกประสงค์ เช่น โทรศัพท์ บันเทิง แสดงความคิด ความรู้สึก การรับรู้ข่าวสาร จนทำบางสิ่งบางอย่างได้เปลี่ยนไป เช่น หนังสือพิมพ์ เริ่มกลายเป็นของโบราณ และมีแนวโน้มที่จะทำรายได้ไม่เหมือนก่อน เพราะสามารถอ่านได้บนอินเทอร์เน็ตมีทั้งภาพและเสียง แม้แต่ทีวียังลำบาก เพราะอินเทอร์เน็ตจะดูเมื่อไหร่ ย้อนหลังเท่าไหร่ ปีไหนก็ได้ ทีวีอาจไม่มีความหมาย ในเมื่อคนยุคใหม่ดูแต่มือถือ ที่เรียกได้ว่า "สังคมก้มหน้า"

ข้อมูลข่าวสาร ที่ปะทะเราโดยตรงมีทั้งแบบมองเห็นและที่มองไม่เห็นคือข้อมูลที่ส่งผ่านอุปกรณ์มือถือของเราไปสู่ระบบอินเทอร์เน็ตนั้นมีการเกิดขึ้นตลอดเวลา  เมื่ออุปกรณ์นั้นได้ทำการเปิดการเชื่อมต่อระบบเครือข่าย ข้อมูลที่เรามองเห็น เช่น ข้อความ ที่เขียนในเครือข่ายสังคมออนไลน์ (Social Network) การส่งภาพ การแชร์ข้อมูล การคลิก Like ชอบ

และที่เราไม่ได้สังเกต มันทำงานอยู่หลังฉากเสมือนเงาติดตามตัวเรา เป็นสิ่งที่คนเรามองไม่เห็นซึ่งในทางเทคนิคนั้นข้อมูลการตรวจสอบทั้งผู้ให้บริการเครือข่ายเอง เช่น ค่า Protocol ค่าระบบเครือข่าย มีทั้งค่า IP Address ต้นทาง ปลายทาง Port Service ที่เกิดขึ้น การ Query DNS (Domain Name System) และอื่นๆ ที่พอเหมาะสมกับการสื่อสารนั้น ซึ่งมีมากกว่านี้มาก การตรวจสอบของระบบปฏิบัติการ (Android , iOS , windows) กว่าหมื่นล้านเครื่องที่บรรจุระบบปฏิบัติเหล่านี้ลงไป จะมีการตรวจสอบและการปรับปรุงผ่านเครือข่ายอินเทอร์เน็ต อยู่ตลอดเวลายามเมื่อเราเผลอ
นี้ยังไม่รวม Application ที่เราชอบโหลดชอบลงกัน  มี 10 App ก็ตรวจ 10 App
พวกนี้ก็ตรวจสอบและปรับปรุงผ่านเครือข่ายอินเทอร์เน็ต อย่างต่อเนื่อง  แม้แบบที่เราไม่เต็มใจก็ตาม ก็ยังมีอัพเดทส่งค่าไปแจ้งที่ส่วนกลาง บนก้อนเมฆแห่งข้อมูล (Cloud)  ซึ่งไม่ค่อยสนุกเลยถ้ารู้ความจริงว่าข้อมูลใดบ้างที่หลุดไป  (คนที่เคยทำงานพวก Log Analysis  และอ่าน Log ดิบเป็นจะรู้ดี)

ผมขออธิบายแนวโน้มดังนี้

1. คนไม่มีตัวตน ไม่มีสิทธิ  

ผมมองว่า เรื่องการระบุตัวตนผู้ใช้งานอินเทอร์เน็ต (Identity) ที่เราคุ้นเคยคือผ่าน E-mail จะถูกผูกขาด กับชาติมหาอำนาจอย่างมาก เราจำเป็นต้องใช้ E-mail  เพื่อพิสูจน์การใช้สิทธิเข้าถึงข้อมูลต่างๆ ในหลายรูป และมีนโยบายของผู้ให้บริการ (Content Provider) ต้องการให้เราบอกมากว่า E-mail เช่น เบอร์โทรศัพท์ โดยอ้างถึงความปลอดภัย  สำหรับ Application ที่ใช้อยู่จำเป็นต้องยืนยันตัวตน เช่น Facebook เราถูกบังคับให้ตรวจสอบย้อนกลับได้ มันเป็นการ Identity ประชากรอินเทอร์เน็ตโลกทีเดียว
ตัวอย่างที่เห็นได้ชัดคือมือถือของเราเมื่อซื้อเครื่องสิ่งแรกที่คุณต้องกรอกข้อมูลคือ e-mail  เพื่อที่ใช้งานได้ต่อทั้งโหลด app ต่างๆ และการยืนยันการเข้าถึงข้อมูลของ App ที่เราสนใจ

ต่อไปคนไม่มีตัวตน ที่ไม่ใช่ กลุ่ม Anonymous  ก็คือคนที่ระมัดระวังตัวสุดๆในโลกอินเทอร์เน็ต ที่เข้าใจกันติดต่อสื่อสารมากพอควร ซึ่งคนกลุ่มนี้มีหลายประเภท เช่น ผู้รู้ทางเทคนิค , คนที่ต่อต้านรัฐบาล , นักค้าอาวุธ , ค้ายาเสพติด , กลุ่มคนกระทำความผิดต่อกฎหมาย และกลุ่มก่อการร้าย เป็นต้น พวกนี้ใช้วิธีการอำพรางการสื่อสารแน่นอนเพื่อไม่ให้ตรวจหาเส้นทางการสื่อสาร ค่าไอพีแอดเดรส IP Address ของตนเองอำพรางการ Login บน Social Network ที่ไม่สามารถระบุได้ว่าเป็นใคร หรือหาความสัมพันธ์เชื่อมกับบุคคลอื่นได้ยาก หรือทำให้เกิดการสับสน ของข้อมูลเพื่อไม่ให้สืบถึงตัวได้ว่าเป็นใคร เป็นต้น

และ อีกพวก คือคนที่เข้าไม่ถึง เช่น คนยากไร้ และยังขาดการเข้าถึงการใช้งานอินเทอร์เน็ต ซึ่งปัจจุบันยังมีจำนวนอีกมากที่ยังไม่ได้เข้าถึงโลกแห่งนี้ ผมจะไม่ขอกล่าวถึง
เอาเป็นว่า คนไม่มีตัวตน ไม่มีสิทธิ นี้คือคนที่เข้าสู่โลกอินเทอร์เน็ตแล้ว อย่างน้อยที่สุดมี E-mail เป็นของตนเอง

การระบุตัวตน (Identity) ไม่ได้หมายถึงแค่ คือ ใคร (Who)  แต่รู้ถึงการกระทำ ประวัติการใช้งาน  พฤติกรรมที่ใช้งาน  ภาพถ่าย คลิป ทั้งภาพและเสียง อื่นๆ Timeline ตั้งแต่คุณเริ่มแรกที่เข้าสู่อินเทอร์เน็ตจนถึงปัจจุบันที่คุณทำ    มันจะทำงานทุกครั้งเมื่ออุปกรณ์สื่อสารของคุณติดต่อออกสู่โลกภายนอก บนก้อนเมฆแห่งข้อมูล (Cloud ซึ่งส่่วนใหญ่ไม่ได้อยู่ในประเทศไทย)   อ่านแล้วอย่าพึ่งกลัวจนเกินไป แต่จงใช้อุปกรณ์ที่อยู่ข้างกายคุณให้เป็นและคุณเป็นผู้ใช้งานปกติก็ยิ่งไม่ต้องกลัว สิ่งที่จะถูกเฝ้าติดตาม (Monitor) ได้ ก็เพราะกลุ่มคน หรือบุคคลที่เป็นเป้าหมายของมหาอำนาจเท่านั้น

ปัจจุบันมีความพยายามของ Application ที่ติดตลาดแล้ว ทำการบังคับให้ Login ก่อนใช้งาน หากสังเกตดูง่ายๆ ทำไมเขาถึงต้องบังคับเรา เพียงแค่เรา Login เข้าไป  มีข้อมูลอีกมากมายที่ทำให้ รู้และระบุตัวตนเราได้ ถึงแม้ E-mail ที่สมัครนั้นแทบไม่โยงความเป็นตัวตนของเราเลย  สิ่งที่กล่าวมาไม่ได้มาลอยๆ แต่ภาพสะท้อนการแฉข้อมูลระดับโลก อย่าง เอ็ดเวิร์ด สโนว์เดน ก็ออกมากล่าวถึง NSA ที่อยู่เบื้องหลัง หากใครสนใจลองดูหนังสารคดีเรื่อง Citizenfour  ดู แต่เมื่อดูหนังสารคดีเรื่องนี้แล้วก็อย่าพึ่งตัดสินใจเชื่อ ก็ให้ใช้หลัก "กาลามสูตร" ด้วยมิใช่เชื่อทุกอย่างที่เห็น 
เพราะเหล่านี้ล้วนเป็นเกมส์ระหว่างประเทศและกลุ่มทุนเอกชนขนาดใหญ่ ย่อมต้องการให้ตนเองได้เปรียบคนอื่น

สรุปในอนาคตอันใกล้จะมีการระบุตัวตนผู้ใช้งานอินเทอร์เน็ต  ซึ่งเป็นประโยชน์ในหลายส่วน แต่ส่วนหนึ่งที่อาจสูญเสียไปก็คือความเป็นส่วนตัว (Privacy) 


2. ด้วย Big Data  จะทำให้รู้จักคุณ มากกว่า คุณรู้จักตัวเอง

ข้อนี้เป็นข้อขยายความต่อจากข้อ 1 ที่เขียนด้านบน รถยนต์ของเราบอกเส้นทางได้ แถมยังบอกได้ว่าเส้นทางไหนมีรถหนาแน่น ให้หลีกเลี่ยง (ปัจจุบันก็เป็นอยู่จาก Google Map และลงไปมากกว่าเส้นทางรถติดที่ขึ้นสีแดง คือสามารถบอกร้านอาหารไหนที่มีคนเข้าร้านหนาแน่มาก พวกนี้เกิดจากการประมวลผลผ่าน Big data ที่ได้แรงสนับสนุนจากประชาชนคนไทยที่พร้อมใช้เปิดเครื่องมือสื่อสาร ที่แชร์แบบตั้งใจ และ โดนส่งข้อมูลออกแบบที่ไม่รู้ตัว เพราะระบบปฏิบัติการ OS มือถือ Android ของ Google ส่วน App แผนที่ ก็ Google map ก็จะให้ไม่รู้ได้อย่างไง ปิดตรงไหนจะไม่ได้รั่วบ้าง ?)

เมื่อ Application บนสมาร์ทโฟน ที่บรรจุในมือถือ แต่กับแปลงร่างย่อยส่วนไปอยู่ในอุปกรณ์ (Device) ต่างๆ เช่น นาฬิกา ,  ข้อมือเพื่อสุขภาพ ตรวจวัดระดับของความดันโลหิต ชีพจร อัตราการเต้นของหัวใจ อันจะประมวลผลจากก้อนเมฆแห่งข้อมูล (Cloud) เพื่อส่งรายงานต่อผู้ใช้โดยตรงว่า สุขภาพของท่านเป็นเช่นไร ?  เมื่อ sensor ไร้สายติดตั้งในรถยนต์ ที่สามารถบ่งบอกได้ว่า ยางรถของคุณได้เวลาเปลี่ยน พร้อมมีความ สึกหรอ ไปมากเพียงใดแล้ว หลอดไฟหน้าซ้าย เริ่มมีระดับแสงสว่างที่น้อยเกินกว่าความปลอดภัย จะถูกส่งเตือนเข้าอุปกรณ์มือถือของเรา  ให้เราทราบถึงการซ่อมบำรุงที่มีประสิทธิภาพ กับผู้ให้บริการที่มีพันธิมิตรมากกว่าเก่า (ที่อย่างน้อยต้องมีโปรแกรมเมอร์ช่วยสร้าง App) เพราะเวลานั้นมีค่าสำหรับทุกคน ดังนั้นการซ่อมแซมที่มีประสิทธิภาพ จะมาพร้อมกับการแจ้งเตือนเข้าสู่ตัวคุณ โดยที่ไม่ต้องรอ
คุณหมอ และ ช่างซ่อม มีส่วนหนึ่งที่ทำให้การบริการเป็นเลิศ เพราะคุณคือ "Individual"  บริการนี้เจาะจงเพื่อคุณคนเดียว

Individual Services จะทำให้คุณแปลกใจว่าทำไมสินค้าและบริการที่เข้ามาเสนอขายคุณตรงผ่านช่องออนไลน์ ช่างเข้าใจอุปนิสัยใจคอของคุณมากกว่าคนใกล้ตัวคุณเสียอีก
 Individual Services ยังทำให้คุณเหมือนเป็นคนพิเศษและตกลงปลงใจที่เลือกสินค้าและบริการได้อย่างรวดเร็ว ที่ทำอย่างงี้ได้ก็เพราะยุคนี้เท่านั้นแหละก้อนเมฆแห่งข้อมูล (Cloud) ที่มีคลังข้อมูลขนาดใหญ่ (Big Data) มันทำให้แยกแยะข้อมูล ประมวลผลและจัดการให้ผลลัพธ์ดีที่สุดสำหรับผู้ให้บริการที่เรียกว่า "Content Provider" อย่าแปลกใจหลายประเทศก็รู้ทันว่าทำอย่างไร แต่ไม่ทันการที่มหาอำนาจก้าวไปไกลเกินกว่าจะตามทัน  จนต้องอุทานไปว่า "ช่าง..่งมัน"  เลยจำใจต้องจ้าง Hackers มืออาชีพเพื่อทำการล้วงใส้ หรือที่เป็นที่นิยมอย่างมากคือซื้อข้อมูลผ่านเส้นทางสายไหมแห่งยุคไซเบอร์ (Silk Road : Marketplace ) ผ่าน Deepweb ตลาดมืดที่มีทั้งองค์กรสนับสนุน และกลุ่มที่ซ่อนตัวใต้ภูเขาน้ำแข็งที่ลึกกว่าตามองเห็น

เครือข่ายสังคมออนไลน์ ที่เก็บประวัติของคุณตั้งแต่เด็กพึ่งหัดเดิน ได้เข้าสู่ปฐมวัย และก้าวสู่วัยรุ่น Timeline เหล่านี้ไม่เคยหายไปไหน แต่ยังไปเก็บที่ก้อนเมฆแห่งข้อมูล (Cloud สักที่ ที่ไม่ใช่ประเทศไทย)  สายลัดข้อมือและมือถือ ที่ส่งข้อมูล อัตราการเต้นของหัวใจ ข้อมูลด้านสุขภาพที่เราตั้งใจกรอก เพื่อได้ผลลัพธ์ที่ดีที่สุดสำหรับตัวเอง ทุกข้อมูล Profile ที่กรอกข้อมูลเต็มที่เพื่อ ที่ใช้ประโยชน์กับเพื่อนเก่าๆ ที่หายไปนาน ทุกอารมณ์ความรู้สึก  ทุกข้อความ ทั้งที่เผยแพร่ (public) และ ลบออกไปไม่เสนอสาธารณะ ยังคงอยู่  และพร้อมใช้งานเมื่อมีคนต้องการสืบค้น ประเมินพฤติกรรม ของบุคคลนั้น นิสัยใจคอ อารมณ์ความรู้สึก วุฒิการศึกษา สถานที่อยู่อาศัย เครือข่ายกลุ่มเพื่อนในชีวิตของเขา สุขภาพของเขา ซึ่งเหล่านี้คือฝันที่เป็นจริงของหน่วยงานด้านความมั่นคง (ที่ไม่ใช่ประเทศไทย)

สรุป Big Data  ข้อมูลการสื่อสารจากอุปกรณ์มือถือของเราคอมพิวเตอร์ของเรา ผ่านระบบเครือข่ายของเรา และของคนอื่นที่กระจายอยู่ทั่วโลกนั้น ด้วยเทคนิค CDN (Content Derivery Network) มันถูกเชื่อมเข้าสู่ส่วนกลาง ที่เต็มไปด้วยข้อมูล และเต็มไปด้วยเรื่องราวจากอดีตจนถึงปัจจุบัน มันทำให้รู้เรื่องของเรา มากกว่าเรารู้เรื่องของตนเอง  เพราะคนเรานั้นมีโอกาสที่จะลืม แต่ก้อนเมฆแห่งข้อมูล (Cloud) ความเสถียรระดับหากโลกไม่ดับสูญ ยังทำงานอยู่ คลังข้อมูล (Big data) ถูกย่อยและจัดเก็บบน Storage ที่ใหญ่พอเก็บข้อมูลคนทั้งโลกได้  เดินหน้าต่อ และพร้อมขยายตัวแบบไร้ขอบเขต
เป็น "Eye in the sky" สำหรับใคร ? ที่ต้องการเข้าถึงข้อมูล ?  เรื่องนี้ให้ท่านผู้อ่านวิเคราะห์เอาเอง

3. IoT เปลี่ยนชีวิต
  
IoT (Internet of Things)  ต่อจากข้อ 2  แต่ว่าด้วยการเป็นอุปกรณ์ ที่จะอยู่รอบๆ ตัวเรา  จะส่งข้อมูลได้ ไม่ว่าเป็น ทีวี (ปัจจุบันเป็นแล้ว )  , มิเตอร์ไฟฟ้า,ประปา  ตู้เย็น หลอดไฟ  เสาให้สัญญาณไฟ ก็เป็น รวมถึง ชิ้นส่วนเล็กๆ บนรถยนต์  ในอนาคตอันใกล้มีโอกาสเห็นรถยนต์ไร้คนขับ
อุปกรณ์ IoT ดังกล่าวจะทำการ Convergence ผ่าน Infrastructure ของระบบเครือข่ายได้แก่ ระบบเครือข่ายภายใน (LAN)  ระบบเครือข่ายภายนอกเพื่อเชื่อมต่อินเทอร์เน็ต  ส่งข้อมูลไปยัง  Cloud Computer ที่มี Big Data อยู่  ซึ่งจะเชื่อมโยงกันแทนที่สิ่งของเดิมที่เราใช้งาน

IoT  อุปกรณ์จะทำให้มีการเปลี่ยนแปลงการใช้ชีวิต จนถึงขั้นที่ไม่เชื่อว่าจะเป็นไปได้  เมื่อทุกอุปกรณ์ในอนาคตจะมีการเชื่อมต่ออินเทอร์เน็ต (มีค่าไอพีแอดเดรส คิดว่าถึงเวลานั้นคงเป็น IPv6 กันหมด)

สัญญาณนี้มาตั้งแต่ 2 ปีแล้วแต่จะเห็นชัดขึ้นเรื่อยๆ  เนื่องมาจาก ทุุกคนมีสมาร์ทโฟน สะท้อนตามจำนวนประชากรที่มีโทรศัพท์มือถือ และผู้ที่มีก็มีการเชื่อมต่อข้อูลผ่านโครงข่าย  3G และ 4G รวมทั้ง Wifi ตามสถานที่ เพื่อเชื่อมต่ออินเทอร์เน็ตตลอดเวลา  และความเร็วของอินเทอร์เน็ต ยุค 4G ที่ทุกคนคงกลายเป็นสังคมก้มหน้า อย่างถาวร นั้นเป็นสัญญาณหนึ่งที่บอกได้ว่า IoT มาแน่นอน และอีกสัญญาณหนึ่งที่เห็นได้ชัด คือ ฮาร์ดแวร์มีราคาถูกลงและมีประสิทธิภาพมากขึ้น ตั้งแต่ Rasberry pi พัฒนา และบอร์ดอิเล็คทรอนิค อย่าง Arduino ซึ่งทำให้เกิดนักประดิษฐ์มากขึ้น ซึ่งทำให้ IoT ไม่เป็นเพียงความฝัน เพราะชิปอุปกรณ์อิเล็คทรอนิคเหล่านี้จะไปฝังตามอุปกรณ์ต่างๆ ในชีวิตประจำวัน แบบคาดไม่ถึง และประมวลผลผ่านสัญญาณไร้สาย และเชื่อมกับอินเทอร์เน็ต ผ่านไป Cloud computer ซึ่งเป็นคลังประมวลผลระดับใหญ่  ระดับบริษัท ระดับชาติ และระดับโลกตามมา ซึ่งเมื่อเวลานั้นมาถึง ความเป็นส่วนตัวก็จะลดลงเพราะมีคลังข้อมูลขนาดใหญ่ (Big data) ที่ชาญฉลาด สามารถจัดแจงข้อมูล สรุปสถิติประมวลความน่าจะเป็น และแนวโน้มที่จะเกิดขึ้นได้อีกด้วย

ในมุมด้านความมั่นคงปลอดภัยจะมีการนำไปใช้งานจาก IoT มากขึ้น ที่เห็นกันแล้วในปัจจุบันคืออากาศยานไร้คนขับ (Unmanned Aerial Vehicle , UAV หรือรู้จักกันในชื่อว่า Drone) ที่ถูกนำมาใช้มากขึ้นทั้งด้านการลาดตระเวน การสอดแนม จะใช้งานแทนผู้ปฏิบัติงาน (คน)  โดยควบคุมระยะไกล ผ่านช่องทางอินเทอร์เน็ต และการสื่อสารไร้สาย ที่เป็นรูปแบบ Protocol เฉพาะของประเทศที่เป็นมหาอำนาจ (ยกเว้นประเทศที่ซื้ออย่างเดียวไม่คิดทำ จะเสียเปรียบ)  หรือผ่านอุปกรณ์สื่อสาร เช่นคอมพิวเตอร์ หรือแม้กระทั่งมือถือ เพื่อใช้ปฎิบัติภาระกิจต่างๆ มีความเป็นไปได้สูงที่เราจะเห็น Drone ขนาดเล็ก เล็กเสมือนแมลงวัน โดยสามารถควบคุมผ่านมือถือของเราได้
การนำ IoT ไปใช้กับชีวิตประจำวันจะค่อยๆ มา จนเป็นส่วนหนึ่งของชีวิต และทุกคนจะชินกับมันเหมือนกับปรากฎสมาร์ทโฟน ที่ทุกเพศทุกวัย ตั้งแต่เด็กไม่เกิน 2 ขวบ จนถึงคนแก่ อายุ 90 ก็สามารถใช้งานได้

4. Startup กลับบ้าน  

กลับบ้านในที่นี้ ผมมี 2 ความหมาย  และ 2 ระยะ
ระยะแรก ความหมายแรก  ก็คือ  ปัจจุบันนี้จนถึงอนาคตอีกไม่เกิน 5 ปี ต่อจากนี้ ผู้ประกอบการขนาดเล็กจะมีจำนวนมาก ที่เรียกว่า "สตาร์ตอัพ (Startup)"   ในระยะเวลาไม่เกิน 5 ปีนี้จะไม่แปลกเลยที่บริษัทหนึ่งจะมีคนทำงานไม่เกิน 3 คน หรือ แม้กระทั่งเพียงคนเดียวก็ได้
เนื่องมาจากความรอบรู้  และ กล้าที่จะเสี่ยงมากขึ้น
ด้วยความรอบรู้ : เนื่องจากคนยุคใหม่ ค้นหาข้อมูล ผ่าน Search engine  google เป็นหลัก ทำให้อยากรู้เรื่องอะไร ก็ศึกษาเอาเอง แม้กระทั่งการทำบัญชี การทำเว็บ (ใช้ CMS สำเร็จรูปที่ติดตั้งสะดวก) แทนตั้งร้านค้าขายเหมือนสมัยก่อน แต่ขายผ่านระบบ  E-commerce  และทำการประชาสัมพันธ์ ผ่าน Social network  มี Known how สาระพัดที่เผยแพร่บนโลกอินเทอร์เน็ต
ใครขยัน ช่างฝัน และกล้าลงมือทำ มีโอกาสเป็นจริงได้  คนรุ่นใหม่ค้นหาเก่งจะเป็นคนรอบรู้

ดังนั้น  Startup กลับบ้านในระยะแรกคือ ไม่จำเป็นต้องมี office ในเมืองหลวงอีกต่อไป  เขาสามารถทำงานที่บ้านเกิดเขาได้เลย  เขาสามารถใช้ชีวิตแบบมีคุณภาพ กับท้องทุ่งที่สัญญาณอินเทอร์เน็ตเข้าถึง  เขาสามารถใช้ชีวิตแบบ "Slow life" ได้ (ถ้าไม่หวังสูง)   เพราะการค้นหาข้อมูล จากความรู้ความสามารถที่ตนเองถนัด รักในงานที่ทำและการลงมือได้เอง ด้วยตัวเอง จะทำให้เขาสามารถเป็น Startup ที่มีคุณภาพได้ แม้ไม่ได้อยู่ในเมืองหลวง

แต่ระยะที่ 2 เมื่อพบว่า Starup มีมากมาย และทำในเรื่องเหมือนๆ กัน ซึ่งสร้างรายได้ไม่ได้มากอย่างที่คิด เพราะมีความคล้ายคลึงกัน จนไม่รู้ว่าใครเป็นคนทำดั่งเดิม หรืออันดี work สุด มันเหมือนกันไปหมด เมื่อกาลเวลาผ่านไป จึงทำให้ความฝันนั้นก็สลายไปได้ เพราะโลกความจริงนั้นแข่งขันกันสูง จะอยู่ได้เฉพาะคนที่รู้จริง ละเอียด (ลง Detail)  และ ที่สำคัญ ต้องมี Connection นานาประการ ซึ่งเป็นเรื่องลำบากที่ Startup จะ Start ไปได้ต่อ และต่อเนื่อง Starup ช่างฝัน โลกสวยได้ไม่นาน ก็จำต้องตกเป็นอยู่ วงแขนของผู้ที่มีความพร้อม ซึ่งระยะที่ 2 ในความหมายของกลับบ้าน คือ ผมคาดการณ์ว่า Startup ที่เกิดขึ้น ภายใน 5 ปี จะมีส่วนหนึ่ง อาจจะหลายส่วน จะกลับเขาสู่บริษัทขนาดใหญ่ (ปลาใหญ่สายป่านยาว)  หรือ องค์กรจากภาครัฐที่สนับสนุน ซึ่งองค์กรภาครัฐดังกล่าวต้องมีความโปร่งใส และ ต้องการให้เกิดผลลัพธ์  มิใช่ทำเพื่อประโยชน์ในระยะสั้น จะอ้าแขนรับคนช่างฝัน และมีศักยภาพกลุ่มนี้  ที่พร้อมพลักดันความฝันเขาให้เป็นจริงได้

สรุปว่า Startup เป็นเรื่องดี แต่สุดท้าย ประโยชน์ที่ได้จะตกอยู่กับบริษัทขนาดใหญ่ ที่สามารถเลือกช้อปช่องทางธุรกิจใหม่ของตนเองได้อย่างมั่นคงในอนาคต

โลกเรามันก็เป็นวัฐจักรแบบนี้แหละครับ  มันเหมือนเหล้าเก่าในขวดใหม่ แต่สุดท้ายมันก็จะจบแบบเดิมๆ ทุกที 

5.  HTTPS เข้ารหัสเพื่อการเป็นมหาอำนาจอย่างแท้จริง

ข้อนี้เป็นเทคนิคมากหน่อย แต่ต้องอธิบายเพราะมีนัยะอย่างมาก
Https คือ เว็บไซต์ที่มีการเข้ารหัส SSL (Secure Socket Layer) โดยค่าการเข้ารหัสนั้นจะมีเพียงเจ้าของผู้ให้บริการเท่านั้นที่มี กุญแจสำคัญดอกนี้ (Private key) ถึงแม้จะสร้างหลอกกันได้ แต่สุดท้าย บราวเซอร์ และ OS ที่เราใช้จะไม่ยอมให้เข้าใช้งานอย่างอิสระ  จึงเป็นเครื่องสำคัญสำหรับชาติมหาอำนาจที่ คิดได้ในการเชิงความได้เปรียบในเชิงข้อมูล ค่า Cipher ที่เป็นการเข้ารหัสจะเฉพาะเจาะจงเฉพาะบริษัทที่ทำการเผยแพร่ เช่น Google หรือ Facebook  ก็จะการเข้ารหัสเฉพาะหากทำเลียนแบบจะได้ชั่วคราวเท่านั้น ดังนั้นเทคนิคที่ว่าแน่ MITM  (Man in The Middle Attack) จะได้ชั่วคราว
ชิงการได้เปรียบทางข้อมูลไม่พอ  เทคนิคดังกล่าวจะเหลือผลิตภัณฑ์ด้านการป้องกันภัยยี่ห้อจากฝั่งประเทศมหาอำนาจเท่านั้นที่ทำเรื่องพวกนี้ได้ ดังนั้นเทคโนโลยีการถอดรหัส (Decrypt) ข้อมูลเหล่านี้ จึงถูกผูกขาด (คนในวงการหากเอ่ยชื่อผลิตภัณฑ์นำเข้าเหล่านี้ก็จะรู้ดีว่ามี Feature ดังกล่าวแทนที่คนอื่นประเทศอื่นยากที่จะตามทัน)  บอกได้ว่ามีแต่ได้กับได้สำหรับประเทศมหาอำนาจ ยิ่งมีเรื่องนี้มาเสริมกับชีวิตเราที่กำลังเดินบนเส้นทาง IoT (Internet of Things) สังคมก้มหน้าด้วย ยิ่งเข้าทางเขาเลยเพราะจะเชื่อมผ่าน SSL (HTTPS) เพื่อเชื่อมต่อก้อนเมฆแห่งข้อมูล (Cloud) ทั้งหมดจะเป็นการสื่อสารแบบนี้ในโลกอนาคต HTTP จะกลายเป็นเพียงอดีต ผู้ที่ได้เปรียบคือผู้ที่ถือ Key

ทำไมผมถึงต้องเอาเรื่องนี้มาพูด  ผมไม่ได้มองแค่ HTTPS เป็นแค่แฟชั่นความปลอดภัย และความน่าเชื่อถือ เพราะเว็บธรรมดา หรือ App ธรรมดา ที่ไม่มีหน้า Login  ก็ไม่จำเป็นต้องเป็น HTTPS ก็ได้

HTTPS สร้างขึ้นเพื่อป้องกันการดักรับข้อมูล (Sniffer) บนระบบเครือข่าย
ในอดีตที่ผ่าน การดักรับข้อมูลเกิดขึ้นเป็นอันมาก โดยเฉพาะฝั่งรัฐบาลของประเทศต่างๆ  ดังนั้นเขาสามารถ Monitor พฤติกรรมประชาชนของเขาได้  สามารถสืบหาผู้กระทำความผิดได้ โดยง่ายดาย  แต่ตอนนี้กลับตรงข้าม เพราะรายใหญ่ Google , Facebook , Twitter  เครือข่ายสังคมออนไลน์ ที่มีโอกาส ที่คนกระทำการหมิ่นประมาทกันมากที่สุด และมีอิสระมากนั้นไม่สามารถควบคุมได้จากภาครัฐอีกต่อไป เพราะ เป็น HTTPS   ประโยชน์กับเป็นประเทศเจ้าของเนื้อหา (Content)  ซึ่งเป็นเรื่องที่ลำบากมากที่รัฐจะเข้าไปเกี่ยวข้องและดูพฤติกรรมดังกล่าวได้อย่างในอดีต

ประเทศที่จะมีปัญหาคือประชาชนใช้งานพวกนี้มาก จะถูกเป็นเครื่องมือต่อรอง และในที่สุดก็จะเสียเปรียบ

ผมจึงมองว่า HTTPS โดยเฉพาะ Log files ที่มีการกระทำความผิดกฎหมาย โดยเฉพาะกฎหมายเฉพาะของแต่ละประเทศนั้นไม่เหมือนกัน นั้นจะถูกเปิดเผยได้เฉพาะผู้ให้บริการเนื้อหา (Content Provider เช่น google , facebook เท่านั้น)  ยิ่งเราติดกับดักมากเท่าไหร่ เราก็ยิ่งหมดหนทางที่ไขปริศนาต่างๆ ไม่ว่าเรื่องการก่อการร้าย  การโพสข้อมูล  การส่งข้อมูล และอื่นๆ


some text
 6. ระบบอัตโนมัติ (Automate Robot)
ผมมองว่า ระบบอัตโนมัติ เสมือนกับ Robot จะมาแย่งงานคนที่ไร้ฝีมือมากขึ้น งานที่ต้องทำแบบซ้ำๆ ปัจจุบันในโรงงานก็จะมีเครื่องกลทำงานให้แทน แต่ในอนาคตอันใกล้ เอาเฉพาะสายงานด้านความมั่นคงปลอดภัยข้อมูล (Information Security) มีความเป็นไปได้สูงที่จะเห็นคนที่มีใบ Certification ดังๆ หลายใบ แต่ขาดความรู้และประสบการณ์ จะตกงานกัน  โดยเฉพาะงาน MSSP (Management Security Services Provider)  จะใช้คนดูแลน้อยลงมาก เพราะมีระบบที่ชาญฉลาด วิเคราะห์ข้อมูลให้ คัดแยกข้อมูลอันตราย และทำงานเชื่อมโยงกันเพื่อการป้องกันชนิดที่ไม่จำเป็นต้องใช้งานวิเคราะห์ได้แล้ว  หลังๆ จะเห็น ศัพท์ IoC (Indicator of Compromise) เข้ามาตรวจในระบบ SIEM (Security Information Event Management) เพื่อคัดกรอกเหตุการณ์เอาเฉพาะใช่ภัยคุกคามจริงๆ จะทำให้ลดเรื่อง False positive (การเข้าใจผิดว่าเป็นการบุกรุก) ซึ่งในอดีตต้องอาศัยคนที่ประสบการณ์วิเคราะห์ แต่ปัจจุบันมี robot ช่วยวิเคราะห์ มีความแม่นยำ และสู้งาน ขยัน 24 ชั่วโมงไม่พักผ่อน

IoC จะทำการแยกว่าใช่การโจมตีจริงเมื่อเกิดเหตุการณ์ ก็จะเรียนรู้และเข้าสู่ระบบ Automation Incident Response ซึ่งในอดีต Incident Response เป็นงานของคน แต่ปัจจุบันและอนาคตกับมี robot ที่บรรจุลงในฮาร์ดแวร์ (Appliance จะเห็นได้จาก Next Gen Firewall ก็เริ่มมีทุกอย่างแล้ว) การแก้ไขปัญหายากๆ มีความซับซ้อน robot ก็เข้ามาแทนที่คนได้ ซึ่งเห็นว่าปีที่แล้ว 2558 รายใหญ่ในต่างประเทศก็ทำเรื่องนี้ ดังนั้นจึงมองว่า ในอนาคตงานเหล่านี้อาจจะใช้คนจำนวนไม่ต้องมากแต่ต้องเป็นคนเก่งจริง
แล้วคนที่ตกงานเหล่านี้จะไปอยู่ไหนทั้งที่ก็ควรจะมีอนาคตที่ดีเพราะมี Certification ก็คงต้องไปเป็น Startup ชั่วคราวสักระยะ

ระบบอัตโนมัติ ที่กล่าวยังไม่รวมถึงการโจมตีแบบอัตโนมัติ ที่เรียกว่า botnet ทำงานauto มานานแล้วแต่จะทวีความฉลาดและเน้นที่เจาะระบบเครื่องแม่ข่าย (Public IP) ชนิดที่พลาดนิดเดียวก็โดน hack ได้เพราะ robot พวกนี้ทำงานตลอดเวลาไม่มีวันหยุด ส่วนใหญ่เป็น Brute Force รหัสผ่าน  ผ่าน Service ที่ส่วนใหญ่ Server ชอบเปิด โดยเฉพาะ SSH (Secure Shell) เหล่า  System admin หรือกลุ่ม Research ที่เคยทำพวก Honeypot หรือเคย Monitor พวก Log คงทราบดี   ส่วนใหญ่ก็ลงประเทศพี่ใหญ่เราทั้งนั้น  พวกนี้ทำเพื่ออะไร ? ผมไม่ขอขยายความไว้เล่าต่อยามที่มีโอกาส


7. คุณภาพชีวิตจะดีขึ้น  เมื่อเราค้นหาข้อมูลและปฏิบัติจริง

เมื่อเราเข้าถึงข้อมูล  เรารู้จักอ่านข้อมูล รู้จักวิเคราะห์ข้อมูลที่ได้รับ รู้จักอันเลือกข้อมูล อันไหนมีสาระ มีประโยชน์กับตัวเราและผู้อื่นที่อยู่รอบข้างเรา จะทำให้คนยุคใหม่เป็นคนที่ฉลาดขึ้น รอบรู้ขึ้น จนผมเห็นแนวโน้มการมีคุณภาพชีวิตที่ดี ดังนี้
(1) เรื่องอาหารการกิน   คุนยุคใหม่ ที่เข้าถึงข้อมูล จะเลือกกินอาหารมากขึ้น จะเลือกกินเฉพาะอาหารที่มีประโยชน์ต่อร่างกาย 
คนยุคใหม่มีโอกาสที่ทำอาหารกินเองสูง จะเห็นได้ว่าคนที่ดูแล้วเก่ๆๆกั่งๆ เข้าครัว หรือ ปลุกผักกินเองในพื้นที่ ที่อยู่อาศัยของตนเอง เพื่อทำอาหารกินเองเริ่มมีให้เห็นมากขึ้น (รายงานแนะนำ ค้นหาใน google "ความสุขปลูกได้") เพราะมีความรู้สึกว่าอาหารมีราคาแพงขึ้น และไม่คุ้มค่า อาหารที่ได้รับประทานมีคุณภาพที่ด้อยลง ด้วยเป็นผลพ่วงการผลิตแบบอุตสาหกรรม การผลิตที่เน้นปริมาณ ซึ่งมีโอกาสสูงที่มีสารเคมีตกค้าง นั้นมันอาจจะทำให้เราป่วยได้  คนส่วนหนึ่งที่แบ่งเวลาได้ จึงต้องเปลี่ยนตัวเองมาทำอาหารกินเอง ก็แนวโน้มคนรักสุขภาพที่ทำอาหารกินเอง นอกจากกระแสที่เกิดขึ้นแล้วอย่างเ่นปั่นจักรยาน และออกกำลังกาย เพื่อการชลอวัย

(2) เมื่อเราเข้าถึงข้อมูล การทำงานที่สามารถทำที่ไหนก็ได้ ทำให้เราได้กลับไปอยู่บ้านเกิด อยู่กับครอบครัวเราได้ ที่เรียกว่า "บ้านหลังใหญ่" ที่มีคนทั้ง 3 วัย อยู่ร่วมกัน  ซึ่งมีโอกาสเป็นไปได้ ซึ่งจะทำให้คุณภาพชีวิตดีขึ้นต่อไป  แต่ต้องทำความเข้าใจว่าการกลับไปทำงานที่บ้าน ก็ใช่ว่าจะทำให้ประสบความสำเร็จได้เพราะยุคสมัยที่แข่งขันกันสูงมากเช่นนี้  แต่มันจะขึ้นกับคนที่รู้จักออกแบบ วางแผน และมีวินัย รู้จักการใช้เวลาให้เกิดคุณค่าและประโยชน์มากที่สุด  และที่สำคัญต้องรู้จักประมาณตน ไม่โอเวอร์เกินไป

(3) การศึกษาเรียนรู้  ถือได้ว่าคนยุคใหม่ที่เข้าถึงข้อมูลมีโอกาสที่ค้นคว้าหาความรู้นอกตำรา ซึ่งแล้วแต่บุคคลนั้นที่สนใจสามารถเจาะลึก หากลงมือปฏิบัติด้วยตนเอง และต่อยอดในสิ่งที่ทำได้จะเกิดประโยชน์อย่างมาก

ทั้ง 3 ข้อที่เขียนมา นั้นอาจดูสวย แต่ในความเป็นจริงอาจทำได้เพียงครั้งคราว อย่างไรก็ดี ถือว่าเป็นเรื่องที่ดี สำคัญที่สุดและถือว่าเป็นบทสรุป ที่ใช้ได้ทั้งปัจจุบัน และ อนาคต คือ "เราควรจะอยู่อย่างพอเพียง ให้พอดีกับตัวเราเอง"  แบ่งเวลาเพื่อการให้  จะเป็นการให้ความรู้ ให้อภัย ให้โอกาส ทั้งหมดด้วยใจที่บริสุทธิเมื่อทุกคนรู้จักการให้ คุณภาพชีวิตเราจะดี เป็นสังคมที่น่าอยู่ขึ้น




สวัสดีปีใหม่  2559 ขอให้โชคดีมีความสุข

นนทวรรธนะ  สาระมาน
พ่อบ้าน


31 / 12 / 2558

เขียนให้อ่าน หากชอบโปรดแชร์ ระบุที่มา
จะขอบคุณ

Tuesday, December 29

แนวโน้มภัยคุกคามทางไซเบอร์ปี 2559

        การคาดการณ์เกี่ยวกับกิจกรรมที่เป็นภัยคุกคามทางคอมพิวเตอร์ที่อาจเกิดขึ้นในปี 2559

ฉบับเรียบเรียงจากการแปล

หัวข้อสำคัญที่น่ากล่าวถึงมีดังต่อไปนี้

 ประกอบด้วยดังนี้

1) การโจมตีในระดับต่ำกว่าระบบปฏิบัติการ ผู้โจมตีอาจหาช่องโหว่ในเฟิร์มแวร์และฮาร์ดแวร์ เนื่องจากแอพพลิเคชั่นและระบบปฏิบัติการสามารถป้องกันการโจมตีทั่ว ๆ ไปมากขึ้น

2) การหลบหลีกการโจมตี ผู้โจมตีจะพยายามหลีบหลีกการตรวจจับโดยการหาช่องทางใหม่ ๆ ในการโจมตี ใช้วิธีการในการโจมตีที่ซับซ้อน และหลบหลีกเทคโนโลยีด้านความปลอดภัย

3) อุปกรณ์ใหม่ ทำให้เกิดช่องทางการโจมตีใหม่ ความง่ายในการพัฒนาและราคาที่ถูกของอุปกรณ์เชื่อมต่อ จะทำให้เกิดผลิตภัณฑ์ใหม่ ๆ ในปัจจุบันที่ยังมีอุปกรณ์ Internet of Things และอุปกรณ์สวมใส่จำนวนไม่มากนัก แต่ในภายในปี 2563 จะมีจำนวนของอุปกรณ์เหล่านี้อย่างมากมายจนดึงดูดผู้โจมตี ทำให้ผู้จำหน่ายต้องหาทางให้การศึกษากับผู้ใช้งาน และสร้างการควบคุมด้านความปลอดภัยให้กับอุปกรณ์เหล่านี้

4) การจารกรรมข้อมุลในธุรกิจ ตลาดมืดสำหรับมัลแวร์และบริการบุกรุกระบบแบบสำเร็จรูป ช่วยให้มัลแวร์ที่ใช้ในการจารกรรมข้อมูลที่เคยใช้ในการโจมตีภาครัฐและเอกชน สามารถใช้ในระดับการดักเก็บข้อมูลทางการเงิน และปั่นตลาดให้เป็นไปตามความต้องการของผู้โจมตี

5) การตอบรับจากแวดวงด้านความปลอดภัย แวดวงด้านความปลอดภัยจะพัฒนาเครื่องมือที่สามารถตรวจจับและแก้ไขการโจมตีที่ ซับซ้อนได้ มีการพัฒนาการวิเคราะห์ด้านพฤติกรรม (behavioral analytic) เพื่อตรวจจับกิจกรรมของผู้ใช้งานที่ผิดปกติที่อาจบ่งบอกถึงบัญชีที่ถูกบุก รุก ส่วนการแบ่งปันข้อมูลด้านภัยคุกคามจะทำให้การป้องกันระบบที่เร็วขึ้นและดี ขึ้น เทคโนโลยีด้านการป้องกันและแก้ไขแบบอัตโนมัติช่วยสามารถป้องการการโจมตีแบบ ทั่ว ๆ ไป ทำให้พนักงานด้านความปลอดภัยสามารถใช้เวลาไปรับมือกับเหตุการณ์ด้านความ ปลอดภัยที่สำคัญได้

โดยสามารถแบ่งประเภทได้ดังนี้

1. ฮาร์ดแวร์ 

การโจมตีฮาร์ดแวร์และเฟิร์มแวร์จะยังคงดำเนินต่อไป และตลาดของเครื่องมือเหล่านี้ จะทำให้การโจมตีขยายและเติบโตต่อไป

ภาพที่ 1 แสดงจำนวนที่เพิ่มขึ้นของอุปกรณ์และข้อมูล ที่จะตกเป็นเป้าหมายการโจมตีทางอินเทอร์เน็ต


2. มัลแวร์เรียกค่าไถ่ (ransomware)



ภาพที่ 2 แสดงจำนวนของ ransomware ที่เกิดขึ้นในแต่ละช่วงของปี

ransomware ยังคงเป็นภัยคุกคามสำคัญ และเติบโตอย่างรวดเร็วในปี 2559

จะมีมัลแวร์รูปแบบใหม่ ๆ และมีบริการมัลแวร์สำเร็จรูปสำหรับอาชญากรที่ไม่มีประสบการณ์ ทำงานผ่านทางเครือข่าย Tor ที่สามารถปกปิดตัวตนของผู้โจมตีได้ มีเป้าหมายโจมตีเหยื่อในประเทศร่ำรวยที่สามารถจ่ายเงินค่าไถ่ได้ และอาจขยายเป้าหมายไปที่ภาคอุตสาหกรรมการเงิน และการปกครองส่วนท้องถิ่นที่ ยอมจ่ายค่าไถ่อย่างรวดเร็ว เพื่อให้สามารถดำเนินงานที่มีความสำคัญต่อไปได้

ระบบปฏิบัติการที่ตกเป็นเป้าหมายยังคงเป็นวินโดวส์ และอาจลามไปถึงระบบ Mac OS X เนื่องจากระบบนี้ได้รับความนิยมเพิ่มมากขึ้น

3. ช่องโหว่ในแอปพลิเคชั่น

ช่องโหว่ด้านความปลอดภัยในแอปพลิเคชั่นเป็นปัญหาต่อเนื่องของนักพัฒนาและลูกค้าของผู้ให้บริการ






ภาพที่ 3 แสดงร้อยละของจำนวนช่องโหว่ที่พบในแอปพลิเคชั่นต่าง ๆ ในปี 2557 - 2558

โปรแกรม Adobe Flash อาจเป็นผลิตภัณฑ์ที่ถูกโจมตีบ่อยที่สุด อย่างไรก็ตาม Adobe ได้แก้ไขช่องโหว่ต่าง ๆ อย่างรวดเร็ว และจะถูกโจมตีน้อยลงในปีหน้า เนื่องจาก Adobe ได้มีเพิ่มฟีเจอร์ในการป้องกันการโจมตีเข้าไป

นักพัฒนาบางคนได้เรียกร้องให้ใช้ HTML 5 แทน Flash และ Google Chrome จะหยุดสนับสนุน Flash อีกในไม่ช้า อย่างไรก็ตามการเปลี่ยนผ่านจากการใช้ Flash ยังจะเป็นไปอย่างล่าช้า เนื่องจากอินเทอร์เน็ตยังคงเต็มไปด้วยเนื้อหาที่สร้างจาก Flash

คาดการณ์ว่าจะมีการค้นพบช่องโหว่ใหม่ ๆ ในส่วนที่อยู่นอกเหนือจากวินโดวส์ ส่วนที่เพิ่มขึ้นได้แก่ ระบบฝังตัว (embedded system) เทคโนโลยีอินเตอร์เน็ตที่เชื่อมอุปกรณ์และเครื่องมือต่างๆ (Internet of Things) และซอฟท์แวร์ด้านโครงสร้างพื้นฐาน ที่จะตกเป็นเป้าหมายของการโจมตีขั้นสูง

4. ระบบการจ่ายเงิน

การซื้อสินค้าเคยเป็นเรื่องง่าย ๆ โดยใช้เงินสดเพียงอย่างเดียว แต่ในปัจจุบันมีวิธีในการจ่ายเงินในรูปแบบต่าง ๆ หลากหลาย ตั้งแต่ Bitcoin, ApplePay บัตรเครดิตและเดบิต ไปจนถึงบริการจ่ายเงินออนไลน์ในแบบต่าง ๆ จากข้อมูลในวิกีพีเดีย มีเงินสกุลดิจิตอล (cryptocurrency) มากกว่า 740 สกุล และมีบริการจ่ายเงินออนไลน์ มากกว่า 60 แห่งด้วยกัน

ความสำคัญยังคงอยู่ที่ช่องโหว่ที่เกี่ยวข้องกับข้อมูลรายการเปลี่ยนแปลง (transaction) ของบัตรเครดิตและเดบิต วิธีการโจมตีไม่เปลี่ยนแปลงมากนักจากสิบปีที่แล้ว โดยโจมตีกลไกในการจ่ายเงิน หรือ
ฐานข้อมูลที่เก็บบัตรเครดิต

อย่างไรก็ตาม สิ่งต่าง ๆ ได้เปลี่ยนแปลงไป เนื่องจากมีวิธีการจ่ายเงินที่มากมายหลายวิธี ซึ่งจำเป็นต้องใช้ชื่อและรหัสผ่าน ข้อมูลนี้จึงมีค่าอย่างยิ่ง การขโมยข้อมูลเหล่านี้ อาชญากรจึงต้องมุ่งเป้าไปที่กลุ่มผู้บริโภคโดยตรง เนื่องจากพวกเขาเป็นทั้งแหล่งของข้อมูลรหัสผ่าน และยังเป็นจุดอ่อนในขั้นตอนการจ่ายเงินอีกด้วย

ปี 2559 อาชญากรจะเน้นการโจมตีไปที่การขโมยและการขายข้อมูลชื่อผู้ใช้และรหัสผ่าน และปรับปรุงวิธีการโจมตีแบบต่าง ๆ ซึ่งรวมถึง phishing และ keylogger และวิธีการใหม่ ๆ ซึ่งอาจเกิดขึ้น นอกจากนี้ยังมีจำนวนของการขโมยข้อมูลผ่านทางระบบจ่ายเงินจะมีเพิ่มขึ้นด้วย

5. การโจมตีผ่านทางพนักงาน

การโจมตีบริษัทใหญ่ ๆ หรือหน่วยงานรัฐบาลยังคงมีอยู่บ่อยครั้ง ไม่ได้มีเฉพาะแต่การโจมตีเพื่อเปลี่ยนหน้าเว็บเพื่อสร้างความอับอายเท่านั้น แต่ยังรวมถึงการขโมยข้อมูลส่วนตัว ได้แก่ บัตรเครดิต หมายเลขประกันสังคมและที่อยู่ และแนวโน้มนี้ยังคงดำเนินต่อไป

องค์การต่าง ๆ จะลงทุนเพื่อเพิ่มความปลอดภัยให้กับเครือข่ายของตนเองมากขึ้น ไม่เพียงแต่ในด้านเทคโนโลยี แต่ยังรวมถึงการฝึกอบรมบุคลากรอีกด้วย ถ้าองค์การหนึ่งใช้เทคโนโลยีล่าสุด รวมถึงบุคลากรที่มีความสามารถ เพื่อสร้างนโยบายที่มีประสิทธิภาพ และมีความระมัดระวัง ทำให้ผู้โจมตีมีทางเลือกอยู่สามทางได้แก่

  • ผู้โจมตีจะพยายามมากขึ้น ซึ่งจะเป็นการยากสำหรับผู้โจมตีมากยิ่งขึ้นถ้ามีคนที่มีความสามารถและเทคโนโลยีที่ดีป้องกันอยู่
  • หาใครบางคนที่จะโจมตี องค์การที่อยู่ในข่ายนี้ใช้งบประมาณอย่างไม่มีประสิทธิภาพ (อาจซื้อเทคโนโลยีล่าสุดมา แต่ไม่จ่ายเงินเพื่อซื้อบุคลากรมาดูแล) ซึ่งจะเป็นเป้าหมายที่ง่ายในการโจมตี และยังคงถูกบุกรุกต่อไป
  • โจมตีพนักงานที่อยู่ที่บ้านหรือขณะกำลังเดินทาง ถ้าผู้โจมตีต้องการข้อมูล แต่พบว่าการเข้าถึงเครือข่ายบริษัทำได้ยาก ก็จะมุ่งเป้าไปที่ระบบคอมพิวเตอร์ของพนักงานที่อยู่ภายในบ้านแทน

ภัยคุกคามนี้ควรทำให้ฝ่ายไอทีขององค์การใส่ใจถึงความปลอดภัยในแง่มุมนี้ ไม่เพียงพอที่จะกังวลกับความปลอดภัยเครือข่ายของบริษัทเท่านั้น องค์การที่ฉลาดยังต้องขยายความปลอดภัยครอบคลุมถึง
บ้านของพนักงานของพวกเขาอีกด้วย ปีหน้าเราอาจได้เห็นองค์การต่าง ๆ จะจัดหาเทคโนโลยีด้านความปลอดภัยขั้นสูงสำหรับพนักงาน เพื่อติดตั้งในระบบส่วนตัวของเขา เพื่อป้องกันภัยคุกคามที่ผ่านเข้ามาทางเครือข่ายสังคม และ phishing

6. บริการคลาวด์

อาชญากรทางคอมพิวเตอร์จะมุ่งเป้าการโจมตีไปที่บริการคลาวด์ เพื่อขโมยข้อมูลความลับ เพื่อใช้ให้เป็นประโยชน์ด้านการแข่งขัน หรือเพื่อผลทางการเงินหรือกลยุทธ์

7. อุปกรณ์สวมใส่

แพลตฟอร์มด้านอุปกรณ์สวมใส่จะถูกโจมตีโดยอาชญากร เพื่อเข้าถึงสมาร์ทโฟนที่ใช้เพื่อควบคุมอุปกรณ์เหล่านี้ บริษัทที่เกี่ยวข้องจะทำงานร่วมกันเพื่อป้องกันจุดเสี่ยงที่อาจถูกโจมตีได้ อย่างเช่น kernel ของระบบปฏิบัติการ ซอฟท์แวร์ด้านเครือข่ายและวายฟาย ส่วนติดต่อผู้ใช้ หน่วยความจำ เป็นต้น


8. รถยนต์


ภาพที่ 4 แสดงให้เห็นถึงช่องทางต่าง ๆ ที่อาจถูกโจมตีได้ในรถยนต์รุ่นใหม่

นักวิจัยด้านความปลอดภัยจะเน้นที่การค้นหาช่องโหว่ในระบบเชื่อมต่อในรถยนต์ ที่ไม่ปฏิบัติตามนโยบายด้านความปลอดภัยที่ดี ผู้ขายผลิตภัณฑ์ด้านการรักษาความปลอดภัยและผู้ผลิตรถยนต์จะพัฒนาคำแนะนำ มาตรฐาน และวิธีการทางเทคนิคที่ช่วยป้องกันระบบต่าง ๆ ในรถยนต์

9. คลังข้อมูลจารกรรม 

ปี 2558 มีข้อมูลจำนวนมากที่ถูกขโมยมากจากธุรกิจและหน่วยงานของรัฐ ข้อมูลบางอย่างมีค่าจำกัด แต่บางอย่างถูกเก็บไว้เพื่อใช้ในการโจมตีครั้งต่อไป นอกจากนี้ ข้อมูลที่ขโมยมาจากหลายแหล่งที่สามารถเชื่อมโยงกันได้ ทำให้ข้อมูลนั้นมีค่าเป็นอย่างยิ่งสำหรับผู้โจมตี

การเก็บสะสมข้อมูลที่ขโมยมาได้เกิดขึ้นมาเป็นเวลาสองปีแล้ว จะมีตลาดมืด ซึ่งจะขายข้อมูลส่วนตัวที่ขโมยมาได้จากหลาย ๆ แหล่ง อาชญากรที่ได้รับความเชื่อถือสามารถเลือกซื้อชุดข้อมูลที่ต้องการ
เพื่อใช้ในการโจมตีในภายหลังได้

การโจมตีที่บูรณภาพของข้อมูล

เราจะได้เห็นกลวิธีใหม่ในการโจมตี ได้แก่การโจมตีบูรณภาพ (integrity) ของระบบและข้อมูล การโจมตีบูรณภาพของข้อมูลจะทำแบบลับ ๆ เลือกเฟ้น และทำอันตรายได้มากกว่า แทนที่จะทำลาย หรือขโมยข้อมูลขนาดใหญ่ แต่เลือกที่จะเปลี่ยนองค์ประกอบเฉพาะในธุรกรรม การสื่อสาร หรือข้อมูล เพื่อผลประโยชน์ที่สำคัญ

 ปี 2559 เราจะได้เห็นการโจมตีบรูณภาพของข้อมูลในภาคการเงิน ซึ่งเงินนับร้อยล้านดอลลาร์จะถูกขโมยไปโดยอาชญากรคอมพิวเตอร์ ซึ่งจะแก้ไขข้อมูลธุรกรรม เป็นผลให้มีการเปลี่ยนแปลงเส้นทางการจ่ายเงินไปยังบัญชีลึกลับ การตรวจพบเหตุการณ์จะทำได้ยากมาก การโจมตีบรูณภาพจะดูเหมือนเป็นปัญหาในการทำงาน ข้อผิดพลาดทางบัญชี

นอกจากนี้ข้อมูลที่เก็บในหน่วยงานอื่น ๆ อาจตกเป็นเป้าหมายการโจมตีได้เช่นเดียวกัน

10. การจารกรรมข้อมูล

ปี 2559 จะเห็นการจารกรรมข้อมูลมากขึ้น โดยมีการใช้เทคนิคเฉพาะดังต่อไปนี้คือ

●    ใช้บริการที่ถูกต้องตามกฏหมาย อย่างเช่นบริการให้ดาวน์โหลดไฟล์ผ่านคลาวด์ (เช่น Dropbox) เพื่อเป็นเครื่องแม่ข่ายควบคุม (control servers) ในการโจมตี เพื่อหลบหลีกการตรวจจับ

●    ใช้เครือข่าย Tor เพื่อปกปิดการเชื่อมโยงมายังเครื่องแม่ข่ายควบคุม

●    ปีที่ผ่าน ๆ มาจะเห็นการโจมตีช่องโหว่ในเอกสารของไมโครซอฟท์ แต่ปี 2559 จะเริ่มเห็นการใช้ไฟล์รูปแบบอื่นนอกเหนือจาก .ppt .doc และ .xls

11. การโจมตีโครงสร้างพื้นฐาน

ปี 2559 และปีต่อ ๆ ไปจะมีช่องโหว่ในโครงสร้างพื้นฐานสำคัญ (เช่น ระบบไฟฟ้า ประปา เป็นต้น) ที่ทำให้เกิดความกังวลเพิ่มขึ้น การโจมตีต่อไปเป้าหมายเหล่านี้จะทำให้เกิดผลกระทบใหญ่หลวงต่อสังคม อย่างไรก็ตามอาชญากรมีแนวโน้มที่จะโจมตีเป้าหมายอื่นที่ทำเงินได้มากกว่า ดังนั้้นการโจมตีเหล่านี้มีแนวโน้มที่จะมาจากผู้ได้รับการสนับสนุนจากรัฐฝ่ายตรงข้าม ซึ่งจะเลือกเป้าหมายและกลยุทธ์ในการโจมตี





เรียบเรียงโดย
นนทวรรธนะ  สาระมาน
เกียรติศักดิ์  สมวงศ์

ข้อมูลอ้างอิง

http://www.mcafee.com/sg/resources/reports/rp-threats-predictions-2016.pdf

http://www.mcafee.com/sg/resources/misc/infographic-threats-predictions-2016.pdf

http://smlrgroup.com/2670-2/

http://www.darkreading.com/partner-perspectives/intel/mcafee-labs-2016-2020-threat-predictions-part-1-/a/d-id/1323411

http://www.darkreading.com/partner-perspectives/intel/mcafee-labs-2016-2020-threat-predictions-part-2-/a/d-id/1323425

http://its.sut.ac.th/index.php?option=com_content&view=article&id=72&Itemid=468

http://www.it24hrs.com/2015/ransomware-alert/

Monday, June 15

Hacker Here ตอนที่ 4

ณ จุดชมวิว บนหอคอยสูง ในเมืองหุนชุน บริเวณแม่น้ำถูกเหมิน
ซึ่งเป็นแม่น้ำแบ่งพรมแดนประเทศจีน ประเทศเกาหลีเหนือ และรัสเซีย
เรามองไปข้างหน้าสิ ด้านซ้ายมือเป็นประเทศรัสเซีย ด้านขวามือเป็นประเทศเกาหลีเหนือ

วันนี้ท้องฟ้าเปิดมองไปได้ไกลสุดลูกหูลูกตา จารึกพูด

มีสายลมบนยอดหอคอยเป็นลมจากทะเลญี่ปุ่น พัดเอื่ยเข้ามาปะทะเป็นระยะ จารึกยืนอยู่บนยอดหอคอย พร้อมกับคุณสมิธ เจ้าของบริษัทโอดิสซี่ซอฟต์ โดยมีคณะกรรมการโรงพยาบาลสยามเฮ้ลที่ไปดูงานที่ประเทศจีน อีก 10 คน ซึ่งยืนกันกระจัดกระจายเพื่อถ่ายรูป และชมความงาม

ทั้งชีวิตการทำงานกว่า 40 ปีที่เป็นหมอ แต่ผมเป็นคนที่ชื่นชอบศึกษาประวัติศาสตร์โดยเฉพาะเรื่องเกี่ยวกับสงคราม และจารชน ผมมีหนังสือเกี่ยวกับเหตุการณ์จริงเกี่ยวกับไล่ล่าจารชนอยู่หลายเล่ม คุณสนใจไปอ่านสักเล่มไหมล่ะ จารึกกล่าว

จารึกเป็นผู้ช่วยผู้อำนวยโรงพยาบาลสยามเฮ้ลฯ และเป็นผู้ที่มีอำนาจเต็มในการจัดซื้อจัดจ้างที่เกี่ยวข้องกับระบบไอทีในโรงพยาบาลทั้งหมด

จารึกกล่าวต่อ สถานที่นี้ในอดีตเป็นจุดยุทธศาสตร์ของยุคสงครามเย็น เกาหลีเหนือ จีน และรัสเซีย ล้วนเป็นพวกเดียวกัน แต่สมัยนี้เกมส์สงครามมันเปลี่ยนรูปแบบ ผมกำลังศึกษาทิศทางการเปลี่ยนแปลงครั้งนี้อยู่


สมิธเสริม "ใช่มันเป็นยุคของดิจิตอล" การโจมตีผ่านดิจิตอล ตลาดทุน ค่าเงิน แบบออนไลน์ข้าวพรมแดน การโจมตีทางไซเบอร์ รวมถึงการ collection ข้อมูลขนาดใหญ่ (Big data) เพื่อวิเคราะห์ความเคลื่อนไหว และความเป็นไปของผู้คน ได้ข่าวว่า NSA เจาะจงเรื่องนี้เป็นงานหลักเลย

เดี๋ยวนี้สายลับแต่ละประเทศแปลงร่างมาฝั่งในคอมพิวเตอร์ มือถือ อุปกรณ์สื่อสารกันเยอะขึ้นแล้ว ช่วงชิงกันถึงเรื่องข้อมูล การประมวลผลข้อมูลขนาดใหญ่ (Big data) เพื่อผลประโยชน์ของรัฐบาลและเพื่อประเทศ

เพราะทุกอย่างมันเชื่อมโยงถึงกันไปหมดแล้ว สมิธกล่าว

สมิธ เคยเป็นอดีตเจ้าหน้าที่สำนักข่าวกรองแห่งชาติ และเขาเป็นครูสอนวิชาต่อต้านการข่าว เคยร่วมงานกับ CIA ก่อนที่ขอเออร์ลี่ แล้วมาเปิดธุรกิจซอฟต์แวร์เมื่อ 10 ปีก่อน
ปัจจุบัน สมิธอายุ 61 แล้วแต่ยังดูแข็งแรงและทำงานได้

รู้จักกับจารึกผู้ช่วยอำนวยการโรงพยาบาลนี้ กว่า 20 ปี จากการที่เป็นคนไข้ประจำของคุณหมอจารึก "การเชื่อมโยงแบบไร้พรมแดน นั้นคือสงครามแนวใหม่ที่เราต้องปรับตัว" ลมที่นี้เย็นสบายดี นะสมิธ จารึกกล่าว และทั้งคู่หัวเราะขึ้นเบาๆ

ก่อนที่คณะขึ้นรถกลับโรงแรม จารึก บอก สมิธ ว่า "ก่อนที่ผมจะลืมคุณพูดเรื่องมาผมนึกขึ้นได้ แก่แล้วเดี๋ยวลืม ผมฝากเด็กผู้หญิงคนหนึ่งเข้ามาบริษัทคุณ และให้เขามานั่งรับ Out source ทำฐานข้อมูลประวัติคนไข้ให้ผมทีสิ" เป็นหลานสาวผมเอง ชื่อศิรินท์ จบด้านการจัดการระบบฐานข้อมูลมา สักพักแล้ว อยากให้ทำงานระดับใหญ่ๆบ้าง ผมไม่กล้ารับตรงเพราะกลัวเรื่องคอนฟิคฯ ฝากคุณรับมาแล้วให้เขา มาประจำโรงพยาบาลนี้ เพราะไหนๆ คุณก็ได้งานใหญ่ไปแล้วนิ งานของคุณเซ็นสัญญาเดือนมกราคม ให้เขามาสักเดือนเมษา หรือก่อนนั้นนิดหน่อย

สมิธกล่าว ผมจะจัดการให้ตามคำขอ หลังจากกลับถึงเมืองไทย เรียกให้เขามาหาผมที่ office บริษัทได้เลย


 
+++++++++++++++++++

ณ ศูนย์คอมพ์โรงพยาบาลสยามเฮลฯ

web server เป็น ubuntu 14.04
ifconfig พบว่า IP private ตั้งค่าไอพีที่ 172.16.5.2
web server นี้มีทั้งหมดกี่ตัวครับ ธีรานนท์ ถาม

องอาจตอบ จริงๆเราต้องการทำ 2 เป็น HA แต่ยังทำไม่เสร็จ เหลือใช้จริงแค่ตัวเดียวอยู่

และเชื่อมถึงกันที่ไหนบ้าง ธีรานนท์ถามต่อ

ที่ DMZ เท่านั้น วิชัยตอบ
ในย่าน 172.16.5.0/24 ใช่ป่ะครับ routing ไปยังวงอื่นด้วยไหม ธีรานนท์ ถามต่อ

เราไม่ set routing ตรงนี้นะ แต่วงนี้มีแค่ 256 IP /24 ใช่ครับ แต่ใช้จริงไม่ถึง ประมาณ 20 IP ได้มั้ง เป็น Develop เกินครึ่ง ใช้จริงๆประมาณ 5-6 IP เท่านั้น ที่เปิดสาธารณะ วิชัยตอบหมด

องอาจยังไม่ทันอ้าปากตอบ

ผมแค่มีประเด็นเรื่อง Infrastructure Compromise
ต้องใช้พวก IOC (Indicator of Compromise) มาจับด้วย ธีรานนท์ ถามต่อ

ไม่ทราบว่าที่โรงพยาบาล มี Centralized log ไหมครับ
เรามี image เครื่อง Web server ที่โดนแฮกแล้ว ถ้าให้ครบและวิเคราะห์ได้ถูกอยากได้ Centralized log ด้วย ธีรานนท์ ถามขึ้นมา

องอาจ ตอบ มีสิ เป็นไปตามกฎหมายคอมพิวเตอร์ มาตรา 26 ธีรานนท์ เป็น Log ที่รับจากอะไรมาบ้าง องอาจ อำอึ๋ง ...

วิชัย เสริมมาบอกว่า ตอนนี้เราพึ่ง implement นะ รับมาไม่เยอะ
ก็แบ่งรับข้อมูลจาก
1) พวกเกี่ยวกับ Identity/Authentication ก็มีรับจาก AD (Active Directory) ส่งมาเก็บแล้ว, Wifi Controller Server รู้สึกว่ายัง, Exchagne ส่งมาเก็บแล้ว และพวก VPN token สำหรับเจ้าหน้าที่ไปต่างประเทศและนอกสถานที่ใช้งานพวกนี้ส่งมาเก็บแล้ว

2) ส่วนพวก Network ก็มี Firewall , Core Switch ส่วน NIDS/IPS โรงพยาบาลเราไม่มีกำลังดูๆอยู่เนื่องจาก Firewall ตัวนี้ตรวจ DPI / Application layer ไม่ได้ (DPI : Deep Packet Inspection)

3) พวก Server ที่เป็น public ก็มี Web Server , ERP Server , DNS และ DHCP server ประมาณนี้ โยนมาไม่กี่ตัวหลอก

เอาแต่ตัวเน้นๆ เราต้องการ Log คุณภาพ วิชัย ตอบอย่างผู้รู้

อ๊อดที่ยืนอยู่ใกล้ๆ นึกในใจว่า นี้นะไม่กี่ตัว


"สวยเลย ถ้างั้นผมขอ log ย้อนหลัง สัก 2 เดือนได้ไหมครับ" ธีรานนท์ ถามกลับ

วิชัย และอนันนต์ หันหน้าพร้อมกันไปที่ พี่องอาจ คนตัดสินใจ องอาจ ตอบ ถ้าผมเป็น ผอ. เองผมให้ได้ ผมรับผิดชอบ แต่นี้ ผมต้องขอ พี่จารึกนะสิ ตัว Centralized log ผมดูได้แต่ system admin เนื้อข้อมูล log คนที่เปิดได้คือ พี่จารึก

"ที่เราได้มาคือ log จาก web server ที่โดน hack ส่วนอื่นๆ ที่ผมอยากได้ ประเภท DPI มากกว่า น่าเสียดายที่ยังขาดเรื่อง NIDS/IPS แต่ถึงอย่างไร ข้อมูลทุกอย่างย่อมเชื่อมโยงถึงกันหมด" ธีรานนท์กล่าว

ถ้าเช่นนั้นก็แค่นี้ก่อนก็ได้ อ๊อดตอบเสริม หากวิเคราะห์เสร็จแล้วจะส่งรายงานให้ หากพบสิ่งผิดปกติและเป็นเบาะแส จะแจ้งให้พี่องอาจทราบ งั้นพวกผมขอตัว ธีรานนท์ตอบ จากนั้นทีมงาน GBT (Ghostnet Buster team) ก็จากไป


ราเชนหลังจากยืนนิ่งสักพัก เออวิชัย ถึงเราเป็นโปรแกรมเมอร์เข้าใจบ้างไม่เข้าใจกับสิ่งที่คุยกัน แต่เราถามหน่อยดิว่า Data Base Server ที่ ทีม out source ทำอยู่นี้ส่ง syslog ไปเก็บด้วยไม่ใช่เหรอ

วิชัย นั่งนิ่งคิดดู แล้วตอบว่า เออใช่ ลืมไปมี data base server ส่งมาอีกตัว อนันต์ นายเข้าไปดูได้ป่ะว่า log ของ data base server ส่งมาป่ะ

อนันต์นึก "กูอีกแล้ว" ได้เลย รอแป๊บบ เพื่อนๆ 172.16.5.3 (Data Base Server) ส่ง log มาอยู่ แต่ผมเปิดอ่านไม่ได้ (เฉพาะ Data Owner พี่จารึก) รู้ได้แค่เพียงสถานะ นะ อิอิ เสียงหัวเราะอนันต์


วิชัยจำคำพูดธีรานนท์ แล้วอุทานว่า "ข้อมูล ทุกอย่างย่อมเชื่อมโยงถึงกันหมด"


จบตอน

+++++++++++++++++++++++++++++++++++++++++++++++
สงวนลิขสิทธิ์
SRAN Technology (www.sran.net)

นนทวรรธนะ สาระมาน
Nontawattana Saraman
ผู้เขียน
15/06/58

Monday, May 11

Hacker Here ตอนที่ 3

Digital Holes : ตอน Hacker Here ที่นี้มีแฮกเกอร์ ตอนที่ 3

เสียงเพลง eye in the sky ของAlan Parsons Project 1982  ดังขึ้น

...[เสียง Chorus]
I am the eye in the sky
Looking at you
I can read your mind
I am the maker of rules
Dealing with fools
I can cheat you blind
And I don't need to see any more
To know that
I can read your mind, I can read your mind ...



เสียงเพลงในร้านซาโมกูระ วันเสาร์ที่ 18 เมษายน 58

ราเชน (หรือที่รู้จักกันชื่อเล่นว่า หนุ่ม เป็นโปรแกรมเมอร์ที่ดูเว็บไซต์ของโรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล) กำลังเทโซดาใส่แก้ว ผสมเหล้าบางๆ นั่งที่ระเบียงด้านนอกของร้าน เสียงเพลงลอยตามลมมาได้ยินชัดเจน

"ฉันชอบเพลงนี้นะ ตาที่มองมาจากฟากฟ้า ผู้กำหนดทิศทางชีวิตของผู้คน"
"โดยเฉพาะยุคนี้มันทำได้หากเรามีจำนวนกองทัพ botnet เพียงพอ เราจะมีอิทธิพลเหนือใคร"

....  ราเชนนั่งฟัง

"เอาล่ะเพื่อน นั้นมันความฝัน ของฉัน ส่วนความเป็นจริง เราจะจัดงานมิตติ้งกันหน่อย โดยจะถือโอกาสนี้ เพื่อให้นายราเชน และเพื่อเป็นการรำลึกถึงวันที่เราใช้ชีวีตในรั้วมหาวิทยาลัยด้วยกัน  คืนวันเสาร์ที่ 2 พฤษภาคมนี้ ยังจำได้เลยช่วงเวลานั้นเรากำลังดีใจที่สอบเอ็นทรานติด มันเป็นช่วงเวลาที่มีความสุข ชีวิตนักศึกษาใหม่" บิ๊กกล่าว

"ถึงนายจะอยู่ที่นี้แค่ปีเดียว แต่นายก็ช่วยฉันให้รอดจากการถูกรีไทด์ ฉันยังจำได้เพื่อน" บิ๊กกล่าวต่อ

ท่ามกลางบรรยากาศเพลงร็อคยุค 80 เปิด ราเชน นั่งจิ๊บสุรา กับบิ๊ก
บิ๊กนายเป็นหัวเรื่องใหญ่จัดงานไป แล้วพยายามดึงรินมาในงานให้ได้

หนุ่ม ราเชน กระดกแก้ว แล้วพูดว่า "ถึงเราจะเคยเรียนที่ ม เกษตร แค่ปีเดียว แล้วเรียนต่อที่ต่างประเทศ (ไปที่ มหาวิทยาลัย MIT สหรัฐอเมริกา) แต่เรายังจำรินได้ และคิดถึงเธอเสมอ
ยิ่งได้มาทำงานที่เดียวกันด้วยนั้น อย่าพูดเลย อยากใกล้ชิดเธอมากขึ้นจัง"

"แล้วเธอจำแกได้ป่ะ หนุ่ม" บิ๊กถาม
น่าจะคุ้นๆนะ ไม่รู้สิ ไม่เคยถาม และไม่เคยบอกด้วย  ตอนนั้นแค่เด็กปี 1 ไม่ประสาอะไรนักหลอก " หนุ่ม พร้อมถือแก้วยกซดต่อ

บิ๊กเป็นเจ้าของร้านซาโมกูระ ทั้งที่จบวิศวะคอมพิวเตอร์มา แต่กับมาเปิดร้านอาหาร บิ๊กไม่ใช่เด็กเรียนเก่ง แต่เขาคลั่งไคล้การแฮก โดยรับงานประเภทเจาะระบบมากว่า 3 ปีแล้ว

ฝีมือของเขาอยู่ในระดับโลก ล่าสุดเข้าร่วมกลุ่มแฮกเกอร์ต่างประเทศไปเป็นนักรบไซเบอร์รับจ้าง
โดยร่วมงานในการเจาะระบบให้กับรัฐบาลประเทศยูเคนมาแล้วในนามกลุ่มแฮกเกอร์ชื่อ "Dark Pilot"
เขาไม่ค่อยอยู่เมืองไทย แต่ก็เปิดร้านนี้ขึ้นโดยร่วมหุ้นกับเพื่อนๆ ไฮโซ
เนื่องจากคุณพ่อเป็นเจ้าของธุรกิจด้านอสังหาริทรัพย์ตระกูลดัง เขามีกลุ่มเพื่อนที่คบหาอยู่เป็นระดับเศรษฐีในประเทศไทย ส่วนร้านอาหารซาโมกูระ นี้เป็นเพียงร้านที่เป็นแหล่งพูดคุยกับเพื่อนๆในวงการแฮกเกอร์ (รับแฮกแบบใต้ดินที่แลกเปลี่ยนข้อมูล) และร้านนี้ไม่รับคนทั่วไปเข้าร้าน แต่ต้องได้รับบัตรเชิญ หรือเป็นแขกที่เจ้าของร้านเชิญเท่านั้น

"ตอนนี้รัสเซีย และ จีน กำลังจับมือกันทางไซเบอร์อยู่ ต่อรองกับไอ้กัน ที่ผูกขาดอย่างแนบเนียนมานานแล้ว ไอ้กันนั้นมีอาวุธสำคัญคือ NSA ที่ต่อท่อ backdoor ไปทั้งอุปกรณ์สื่อสารและ Social network ทำให้รู้ความเคลื่อนไหวต่างๆ ทั่วโลกและสามารถรู้ถึงข้อมูลชีวิตคนๆหนึ่งได้ภายในพริบตา"  บิ๊กกล่าว
"ท่องอินเทอร์เน็ตในยุคนี้  พบแต่ บอทเน็ต (Botnet) และสปาย (spy)  มีให้เพียบ User หน้าใหม่กว่า 100 ล้านคน ทั่วโลกพร้อมให้เรายึดครอง

"แต่เชื่อมไหมเพื่อน พอไล่เส้นทางดีๆแล้ว มีไม่กี่แก๊ง ทุกแก๊งถูกควบคุมโดยประเทศมหาอำนาจคุมอยู่  หนึ่งในนั้นคือเรา Dark Pilot  แต่เรามันยังอิสระ เราเหมือนพวกโจรสลัดอยู่ " บิ๊กพูด เหอๆๆ เสียงหัวเราะ พร้อมดื่มไปหนึ่งจอก

"โดยเฉพาะประเทศไทย หลายแก๊งชอบนักแล อินเทอร์เน็ตเร็ว Server ที่ออนไลน์ 24x7 จำนวนมาก User กว่า 24 ล้านคนที่ออนไลน์เป็นประโยชน์กับกองทัพนิรนามมากในการโจมตีชนิดทะลวงเป้า DDoS/DoS ซึ่งเป็นเป้าหมายที่ต้องการ"

"วันก่อนมี Notice มาในกลุ่มพวกเราสื่อสารกันผ่าน Deepweb ไร้ร่องรอย ไร้ตัวตนในการตรวจจับ มีข้อมูลที่น่าสนใจคือ มีบุคคลที่ถูกหมายหัวอยู่ในโรงพยาบาลที่นายทำงานอยู่"
บิ๊กกล่าว

+++++++++++++++++++++++++++++++++++++++++++
เสริม

Botnet คือ เครื่องคอมพิวเตอร์ไม่ว่าเป็น เครื่องแม่ข่าย พีซีตั้งโต๊ะ โน็ตบุ๊ค หรือกระทั่งมือถือ ที่มีการติดเชื้อ (เครื่องที่ติดเชื้อ malware และถูกใช้เป็นเครื่องมือเรียกว่า zombie) มีการติดเชื้อมากกว่า 1 เครื่องขึ้นไปแล้วถูกใช้เป็นเครื่องมือ เรียกกลุ่มเครื่องเหล่านี้ว่า Botnet

Backdoor คือ ช่องทางการเข้าถึงข้อมูลโดยที่ผู้ใช้งานไม่รู้ตัว จะปรากฎในรูปซอฟต์แวร์ หรือมาพร้อมกับอุปกรณ์สื่อสาร หรือจะผ่าน Protocol ที่กำหนดขึ้นเอง

DDoS/DoS คือการโจมตีชนิดหนึ่งที่ พร้อมส่งข้อมูลปริมาณมากมาพร้อมๆกันจากหลายจุดไปยังเป้าหมายที่เดียว หรือ จะมีเป้าหมายหลายที่ก็ได้ เป็นการยิงเพื่อให้เป้าหมายนั้นไม่สามารถใช้งานได้อย่างปกติ เรียกว่า DDoS (Distribute Denial of Services)  หากใช้เพียงลำพังจุดเดียวเป้าหมายจะมีเพียงที่เดียวหรือเป้าหมายมีหลายที่เรียกว่า Denial of Services

Deepweb คือเว็บไซต์กลุ่มใต้ดินที่ต้องการซ่อนตัวเพื่อไม่ให้มีใครเข้าถึงได้โดยง่าย ต้องใช้โปรแกรม tor (The Onion Router) เนื่องจากการ query domain name จะแต่ต่างกับการติดต่อสื่อสารทั่วไปชื่อโดเมนเป็นชื่อที่เข้ารหัสและนามสกุล .onion  เป็นพื้นที่ Anonymous อย่างแท้จริงเพราะไม่ปรากฎบนอินเทอร์เน็ตทั่วไปที่เราใช้งานอยู่ ส่วนใหญ่เป็นของผิดกฎหมายเช่นพวกค้าของเถื่อนและพวกที่แลกเปลี่ยนฐานข้อมูลบุคคลและบัตรเครดิต ที่เรียกว่า Market place เส้นทางสายไหม (Silk Road) รวมสินค้าเถื่อนที่หาไม่ได้บนอินเทอร์เน็ต รวมถึงเป็นศูนย์รวมการบัญชาการ botnet ของเหล่าบรรดาแฮกเกอร์  ปัจจุบันทาง Deepweb เป็นที่จับตามองของ FBI และหน่วยสืบราชการลับหลายประเทศ

ภาพประกอบ Deeweb


+++++++++++++++++++++++++++++++++++++++++

เป็นที่ต้องการตัวของแก๊ง RedFox ที่จะจ้างเราเป็นเงินสูงถึง 8 หลัก หากปลิดชีวิตคนนี้ได้ เพราะเขาเป็นผู้ก่อการร้าย ได้ข่าวว่ามีการหักหลังกัน หนีมากลบดานที่เมืองไทยมาสักพักแล้ว ทั้งแก๊ง Redfox นักค้าอาวุธ รายใหญ่ของโลก รวมถึงรัฐบาลอเมริกาก็ต้องการตัว

แต่ไอ้กันฯ นั้นมันแค่ต้องการตัวเป็นๆ กลับประเทศมัน  ส่วนแก๊งที่จะจ้าง Dark Pilot นี้ต้องการให้ตายในเมืองไทย เรื่องจะเงียบ เพราะเมืองไทยปิดปากได้ง่ายถ้ามีอะไรหลุนทับขา

"ข้อมูลแค่นี้ถึงชีวิตได้หรือไง" ราเชนถาม

"คนในกลุ่ม Dark Pilot เคยทำมาแล้วในอิหร่าน" บิ๊กตอบ

"แล้วคนไข้คนนั้นชื่ออะไร" ราเชนถาม

บิ๊กส่ายหัว

"จะบอกก็ต่อเมื่อนายรับที่จะมาร่วมงานนี้กับเรา จากนั้นต้องทำสัญญากับเรา ถ้างานสำเร็จนายรับไป 8 ล้านบาท  งานนี้มันต้องอาศัยคนในแบบนาย"

บิ๊กกำลง Social Engineering

"เงินมันเยอะนะเพื่อนสำหรับฉันตั้งตัวได้เลย  ...นี้คุยเรื่องนี้ลืมเรื่องงานมิตติ้งที่จะชวนรินมาเลยหรือเปล่า ? " ราเชนถาม พร้อมกระดกแก้ว เป็นแก้วที่ 5

"นายมันรวยอยู่แล้ว เงินพวกนี้หามาได้ นายไปทำอะไร" ราเชน ถามแล้วดื่มอีก
"อันที่จริง เงินไม่สำคัญเลย เพื่อนเอ่ย " บิ๊กกล่าวต่อ

เราต้องการให้กลุ่ม Dark pilot  ยกระดับให้เป็นเบอร์หนึ่งในกลุ่มแฮกเกอร์ระดับโลก เรามีกัน 5 คนทุกคนก็มีภาระหน้าที่

"และอีกอย่าง เราเป็นพวกแฮกซาดิส กันทั้งทีม มาเป็นพวกเราไหมล่ะ" บิ๊กถาม

"Hacksadism"

ราเชน นั่งนิ่ง ... มือจับแก้ว แล้วส่องสายตา ออกไปด้านนอกร้าน

เสียงเพลงบรรเลง saxophone ดังขึ้นในร้านซาโมกูระ  ... เพลง โธ่ ผู้หญิง .. ธเนศ วรากุลนุเคราะห์ ชุดแดนศิวิไลซ์ 2528

....รักของหญิง อยากรู้จริง เป็นอย่างไร บอกว่ารัก รักแค่ไหน ไม่เข้าใจ หรือเกรงทำ
โธ่ เธอ เธอ เธอ จ๋า ทุกวาจา น่าจะจำ จะบอกให้บอกรัก รักสักกี่คำ ถึงจะจำและซึ้งใจ....




++++++++++++++++++++++++++++++++++++++++++++++

"s1n3ad"  ณ ห้องปฏิบัติการคอมพิวเตอร์โรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล

"มันเป็นภาษาจาร์กอน แฮกเกอร์ชอบใช้" ธีรานนท์กล่าวเบาๆ
"อ๊อด อย่าพิมพ์อะไรมากกว่านี้ หลักฐานเสียหมดแล้ว พี่ขอดูหน้าเครื่องหน่อย" จากนั้นธีรานนท์ เดินไปที่ห้อง IDC
ห้อง IDC ที่นี้ก็เหมือนกับทุกๆที่ คือมีประตูกระจกแล้วมีระบบ fingerprint เพื่อยืนยันตัวตนในการเข้าห้อง มีกล้องวงจรปิดด้านหน้าประตู และภายในห้องเฉพาะห้องนี้มีทั้งหมด
 3 ตัว

"User ซินแบด นี้มีใครเป็นคนสร้างหรือเป็นเจ้าของไหมครับ"  ธีรานนท์ ถามวิชัย องอาจ และอนันต์
 ทุกคนส่ายหัว พร้อมออกอาการ งงงวย

"ผมคิดว่าโรงพยาบาลคุณโดนแฮกอย่างแน่นอนแล้ว" ธีรานนท์ กล่าว

แล้วคุณองอาจ คุณคิดว่าจะแจ้งตำรวจไซเบอร์ (TCSD) เพื่อดำเนินคดีไหม ?  อ๊อดถาม
องอาจตอบ ผมคงไม่แจ้งเพราะ  หากเป็นข่าวขึ้นมา จะทำให้ความน่าเชื่อถือของโรงพยาบาลเราลดลงได้


TCSD :  Technology Crime Suppression Division กองบังคับการปราบปราบการกระทำความผิดเกี่ยวกับอาชญากรรมทางเทคโนโลยี  ภายใต้สำนักงานตำรวจแห่งชาติ หรือชื่อย่อภาษาไทย บก. ปอท.

"เรามีทางออกสวยๆ สำหรับเรื่องนี้ไหม?"  องอาจขอคำแนะนำ

ยังไม่มีใครตอบ
"ทันใดนั้น อุปกรณ์ Cloning Hard disk ขึ้น 100% ในการ copy image"
อ๊อดเดินเข้าไป setting ต่อ
ส่วนธีรานนท์ ดูที่หน้าจอ โดยที่มือของเขาไม่ได้สัมผัสแป้นคีย์บอร์ด ได้เพ่งมอง command cat /etc/passwd แล้วขึ้นรายชื่อ

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
libuuid:x:100:101::/var/lib/libuuid:
syslog:x:101:104::/home/syslog:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
s1n3ad:x:1001:1001:s1n3ad team,101,,:/home/s1n3ad:/bin/bash
mysql:x:105:113:MySQL Server,,,:/nonexistent:/bin/false
dnsmasq:x:106:65534:dnsmasq,,,:/var/lib/misc:/bin/false
bind:x:107:114::/var/cache/bind:/bin/false

ทางออกที่ดีที่สุด คือ ให้เว็บไซต์กลับมาดูได้ครับ
อ๊อด ดูเรื่อง services ไหนรันอยู่บ้างที แล้วถ่ายรูปไว้ก่อน
ธีรานนท์พูดกับอ๊อด  และคุณอนันต์
"file index ของเว็บอยู่ path ไหน"
อนันต์ ตอบ /var/www/html  เราใช้ Apache  เป็น Web Server ครับ "มี Mysql ในเครื่องด้วยเหรอครับ" ธีรานนท์ ถามต่อ
"ใช่ครับ" อนันต์ตอบ
อ๊อด ถ่ายภาพ services ที่รัน
แล้วเข้าไปใน path webserver ที่อนันต์บอก  "พี่นนท์ ถ้าพี่จะเก็บหลักฐานตอนนี้เยิ้นหมดแล้ว ลายนิ้วมืออ๊อดเต็มไปหมด" อ๊อดลำพึง
"ปักหมุด command ที่เริ่มของเราไว้ก่อน  และเป็นที่ทราบกันมากกว่า 2 คนแล้วว่า ส่วนที่เพิ่มขึ้นมาจากเรา ไม่ใช่อดีตของเก่า" เมื่อทุกคนที่รับรู้ อีอดบรรเลงคีย์บอร์ดต่อ
ไปที่ path web server แล้วพบว่ามี file ดังนี้

drwxrwxr-x  8 siamh siamh 4096 May  6 14:45 .
drwxrwxr-x  7 siamh siamh 4096 May  7 13:59 ..
-rw-rw-r--  1 siamh siamh  594 Mar 27 14:26 cert.der
drwxrwxr-x  2 siamh siamh 4096 Apr 30 11:45 css
-rw-rw-r--  1 siamh siamh    0 Jan  9 17:28 favicon.ico
-rw-rw-r--  1 siamh siamh  356 Jan  9 17:28 .htaccess
drwxr-xr-x  2 root    root    4096 May  6 14:47 htpasswd
drwxrwxr-x  3 siamh siamh 4096 Jan  9 17:28 img
-rw-rw-r--  1 siamh siamh 1586 Apr  9 17:28 index.php
drwxrwxr-x  2 siamh siamh 4096 May  4 13:49 js
drwxrwxr-x 11 siamh siamh 4096 Mar 27 14:27 packages
drwxr-xr-x  3 root    root    4096 May  6  15:39 index.html

"หน้าเพจหน้าแรกแก้ไขล่าสุดประมาณเดือนไหนครับ" อ๊อดถาม อนันต์
อนันต์กล่าว "ผมดูแลเฉพาะ Server เรื่องโค๊ดเว็บต้องเป็นหนุ่ม หนุ่มเป็น Web Master" "เขาไม่ได้อยู่ในห้องนี้ใช่ไหมครับ" อ๊อดกล่าว
"ใช่ครับเขาอยู่ห้องธุระการ กำลังจะโอนมาที่นี้แต่คิดว่ารอให้ตึกใหม่ที่บางนาสร้างเสร็จก่อนถึงมาอยู่ เนื่องจากห้องที่เราอยู่ปัจจุบันไม่พอรับที่นั่งได้ครับ"
"แต่คิดว่าประมาณเดือนเมษา เราแทบไม่ได้อัพเดทอะไรอีกนะ เนื่องจากมีวันหยุดยาวที่รัฐบาลประกาศตั้งแต่สงกรานต์ จนถึงเดือนพฤษภาคมนี้ล่ะครับ"
"ประมาณวันที่ 9 เมษา หรือเปล่าครับ"อ๊อดถาม   "ประมาณนั้นมั้งครับ" อนันต์ตอบ
มีไฟล์ index.php วันที่ 9 เมษา และ index.hmtl วันที่ 6 พฤษภาคม เวลา 15:39

อ๊อดต่อสายแล้วเข้าโน้ตบุ๊คส่วนตัว แล้ว SSH เข้าไปที่ Server  พร้อมทั้งบรรเลง เป็นภาษา System admin ว่า
ps -ef  <พร้อม Capture ผลลัพธ์>
service --status-all
top
last
history

ทุก command  เขาได้ capture ผลลัพธ์ ใส่ในโน้ตบุ๊คส่วนตัวของอ๊อด
เรามาดูไฟล์ที่แฮกเกอร์สร้างขึ้นกัน  index.html
รูปหัวกระโหลก พร้อมเสียงเพลงของวง AC/DC



ดูสิโค๊ดมันเป็นเช่นไร

cat index.html




"เวงกำ" อ๊อดกล่าว มันเข้ารหัสไฟล์ไว้อ่านโค๊ดไม่ออกเลย

"งั้นผม point การเรียกหน้าใหม่ให้ไปอ่าน index.php แล้วกัน" อ๊อดกล่าว

ธีรานนท์ อยู่ด้วย กล่าวว่า "Java script ตื้นๆ  ตัวนี้แกะได้ แต่นี้เวลา 12:40 น." แล้วทำให้มันใช้ได้ก่อนแล้วกัน ไว้เมื่อเครื่องใช้งานได้อย่างปกติแล้ว ค่อยมาดู
เบื้องหลังโค๊ดที่เข้ารหัสนี้ว่ามันซ่อนอะไรอยู่บ้าง

ด้วยการบรรเลงแป้นคีย์บอร์ดของอ๊อด ไม่นานหน้าเว็บไซต์ก็กลับมาปกติ
เย้ !!! ^___^  หน้าแรกขึ้นแล้ว มาเป็นปกติแล้ว" อนันต์ดีใจ

ช้าก่อน แล้ว App ที่ ผอ. ต้องแสดงในงานล่ะ  มันยังเชื่อมต่ออยู่ไหม
App ชื่ออะไรครับ  SiamH
อ๊อดใช้ command
whereis SiamH พบว่า  /var/www/public/html/siam-h
ls -tla  ดูหน่อย  ธีรานนท์ กล่าว แล้ว capture มาดูหน่อย
อ๊อดผมเห็นแล้ว ผมขอ reboot service siam-h ใครพอมี app ตัวนี้บ้างไหมครับ ลองติดต่อสิว่าเชื่อมกับ Server ได้ไหม

"ผมมี" วิชัยเปิดมือถือตนเองขึ้น คลิก icon siam-h application โรงพยาบาล
App นี้ทำหน้าที่บอกตำแหน่งเพื่อขอความช่วยเหลือ แบบ Location base เพื่อแจ้งพิกัด และ สามารถ conference คุยกับหมอได้
"ใช้งานได้ครับ ตอนนี้มีอาจารย์หมอสมศรีออนไลน์ด้วย พร้อมให้ความช่วยเหลือ"
ดีครับก่อนหน้านี้ผมติดต่อ app นี้ไม่ได้นะตอนนี้กลับมาใช้งานได้ปกติแล้ว

เย้ๆๆ !!  รอดแล้วพวกเรา  วิชัย  องอาจ และ อนันต์ ทั้ง 3 ยืนกอดกัน ประหนึ่งเชียร์ฟุตบอล

ธีรานนท์ มองเห็นว่า "มี process ในเครื่องที่มีการซ่อนอยู่นะ  เหมือนมีอะไร query ข้อมูลตลอด  ดูสิ Network interface กระพิบบ่อยๆ เหมือนมี traffic วิ่งอยู่ตลอด เปิดโปรแกรมแค่นี้ ทำไม CPU มันขึ้นนะ"

"แล้วต้องทำอย่างไงต่อดีล่ะ" องอาจ

"ประคองอาการไม่ให้ services web server down และ ไม่ให้ app ขาดการติดต่อ"

"งานเลิกกี่โมงครับ" ธีรานนท์ถาม

"ไม่แน่ใจ นันต์ เอ๊งลองโทรไปหา หมวย ทีสิ" "ใครเพ่ หมวย" อนันต์กาเกงฟิตยืนถาม  "ก็หน้าห้องผู้อำนวยการไง เอ๊านี้โทรไปถามทีว่างานเลิกกี่โมง"

"ได้ครับ"

ระหว่างรอคำตอบ

องอาจกล่าว "ขอบใจพวกเรามากนะ นับว่าเป็นปฏิบัติการกู้ภัยที่ฉุกเฉินสุดๆ งานหนึ่งในชีวิตผมเลยก็ว่าได้ แต่ไม่ได้หมายความว่างานนี้จะจบแล้วนะคุณต้องไปช่วยสืบหาแฮกเกอร์ให้ผมด้วย"

"ถ้าคุณจะเอาคน (ผู้กระทำความผิด) มาลงโทษเลย ต้องร่วมกับตำรวจไซเบอร์ คุณต้องแจ้งความ  แต่ถ้าเอาแค่เบาะแสได้ IP ต้องสงสัย นี้ผมพอหาให้ได้อยู่แล้ว"
ธีรานนท์กล่าว

"ร่องรอยที่พบในหลักฐาน จะสะท้อน แรงจูงใจ (Motivation) ในการกระทำเสมอ"
ธีรานนท์กล่าว
ดังนั้นการสืบมิใช่ทางเทคนิคอย่างเดียวจะได้คำตอบ

องอาจใตร่ตรอง "นายว่าไงวิชัย  เรื่องนี้ไปถึงตำรวจหรือเปล่า ?"
"ผมว่ามันจะใหญ่ไปนะ" วิชัยตอบ
แล้วพวกเราจะตอบ ผอ. อย่างไง ? กับเรื่องที่เกิดขึ้น ??

"พี่เขาเลิกบ่ายสองครึ่งครับ" อนันต์กล่าว  ขณะนี้เวลา 13:05 นาที  หันไปอีกที ไม่พบ รินและพุกแล้ว

"หิวข้าวกันหรือยังครับ" องอาจกล่าว   นันต์เอ๊งไปซื้อข่าวให้พี่หน่อยล่ะกัน ที่โรงอาหารเราเนี้ย
เอ๊า มื้อนี้ผมเลี้ยงเอง นั่งกินกันที่นี้แหละ"  องอาจกล่าวอย่างผู้นำ
"กระดาษมาจดมาครับ พี่ๆผมไปซื้อให้"
อนันต์รับเงินจากองอาจ จำนวน 300 บาท   อนันต์ทำตา o_O  พี่จะพอเหรอครับ  ตั้ง 5 คนนะเพ่

"ตอนนี้ตรูมีเท่านี้หว่า  ต้องไปกดเงินก่อน หากเกินงบ เอ๊งออกไปก่อน  ..."  องอาจกล่าวแบบไม่อาย


เสียงเปิดประตูดังขึ้น  ราเชน (หนุ่ม) เดินเข้ามาที่ห้องคอมพ์ฯ
"สวัสดีครับพี่องอาจ" ได้ข่าวว่าโดนเจาะเหรอครับ เป็นไงบ้าง มีอะไรให้ผมช่วยหรือเปล่า? ราเชนกล่าว



=++++++++++++++++++++++++++++

ท่ามกลางอากาศร้อนอบอ้าว มีเพียงสายลมจากพัดลมติดข้างเสา ณ. ศูนย์อาหารเมืองทองธานี พัดส่ายไปส่ายมา
เวลายามนี้คือ 19:30 น ของวันที่ 24 เมษายน 2558

"กระเพาหมูสับใส่ไข่ดาวสุกค่ะ" เสียงพุกสั่งอาหาร
"รินเธอเอาน้ำอะไร เดี๋ยวชั้นไปซื้อ"
"น้ำเปล่าแล้วกันจ๊ะ" ศิรินท์ตอบ
ทั้งคู่มาทานอาหารที่นี้เป็นประจำ เนื่องจากพุกพักอยู่คอนโดแถวนี้กับคุณแม่
ส่วนศิรินท์พักที่บ้านแถวดอนเมือง ก็ถือว่าไม่ไกลจากที่พักของพุก ทั้งคู่ดูสนิทกันดี

เมื่อทั้งคู่ได้อาหารที่สั่งหมดแล้ว ที่โต๊ะนั่ง
"รัฐบาลประกาศอาทิตย์หน้าเป็นวันหยุดยาว ตั้งแต่ 1 - 5 พค นี้ เห็นว่าโรงพยาบาลให้ฝ่ายไอทีหยุดนะ รวมทั้งวันที่ 4 พค ด้วย หากไอทีหยุดเราก็ต้องหยุดด้วยเพราะเข้าห้องทำงานไม่ได้ โผล่มาอีกก็วันที่ 6 พค เลยล่ะ ถือว่าหยุดยาวเลยนะ"
"เธอมีแผนไปเที่ยวที่ไหนหรือเปล่า" พุกถาม
"วันที่ 2 นี้เรามีบัตรเชิญไปที่ร้านอาหารแห่งหนึ่ง ส่วนวันอื่นๆ คงไม่ได้ไปไหนเพราะช่วงสงกรานต์ไปมาแล้วกับครอบครัว ไปด้วยกันไหมพุก" รินตอบ
พุก "ขอดูก่อนนะน่าสนุกดีนะ ร้าน ชื่ออะไรอ่ะ

"ซาโมกูระ" รินตอบ "เฮ้มันญี่ปุ่นเลยนะ" พุกตอบ  อยู่ที่ไหน ?

 "สีลม" รินตอบ

"ครั้งแรกก็ไม่คิดอยากจะไปหลอกแต่ที่ถูกเชิญมีเพื่อนสมัยเรียนวิศวะคอมฯ ที่เกษตรศาสตร์ อยู่ด้วยล่ะ  เลยไปก็ไป แล้วพุกล่ะมีแผนไปเที่ยวไหนไหมล่ะ ?" พุกตอบ

"คงไม่ได้ไปไหนล่ะจ้า ช่วงนี้ต้องประหยัดการใช้จ่าย"  รินยิ้ม ตอนนั้นต้นเดือนอยู่นะ คติประจำใจของพวกเรา ต้นเดือนกินหรู กลางเดือน sameๆ ปลายเดือนยาจก มิใช่เหรอ ? อิอิ

พุกถามต่อว่า "ที่ ซาโมกูระนั้นมีอะไร ?" รินยังไม่ทันได้เอ่ยตอบ ก็ได้ยินเสียง

"ขอนั่งด้วยคนได้ไหมครับ" เสียงหนุ่ม ราเชน  โปรแกรมเมอร์ผู้ที่เขียนเว็บไซต์ให้กับทางโรงพยาบาลฯ พร้อมยกจานอาหารมาวางที่โต๊ะ

หนุ่ม ราเชน คนนี้ตามจีบศิรินท์อยู่ มาระยะหนึ่งแล้ว
แล้วราเชน(หนุ่ม) กล่าวต่อไปว่า "อาทิตย์ต้นเดือนหน้ามีวันหยุดยาวนะครับรัฐบาลประกาศ โรงพยาบาลเราเห็นชอบในหลักการ ไอทีเราหยุดด้วยครับ
ไม่ทราบว่าใครยังว่างอยู่ไหมครับ?"

ทั้ง 3 คนได้พูดคุุยกัน เวลาผ่านไปครึ่งชั่วโมง ทุกคนแยกย้ายกันกลับบ้าน

พุกเดินข้ามถนนเพื่อไปยังคอนโดที่พักตนเอง ขณะที่พุกขึ้นลิฟท์ไปที่ชั้น 8 อันเป็นที่พักของตนอยู่กับแม่ลำพังเพียง 2 คน สังเกตเห็นว่ามีชายหนุ่มรูปร่างกำยำ 2 คน ใส่ชุดดำ ติดตามเธอมาด้วย พุกจึงวิ่งเข้าห้อง

"แม่ ๆ มีคนตามมา" พุกกล่าว

สักครู่ไม่นานได้ยินเสียงอ๊อด ดังขึ้นที่ห้อง
"ติ๋งต๋อง" 3 ครั้ง   พุกเหลือบดูที่ช่องรูเข็มที่บานประตู พบชายทั้ง 2 ยืนอยู่หน้าห้อง

แม่ พกมือถือเตรียมโทรแจ้ง รปภ  คอนโด  "เขาเข้ามาได้ไง ที่นี้ให้เฉพาะคนในเข้าได้" แม่พุกถามด้วยความสงสัย

พุกเตรียมเปิดประตู บอกแม่ว่าถ้าเห็นท่าไม่ดีให้โทรแจ้ง รปภ และตำรวจ  พุกเปิดประตูออก

"พวกคุณมีธุระอะไร" พุกถาม

ชาย 2 ยื่นจดหมายให้พุก แล้วบอกว่า  "เรามาทวงเงิน" จากเสี่ยขาว

"คุณค้างเงินที่กู้จากนายเรากว่า 5 เดือน" แล้วสิ้นเดือนนี้ คุณต้องจ่ายมา ไม่งั้นคุณเจ็บ" พวกเรามาเตือนคุณไว้ก่อน

อย่าลืม วันที่ 30 นี้คุณต้องจ่าย ยอดที่ค้างรวมดอกแล้ว 45,000 บาท

"จดหมายนี้เป็นรายละเอียดที่คุณต้องทำตามการจ่ายเงินให้ตรงเวลา เมื่อไม่ตรงตามนัด อย่าหาว่าเราไม่เตือน"

ชายทั้งคู่เดินจากไป

พุกสวมกอดแม่ นั่งคุกเข่าที่ห้อง เนื้อหัวสั่น ด้วยความกลัว  พุกร้องไห้ แล้วพูดเบาๆว่า "แม่ลูกไม่น่าไปยืมเงินนอกระบบเลย..."
"ไม่เป็นไร ไม่เป็นไร ลูกเรื่องมันเกิดขึ้นแล้วเราต้องหาทางแก้ไข"

แสงจันทร์ส่องรอดหน้าตาลงมา ทั้งคู่สวมกอดกันทามกลางห้องที่แสนเงียบ ได้ยินเพียงเสียงร้องไห้ สะอึกสะอื้น

++++++++++++++++++++++++++++++++++++++++++++++++++++
แนะนำตัวละคร
ร้านซาโมกูระ  เป็นร้านอาหาร ที่ไม่เชิญคนทั่วไปมาที่ร้าน ต้องมีบัตรเชิญ ส่วนใหญ่เน้นเครื่องดื่มและการฟังเพลง ประเภทเพลงส่วนใหญ่เป็นเพลง Rock 80 บิ๊กและกลุ่มเพื่อนไฮไซ เป็นเจ้าของร้าน
ร้านนี้ในวงการแฮกเกอร์ระดับโลกจะรู้จักกัน และชอบมาที่นี้เพื่อแลกเปลี่ยนความรู้ ไม่เฉพาะคนไทยแต่มีต่างชาติมาร้านนี้ด้วย อยู่ย่านสีลม เป็นตึกสูง 10 ชั้น ร้านอยู่ชั้นที่ 10

บิ๊ก สุธีย์  เจ้าของร้านซาโมกูระ  ผู้คลั่งไคล้การแฮก อยู่ในกลุ่มแฮกเกอร์ที่ชื่อ Dark Pilot  ที่มีเครือข่ายอยู่ทั่วโลก มีความต้องการให้กลุ่มแฮกเกอร์ของตนเป็นเบอร์ 1 ในวงการ  ที่มามีฐานะในระดับเศรษฐี มีธุรกิจที่ทำหลักของร้านอาหารและอสิงหาริมทรัพย์ ขายที่ดิน เช่าที่ดิน สร้างตึก คอนโด เป็นต้น
เป็นเพื่อนสมัยเรียนวิศวะเกษตร กับราเชน หนุ่ม

หนุ่ม ราเชน เพื่อนกับบิ๊ก ทำงานเป็นโปรแกรมเมอร์โรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล  ชอบมานั่งดื่มกินที่ร้านบิ๊กทุกๆ คืนวันเสาร์  เขาจบจาก MIT มหาวิทยาลัยชั้นนำของโลก ด้านซอฟต์แวร์ประยุกต์ เมื่อกลับมาถึงประเทศไทย มีบริษัทต้องการให้เขามาทำงานหลายที่ แต่ที่แรกที่เรียกเขาทำงานคือโรงพยาบาลสยามเฮลป็ฮอสพิทอล เขาไม่ได้คิดอะไรมากจึงทำงานมากว่า 5 เดือนแล้ว ในระหว่างที่ทำงานเขาได้รู้จักบริษัท Odyssey soft  ที่มาพัฒนาโปรแกรม ERP ให้ ทาง Odyssey soft สนใจในตัวเขา และเขาได้พบศิรินท์หญิงสาวที่เขาหลงรักมาในสมัยเรียนมหาวิทยาลัย

พุก  พีระวัฒน์ เป็นเพื่อนศิรินท์ (ริน)  เป็นชายแต่ค่อนไปทางผู้หญิง (เพศที่3) พุกมีฐานะยากจน อยู่ลำพังกับแม่ ที่แม่ไม่ได้ทำงานอะไร รายได้มาจากพุก และพุกเป็นหนี้นอกระบบอยู่ ที่เป็นหนี้ก็เพราะต้องการนำเงินไปรักษาดวงตาให้แม่ เมื่อทำการผ่าตัดเสร็จสิ้นแล้ว พุกกะว่าจะหาจ๊อบพิเศษทำเพื่อหาเงินคืนเนื่องจากดอกเบี้ยสูงมาก ทบต้นทบหน้าทบหลังทำให้พุกเริ่มหมดปัญญาชักหน้าไม่ถึงหลัง

เสี่ยขาว นักปล่อยเงินกู้นอกระบบ เป็นที่จักกันดีในย่านเมืองนนท์ ว่าเป็นคนที่ปล่อยเงินง่าย มีกลุ่มอัธพาลหัวไม้เป็นลูกน้องเสี่ยขาวมากมาย ไว้ทวงหนี้หากจ่ายชำระไม่ตรงเวลา
ที่สำคัญเสี่ยขาวเป็นลูกค้าที่โรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล มาตรวจสุขภาพทุกปีที่นี้

redFox องค์กรค้าอาวุธเถื่อน ที่มีอิธพลต่อกลุ่มนายทุนในหลายประเทศ เป็นองค์กรที่ร่ำรวยมาก

+++++++++++++++++++++++++++++++++++++++++++++++

 อ่านตอนจบที่  http://nontawattalk.sran.org/2015/06/hacker-here-4.html

สงวนลิขสิทธิ์ SRAN Technology (www.sran.net)
นนทวรรธนะ  สาระมาน
Nontawattana  Saraman

ผู้เขียน
11/05/58

Sunday, May 10

Hacker Here ตอนที่ 2

Digital Holes : ตอน Hacker Here ที่นี้มีแฮกเกอร์ ตอนที่ 2 

เวลาขณะนี้ 11:05 น. 
"ส่วนคุณนนท์ ภายใน 2 ชั่วโมงนี้หากคุณช่วยเราได้ ดังนี้
(1) Web Server อันมี Application ที่ ผอ. และคณะ จำเป็นใช้เพื่อสาธิตการให้บริการประชาชน กับมาใช้งานได้อย่างปกติ
(2) หน้าเว็บไซต์หลักของโรงพยาบาลกลับมาใช้งานได้ปกติ
(3) หาสาเหตุของการที่ Web Server ทำงานผิดปกติ
(4) แนะนำทางแก้ไขเพื่อไม่เกิดปัญหานี้อีก

ผมมี งบค้างท่ออยู่ จำนวนไม่มาก ประมาณ 40,000 บาท คุณจะขอมากกว่านี้คงไม่ได้เพราะทางผมมีให้แค่นี้ แต่หากคุณช่วยเราไม่ได้ตามข้อที่กล่าวมาเงินก้อนนี้จะจ่ายเพียงค่าน้ำมันให้คุณเท่านั้น ส่วนอาหาร น้ำดื่มนั้นวันนี้ผมเลี้ยงพวกคุณเอง โทษทีนะวงเงินนี้ผมอนุุมัติได้ เซ็นได้เลยถ้าไปมากกว่านี้เรื่องจะยาวแล้ว" องอาจ พูด ด้วยน้ำเสียงชัดเจน สมเป็นหัวหน้าแก๊ง

ธีรานนท์คิด "องอาจ นี้เขาชัดเจนดี ส่วนใหญ่ที่เจอให้เราทำก่อนทุกที งบประมาณค่าจ้างอะไรไม่เคยคุยกลางที่ประชุมให้คนอื่นรับรู้ด้วย ไม่ก็ตั้งงบปีหน้าไปโน้นเลย  หรือโดนใช้งานฟรี เสมือนมูลนิธิอย่างไงอย่างงั้น"

ธีรานนท์ กล่าวขึ้นมาว่า  "พวกเราได้เลือกมาอยู่ที่นี้แล้ว และทางคุณองอาจ ก็ไว้ใจให้เรามาทำงานนี้ ผมรับทำโดยไม่ต่อรองใดๆ"
"ภายใน 2 ชั่วโมง ต่อจากนี้ผมจะแก้ไขปัญหาที่พวกคุณประสบอยู่ให้กลับมาใช้งานได้อย่างปกติ"  ธีรานนท์ กล่าว

เมื่อทุกคนได้ฟังเช่น จากสีหน้าที่เคร่งเคลียด กลับเปลี่ยนเป็นมีความหวังขึ้น

ธีรานนท์กล่าว "เริ่มงานแจกแจงงานเป็น 2 ส่วน คือการ Recovery และ Analysis
(1) Recovery ให้หาจอมาต่อที่หน้าเครื่อง Web Server และให้ boot OS ผ่าน USB (เป็นเครื่องมือหากินของทาง Ghostnet Buster Team :GBT)
จากนั้นเมื่อเข้า OS (Operating System) ได้แล้ว  ทางเราจะทำการขอ cloning Harddisk เครื่องนี้ด้วย  เราจะไม่ทำอะไรกับเครื่อง Web Server จริง เผื่อว่าทางนี้ต้องการ
หาผู้กระทำผิดมาลงโทษตามกฎหมาย ก็จะได้คงเหลือหลักฐานทางดิจิทัลเพื่อให้ตำรวจได้
ส่วนนี้อ๊อด ลุยได้เลย"

(2) Analysis วิเคราะห์เส้นทางการติดต่อสื่อสาร และ export log จาก อุปกรณ์ Log management มาดูอย่างน้อยต้องดูย้อนหลังได้ 90 วัน ตามกฎหมายกำหนด
"ส่วน Analysis  ขอคนที่รู้แผนผังระบบเครือข่ายและการเชื่อมต่ออินเทอร์เน็ตทั้งหมด ของโรงพยาบาลที่นี้มา และ Log ที่คุณส่งค่ามามาจากอุปกรณ์ไหนบ้างนั้น มาคุยกับผม"
ธีรานนท์พูดต่อ

ธีรานนท์คนนี้ ทุกเช้า เขามักจะชอบมานั่งอ่าน Log เป็นประจำ ปกติเขาตื่นประมาณ ตี5 ของทุกวัน เริ่มต้นจากการอ่าน Log ที่เกิดจากระบบ Honeynet
ที่เขาสร้างขึ้นในหลายประเทศเป็น VPS กระจายไปที่อเมริกา อังกฤษ ญี่ปุ่น สิงค์โปร และประเทศไทย เขาสร้าง sandbox ประเภท malware analystic
เพื่อศึกษาการโจมตีทางไซเบอร์ (Cyber Attack) โดยเฉพาะรูปแบบการโจมตีที่เรียกว่า APT (Advance Presistance Threat)
ที่เขาสังเกตว่ามีมากขึ้นเรื่อยๆจากกองทัพไซเบอร์ไร้ที่ไร้ตัวตน (Anoymous) เมื่อพบ log file ที่มีรูปแบบที่น่าสนใจ เขาก็นำเข้าสู่กระบวนการวิเคราะห์ผ่าน Packet sniffer
แล้วเขานำมาเขียนเป็น signature เพื่อสร้าง rule ในการป้องกัน เช่น snort , suricata , bro-ids และ yara ซึ่งเขามีทักษะการเขียน rule ได้เป็นอย่างดี
รวมทั้งเขาอยู่ในกลุ่ม community IOC (Indicator of Compromise) ที่ทำให้เขารู้ว่า รูปแบบของโจมตีได้อย่างแม่นยำและถูกต้องมากขึ้น

ทั้งหมดนี้ถือว่าเป็นงานอดิเรกที่เขาด้วยความเต็มใจ และมีความสุขที่ได้ ได้เรียนรู้ อันสร้างความแข็งแกร่งในตัวเขาอย่างต่อเนื่องมาถึงทุกวันนี้
จนเขายึดเป็นอาชีพอันสุจริตที่หาเลี้ยงชีพตอนเองได้มาจนถึงทุกวันนี้

พูดง่ายๆว่าที่รายได้ส่วนหนึ่งให้บริษัท Ghostnet Buster Team (GBT) อยู่รอดได้ ก็มาจากเขาในการส่ง signature เข้าโรงงานอุตสาหกรรมด้านระบบรักษาความมั่นคงปลอดภัยทางข้อมูล
ให้กับบริษัทยักษ์ใหญ่ ซึ่งเป็นบริษัทข้ามชาตินี้เอง

++++++++++++++++++++++++++++++++
เสริม
Honeynet คือ การสร้าง Honeypot รวมกันให้กลายเป็นระบบเครือข่าย โดย Honeypot นั้นจะเป็นการสร้าง OS หรือ Application ที่รันอยู่ให้มีช่องโหว่ตาม
CVE (Common Vulnerability and Exposures หน่วยงานที่ประกาศและกำหนดหมายเลขช่องโหว่ที่ค้นพบ ส่วนใหญ่หาก CVE ประกาศแล้วหน่วยงานไหน
ที่ยังมีช่องโหว่นั้น ก็จะไม่มีความปลอดภัย เพื่อถือว่าช่องโหว่นี้เป็นที่รับรู้กันทางสาธาระแล้ว) honeynet ยังคงอยู่ในรูปแบบ VM (Virual Machine)
สร้างเครื่องเสมือนมากกว่า 1 เครื่องแล้วจำลองให้เป็นระบบเครือข่ายภายในคอมพิวเตอร์ตัวเดียวก็ได้ ซึ่งเป็นเทคนิคที่ธีรานนท์ ทำขึ้นในการติดตั้งหลายประเทศ

VPS: Virtual Private Server คือ VM ประเภทหนึ่งที่ผู้ให้บริการติดตั้งผ่านระบบ Cloud computer ให้เรา creat (สร้าง) จาก image OS ที่ต้องการแล้วรันในเครื่องพร้อมทั้ง
ค่า IP Address ที่เป็น Public เพื่อใช้ในการติดต่อสื่อสาร

snort : โปรแกรม IDS (Intrusion Detection System) เป็น Open source เป็นที่นิยมใช้งานมากที่สุด ปัจจุบันบริษัท SourceFire เป็นผู้ดูแลและ
ล่าสุดบริษัท Cisco บริษัทยักษ์ใหญ่ในการทำระบบเครือข่ายได้เข้ามาควบรวมกิจการกับ SourceFire ขึ้น มีการทำเป็นผลิตภัณฑ์อุปกรณ์ตรวจจับในเชิงพาณิชย์มากขึ้น  www.snort.org

suricata : โปรแกรม IDS(Intrusion Detection System) เป็น Open source ได้รับความนิยมมากขึ้นและการทำงานเหมือน snort การเขียน rule ก็เหมือนกันไว้เป็นการทดแทน
snort ได้ระดับหนึ่ง   www.suricata-ids.org

bro-ids : เป็นโปรแกรม IDS อีกประเภทหนึ่ง ซึ่งเป็นตัวที่เก่าแก่ที่สุดและมีพัฒนาการช้าที่สุด แต่ในช่วงปี 2011 เป็นต้นมาเริ่มได้รับความนิยมมากขึ้น ทางเลือกสำหรับ hardcore IDS เนื่องจาก rule ที่เขียนค่อนข้างอิสระและทำอะไรได้มาก เป็นตัวที่เล่นยากเอกสารอ่านยังถือว่าน้อยอยู่

ทั้ง 3 โปรแกรมส่วนใหญ่ใช้มาในงาน Network Security Monitoring (NSM)

yara : โปรแกรมวิเคราะห์พฤติกรรมการติดเชื้อมัลแวร์ (Malware) โดยสามารถเขียนเป็น rule base เพื่อเพิ่มการตรวจจับ เป็นพื้นฐานของโปรแกรมแอนตี้ไวรัสในยุคใหม่

sandbox : คือ การจำลองระบบปฏิบัติการเสมือนซ้อนเข้าไปกับระบบปฏิบัตการจริง (Operating system) ใช้ในการวิเคราะห์ว่าพฤติกรรมการต่างๆได้ดีโดยไม่มีผลกับระบบปฏิบัติการจริงที่เป็นอยู่ จึงนำมาเป็นตัววิเคราะห์พวก Malware และ ไวรัสคอมพิวเตอร์ ที่ใช้ในงานวิจัยและพัฒนา sandbox นำมาประยุกต์ใช้กับเทคโนโลยีการวิเคราะห์ Malware แบบไม่ต้องใช้ฐานข้อมูลจาก signature ได้

APT (Advance Presistance Threat) การโจมตีที่เจาะจงเป้าหมาย และมีจุดประสงค์ชัดเจนในการโจมตีเพื่อเข้าถึงระบบ เช่น ต้องการได้ข้อมูลที่สำคัญขององค์กร ขโมยข้อมูลเพื่อนำขายในตลาดมืด หรือเผยแพร่ทางสื่อออนไลน์เพื่อสร้างความเสียหายหรือการใช้ระบบเครือข่ายหรือเครื่องคอมพิวเตอร์แม่ข่ายที่สำคัญมาใช้งานเพื่อสร้างความเสียหายหรือโยนการกระทำความผิดนั้นให้องค์กรหรือหน่วยงานนั้น
ถือว่าเป็นภัยคุกคามที่มีแฮกเกอร์วางแผนอยู่เบื้องหลัง

sniffer คือโปรแกรมในการดักรับข้อมูลบนระบบเครือข่ายคอมพิวเตอร์  การใช้ sniffer สามารถมองเห็นข้อมูลที่ไม่มีการเข้ารหัสได้ทั้งหมด  ดังนั้นการตีความ sniffer
ต้องดูที่เจตนาผู้ใช้งาน หากต้องการใช้ sniffer เพื่อการวิเคราะห์ หรือจัดทำการเขียน signature ก็เป็นอาชีพที่ต่างประเทศทำกันมักจะมีมูลค่าในการทำงานในส่วนนี้พอสมควร
ส่วนเจตนาใช้ sniffer ดักจับข้อมูลที่เป็น plain text หรือไม่มีการเข้ารหัส  โดยมุ่งเน้นเป็นข้อมูลส่วนตัว หรือ ข้อมูลความลับ เช่น password ส่วนนี้จะเข้าข่ายการกระทำความผิดเกี่ยวกับคอมพิวเตอร์
ได้ ดังนั้นจึงต้องแยกแยะในการใช้งาน sniffer ด้วย

IOC (Indicator of Compromise) ค่าบ่งขี้เพื่อบอกได้ว่ามีการโจมตี (Cyber Attack) เกิดขึ้นจริง ซึ่งอาจนำค่า Log จากอุปกรณ์ พวก NSM หรือ SIEM /Log management มาเปรียบเทียบเหตุการณ์ที่เกิดขึ้นว่ามีโอกาสถูกโจมตีหรือไม่  ซึ่งค่า IOC เป็นการบ่งชี้ที่ค่อนข้างแน่ชัดว่าเกิดเหตุการณ์นั้นอย่างแท้จริง และยังสามารถระบุค่าไอพีแอดเดรสผู้โจมตีและเครื่องที่ถูกโจมตีได้อีกด้วย


++++++++++++++++++++++++++++++++++++++++

"ส่วนคุณองอาจ ช่วยกรอกข้อมูลบน Incident Response Report Form เพื่อเป็นหลักฐานว่ามีการปฏิบัติงานนี้ขึ้นมาแล้ว" ธีรานนท์ หยิบกระดาษในแฟ้มออกมาจากเป้สะพาย .. แล้วยื่นให้องอาจ กรอกข้อมูล


11:20 น.  ทุกคนรับแผนการของธีรานนท์

อนันต์นำอ๊อดไปต่อจอในห้อง IDC ที่อยู่ข้างๆ  ส่วนวิชัยถึงแม้จะดูเรื่องระบบ account username แต่เขาก็เป็นผู้รู้ช่องทางการติดต่อสื่อสารของโรงพยาบาลนี้ทั้งหมด และเขามีไฟล์แผนผังระบบเครือข่าย

"พี่เชิญทางนี้ครับ" วิชัยกล่าว แล้วพาธีรานนท์เข้าที่โต๊ะ
เปิด file Network diagram ที่มีการ update เมื่อวันที่ 3 กุมภาพันธ์ 2558

"เรามีเส้นทางเชื่อมต่ออินเทอร์เน็ต  2 เส้นทาง ทำเป็น Load balancer โดยทำการเชื่อมต่ออินเทอร์เน็ตบริษัท True Internet ใช้เทคนิค DSL และ 3BB Broadband เป็น FTTX
ส่วน Broder Network เราทำ Load Balancer ผ่านอุปกรณ์ Firewall แล้ว router ที่ทาง ISP ให้มาเราทำเป็น Bridge mode การ Authentication PPPoE เราให้ Firewall จัดการ
เรามี Firewall 2 ตัว ทำงานแบบ HA (High Availability) แบบ active - active  มีค่า IP Address ที่เป็น Public 2 ค่าคือที่ได้จาก True และ 3BB นั้นเอง

Firewall เราทำหน้าที่แบ่งระบบเครือข่าย ออกเป็น WAN  LAN และ DMZ   ส่วน WAN ของเรามีการให้ remote VPN จากภายนอกเข้าได้  แต่จำกัดสิทธิมาก และมีการระบุตัวตน two factor
โดยต้องใช้อุปกรณ์ token มาใช้ร่วมด้วย ส่วน LAN เราประกอบด้วย 4 VLAN ตามแผนกงานในโรงพยาบาล และ DMZ เรามีติดต่อโลกภายนอก (อินเทอร์เน็ต) อยู่ 4 เครื่อง  และ 6 เครื่อง Server นั้นอยู่ใน LAN ที่เป็น Secure zone "  วิชัย กล่าวโดยไม่ต้องใช้โพยใดๆ
ธีรานนท์ ถามต่อ "ที่โรงพยาบาลนี้มีสาขาไหมครับ คือมีอยู่ที่อื่นนอกจากที่นี้ไหมครับ"
วิชัยตอบ "ตอนนี้ยังไม่มี มีที่นี้ที่เดียวแต่ปีหน้าเรามีแผนที่ต้องเชื่อมระบบกับที่ บางนา เราสร้างตึกใหม่เสร็จ เป็นอาคาร Hi-tech ใช้เงินลงทุนกว่า 3,000 ล้านบาท
แต่ระบบสื่อสารยังไม่เชื่อมและยังไม่เปิดใช้บริการครับ อยู่ในระหว่างก่อสร้าง เมื่อสร้างเสร็จทางโรงพยาบาลมีแผนให้เป็น hub ด้านการรักษาพยาบาลรองรับ AEC เพราะลงโรงพยาบาลอยู่ใกล้
สนามบินสุวรรณภูมิครับ" วิชัยกล่าว

"โอ้ !!! ผมเคยเห็น" อ๊อด แทรก ระหว่างที่อ๊อดจัดเตรียมเครื่องเพื่อเข้าไปห้อง IDC กับ อนันต์  อ๊อดเดินหย่องๆ ราวกับพิงค์แพนเตอร์หนีเมีย มาแอบฟังการสนทนา "ผมเคยขับรถผ่าน ผมนึกว่าห้างสรรพสินค้าใหญ่มากครับ ไม่น่าเชื่อว่าเป็นโรงพยาบาล" อ๊อดกล่าว  และเดินเข้าห้อง IDC ต่อไป

ธีรานนท์ ถามต่อ "ช่วยขยายความโซนทั้ง 4 ที่ถูกแบ่งด้วย VLAN ได้ไหมครับ" พร้อมใช้ปากกาจดบันทึกข้อมูลลงในสมุดโน้ต


วิชัย ผมคงบอกได้คราวๆ นะครับ คือไม่บอกเจาะจงเป็นค่าไอพี แต่จะบอกเป็นช่วงไอพีแล้วกัน 4 โซนนั้น

ประกอบด้วย
Zone 1 System Admin คือของห้องนี้  โซนนี้มี Policy ที่ค่อนข้างเปิด เพื่อให้พวกเราทำงานได้อย่างสะดวกครับ   IP อยู่ที่ 172.16.5.0/24
และเรานำ Server สำคัญมาอยู่ที่นี้ด้วย

Zone 2 Out Source  ประกอบด้วย 2 ย่านไอพี แต่เข้าถึงกัน คือสำหรับโปรแกรมจากบริษัทนอกมาพัฒนาซอฟต์แวร์ IP อยู่ที่ 192.168.1.0/24 และ กลุ่มงาน Help Desk support
อยู่ที่ 192.168.2.0/24  Policy มีความเข้มข้นขึ้นครับคือมีการจำกัดสิทธิในการเข้าถึงข้อมูล

Zone 3 พนักงานทั่วไปของโรงพยาบาล เช่น ทรัพยากรบุคคล (10.10.1.0/24) , บัญชี (10.10.2.0/24) , เจ้าหน้าที่ธุรการ (10.10.3.0/24) , พยาบาล (10.10.4.0/24)
ตรงนี้เราคุมเข้มครับแม้แต่ USB ก็เสียบไม่ได้ ลงซอฟต์แวร์อะไรไม่ได้เลย  เรากลัวเรื่องไวรัสคอมพิวเตอร์ IP 10.10.10.0/24

Zone 4 สำหรับผู้บริหาร รวมทั้งคุณหมอ ที่เป็นพนักงานประจำที่นี้และไม่ประจำ (172.16.2.0/24)  ตรงนี้เราค่อนข้างปล่อยเหมือนกันครับ ไม่อยากมีปัญหากับท่านๆ อิอิ

แต่ละโซนเราใช้ subnet  เป็น class C หมดครับ และทุกโซนถูกควบคุมด้วย AD (Active Directory) ด้วยกัน 2 ตัวทำ HA (Hight Availability)  AD ตัวนี้ใช้ Windows Server 2008
กำหนด Policy โดยผ่านการ Audit และการประเมินความเสี่ยงตาม Compliance HIPAA ด้วยครับ
วิชัยตอบ ราวกับร่วมอยู่ในการทำงานมาโดยตลอด
ธีรานนท์ ทำการขีดเขียนวาดรูปตามความเข้าใจ และนั่งนิ่งพิจารณาถึง flow ของการติดต่อสื่อสาร

++++++++++++++++++++++++++++++++++++++
เสริม
HIPAA Compliance คือ มาตรฐานด้านความมั่นคงปลอดภัยทางข้อมูลประเภทสำหรับผู้ให้บริการทางการแพทย์ซึ่งในประเทศสหรัฐอเมริกาจัดเป็นกฎหมายที่ต้องให้ความสำคัญข้อมูลส่วนบุคคลสำหรับการแพทย์การรักษาพยาบาล เช่น ข้อมูลทางการแพทย์ กรุ๊ปเลือด รหัสทางพันธ์กรรม ซึ่งนำเข้าสู่ระบบคอมพิวเตอร์และเป็นข้อมูลที่ต้องมีระบบรักษาความมั่นคงปลอดภัยที่ดีพอ เพราะบางข้อมูลอาจส่งผลต่อชีวิตของผู้ใช้บริการได้ กฎหมายนี้ชื่อเต็มว่า "Health Insurance Portability and Accountability Act" เมืองไทยยังไม่มีการบังคับใช้มาตรฐานตัวนี้

ห้อง IDC : Internet Data Center เป็นห้องที่สำคัญคือเป็นศูนย์กลางการเชื่อมต่อข้อมูลทั้งหมดของโรงพยาบาลนี้ ทั้งที่เก็บ Server เครื่องแม่ข่ายที่สำคัญ ระบบอินเทอร์เน็ต และการสื่อสารทั้งชุมสายที่โทรติดต่อภายในหน่วยงาน รวมอยู่ที่นี้

++++++++++++++++++++++++++++++++++++++

แล้วธีรานนท์ ถามต่อว่า "แล้วระบบ Wifi ล่ะครับ?"
อ๋อผมลืม วิชัยกล่าว "Wifi ทางผู้บริหารต้องการให้เป็น Free Wifi เพื่อให้บริการลูกค้าที่มาใช้งานโรงพยาบาลของเรา "  ทางเราจะแยกออกเป็นอีกระบบเลยครับ โดยผ่าน Firewall แยกแบบเดียวกับ DMZ และใช้ AD อีกตัวโดยใช้ตัว Wifi Controller มาบริหารจัดการ  เราแบ่ง Wifi 2 zone คือ โซนพนักงานตัวนี้จะไปเชื่อมกับ VLAN โซนที่ 3  แต่จะได้ IP ในช่วง 10.10.5.0/24 เพราะโซนนี้เราคุมเข้ม ส่วนพวก Free wifi ไปอยู่ใน ช่วงIP 10.10.6.0/24  ก็ค่อนข้างปล่อยครับลูกค้าเรามี Devices ที่หลากหลายเราไม่สามารถบังคับให้มา join AD ของเราได้
ดังนั้นตัวนี้จึงค่อนข้างปล่อย

แล้วธีรานนท์ ถาม แล้วโซน Free wifi ของเรานี้เรามี NIDS/IPS ตัวตรวจจับไหมครับ
วิชัยตอบ คนที่มาขาย Wifi Controller บอกว่ามีนะครับ Access Point ที่ติดตั้งตามจุด สามารถ Alert การโจมตีได้ โดยส่งค่าไปที่ Wifi Controllerจากนั้น Wifi controller ของเราจะส่ง syslog ไปเก็บที่ Log Management ที่พี่องอาจ ดูอยู่ครับ แต่อย่างไรผมไม่เคยใช้งานตัวนี้เพราะไม่ได้อยู่ในคณะกรรมการตรวจรับ Wifi controller นี้ครับ เป็นอีกชุดหนึ่ง  เราซื้อมาได้เป็นปีแล้วครับ พี่องอาจอยู่ในคณะกรรมการ

"แล้วตัว Web Server ที่มีปัญหานั้นอยู่ DMZ โซนหรือเปล่าครับ" ธีรานนท์ถามต่อ
ใช่ครับ DMZ ก็ประกอบด้วย VPN Server , Mail Server , Web Server  อีกตัวคือ NIDS โดยเราใช้ตัวนี้ทำการ passive mode ทำการสำเนาข้อมูลทุก VLAN เพื่อ monitor ข้อมูลจราจรคอมพิวเตอร์ครับ เป็นการดูข้อมูลภายในองค์กร

"คุณมี Web Application Firwall (WAF) ไหม ?"  ธีรานนท์ ถามต่อ
"เราใช้ Firewall ตัวละ 7 หลักของเราป้องกันพวกนี้ได้อยู่แล้วครับ มันเป็นระดับ Application Firewall"
วิชัยตอบ

แล้วคุณมีการประเมินความเสี่ยงหาช่องโหว่ที่พบบ่อยแค่ไหน ? คือมี VM (Vulnerability Management) ในองค์กรหรือเปล่า ? ธีรานนท์ถาม
"เราจ้างบริษัทข้างนอกมา Audit ให้เราครับ ส่วนการสแกนช่องโหว่เราทำ ปีละ 2 ครั้งสำหรับ Server ที่สำคัญ อนันต์ดูอยู่ โดยการสแกนนั้นเราจ้างมืออาชีพมาทำให้ครับ ทั้งทำ Penetration test และ Vulnerability Scanner เท่านั้นครับ" วิชัย กล่าวต่อ

ธีรานนท์ ถาม "แล้ว Log Management อยู่โซนไหนครับ" วิชัยบอกว่า "อยู่ โซน System Admin แต่เราตั้ง subnet อีกช่วงหนึ่ง เป็น 172.16.99.0/24"
ติดต่ออินเทอร์เน็ตได้หรือเปล่าเครื่องนี้  ธีรานนท์ถามต่อ
วิชัยบอกว่า "จำเป็นต้องให้ติดต่อได้ เนื่องจาก Time sync เราตั้ง server เป็นสถาบันมาตรวิทยา"

"แล้ว System Admin โซนนี้ประกอบด้วย Server อะไรบ้าง พอบอกได้ไหม ?" ธีรานนท์ ถามอย่างเกรงใจ

วิชัยตอบทันที  ก็มี Log management server 1 ตัว ,  AD Server 2 ตัว , ERP Server 1 ตัว , Wifi Controller 1 ตัว , Anti-virus server 1 ตัว

"คุณใช้อะไรกำหนด AAA ใช้ NAC (Network Access Control) ไหม ?" ธีรานนท์ ถาม
"เราใช้ VLAN และ AD คู่กันในการกำหนด AAA ก็น่าจะเพียงพอแล้ว ผมกับพี่องอาจหารือกันแล้วว่าจะไม่ใช้ NAC" วิชัยตอบ

"ระบบ Authentication (ระบบระบุตัวตนผู้ใช้งาน) นั้นผ่าน LDAP หรือเปล่าครับ" ธีรานนท์ถามต่อ
"ใช่ครับ เราใช้ LDAP จาก AD (Active Directory) เครื่องคอมพิวเตอร์ทุกเครื่องที่เป็น Client ต้องทำการ Join Domain มาที่นี้ครับ" วิชัยกล่าวต่อ ส่วน รายชื่อพนักงานทั้งหมด วันเวลาที่ใช้งาน ถูกเก็บบันทึกไว้ที่ AD ครับ ส่วน Log file ส่งค่า syslog ไปเก็บที่ Log Management ของพี่องอาจ"


ธีรานนท์ทำการบันทึก พร้อมทั้งพอทราบแล้วว่าที่นี้อ่อนแอส่วนใด

++++++++++++++++++++
เสริม
DMZ : (Demilitarized Zone) คือโซนที่มีการติดต่อระหว่างอินเทอร์เน็ตและเครือข่ายภายในองค์กร ดังนั้นโซนนี้ต้องการความปลอดภัยสูง 
AD : (Active Directory) คือ ตัวควบคุมนโยบายในการใช้งานระบบสารสนเทศ โดยกำหนดสิทธิการใช้งาน การเข้าถึงข้อมูล และการใช้โปรแกรม เป็นเทคโนโลยีของบริษัท Microsoft 

LDAP (Lightweight Directory Access Protocol) อ่านว่า แอล-แด็บ เป็น Protocol ชนิดหนึ่งที่ใช้เสมือนฐานข้อมูลเก็บรายชื่อผู้ใช้ ระดับการเข้าถึงใช้งาน ประเภทการใช้งาน ใช้คู่กันกับ AD (Active Directory) สำหรับหน่วยงานไหนที่ใช้ AD อยู่แล้วจะมีการกำหนดสิทธิและนโนบายการเข้าถึงข้อมูลจากจุดเดียวได้

ซึ่ง AD นั้นในประเทศไทยจะมีเฉพาะหน่วยงานขนาดใหญ่ใช้งานกัน เนื่องจากราคาค่อนข้างสูง

Vulnerability Management : คือกระบวนการประเมินความเสี่ยงระบบสารสนเทศโดยการใช้เทคโนโลยีท VA (Vulnerability Scanner) เพื่อค้นหาช่องโหว่ และเมื่อพบช่องโหว่จะสามารถแจกแจงและหมอบหมายงาน (assign) ให้ผู้ที่เกี่ยวข้องและมีหน้าที่รับผิดชอบงาน (เพื่อเปิดจ๊อบ) ได้ทำการป้องกันปิด patch อันอาจจะทำให้เกิดความเสียหายได้ เพื่อให้ระบบมีความมั่นคงปลอดภัยอย่างต่อเนื่อง

Penetration test คือบริการทดสอบเจาะระบบโดยเสมือนเป็นแฮกเกอร์ที่จะสามารถสร้างความเสียหายให้กับองค์กร ทุกๆปี หน่วยงานขนาดใหญ่จะมีการจ้างเจาะระบบเพื่อดูส่วนงานที่เกิดขึ้น และที่สำคัญนั้นมีความเสี่ยงที่ถูกเจาะระบบได้หรือไม่ ?

AAA คือ Authentication (การระบุตัวตน) Authorization (การระบุสิทธิการใช้งาน) Accounting (รายชื่อผู้ใช้งาน)  และมีอีก A คือ Auditing (ประวัติการเก็บบันทึกการใช้งาน Log นั้นเอง) 

NAC (Network Access Control) เป็นเทคโนโลยีที่ใช้ในการกำหนดค่า AAA  โดยมีทั้งเป็นแบบฮาร์ดแวร์ติดตั้งแทน Switch หรือเป็นซอฟต์แวร์ก็ได้ ปัจจุบัน NAC มาเชื่อมกับเทคโนโลยีที่ใช้ตรวจจับและวิเคราะห์ Malware ราคายังสูงอยู่

++++++++++++++++++++++


ธีรานนท์ถาม "แล้ว 2 คนที่นั่งอีกห้องหนึ่งด้านหลังคุณ เป็น System admin ด้วยหรือเปล่าครับ"
พร้อมหันไปดู ซึ่งระยะห่างประมาณ 30 เมตรโดยประมาณ แล้วมีม่านพลาสติกกั้นเป็นริ้วๆ และกระจกใสกั้น มองเห็นได้ด้วยตาเปล่า

วิชัยตอบ "2 คนนั้นเป็น out source มาเขียนโปรแกรม ERP ให้กับทางโรงพยาบาล  มาจากบริษัท Odyssey Soft Corporation
ที่นั่งหันหน้ามาทางห้องพวกเราชื่อ ศิรินท์ หรือ ริน  และที่หันข้างให้พวกเรา ชื่อ พีระวัฒน์ หรือ พุก เขาทั้ง 2 อยู่ที่นี้มากว่า 3 เดือนแล้ว"

ธีรานนท์ กล่าว "Odyssey Soft ที่ได้งานทำฐานข้อมูลบัตรประชาชนทั่วประเทศไปหรือเปล่าครับ ?"

"ใช่ครับ" วิชัย ตอบ

"พี่ทำไง เสียบ Thumb drive เข้าที่ช่องเสียบของ Server แล้วแป๊บเดียวก็เข้าระบบได้" อนันต์ถามอ๊อด ด้วยความประหลาดใจ

"เราอยู่หน้าเครื่องแล้วนี้ครับ .. เราจะทำอะไรกับมันก็ได้" อ๊อดตอบ
"Thumb drive  มีโปรแกรมอะไรอยู่หรือเปล่าครับ" อนันต์ถาม
อ๊อดกำลัง recovery user root  แล้วตอบว่า "ผมจัดคอร์สสอนเรื่องนี้อยู่ครับ สนใจมาเรียนกับผมป่ะ ลงชื่อได้ ผมให้ราคาพิเศษเลยล่ะ" อ๊อดตอบ

อนันต์ยืนนิ่ง  ^_^!

"เออพี่ผมไม่ค่อยมีตัง เรียนฟรีได้ป่ะครับ ผมอยากเก่งเหมือนพี่นะครับ"

อ๊อดไม่ตอบอะไร

จากนั้นอ๊อดก็กล่าวว่า "ผมตั้ง password root ใหม่ให้คุณนะคุณจดไว้หน่อย รหัสผ่านที่ดีควรมีอักขระพิเศษมีความยาวอย่างน้อย 8 ตัว"

ขณะเดียวกัน อ๊อด หยิบตัว cloning hard disk เสียบต่อเข้าที่ server

แล้วอ๊อดก็พิมพ์แป้นคีย์บอร์ดอย่างว่องไว จนผมมองไม่ทัน command  line ล้วนๆ อนันต์จ้องมองด้วยความอะเมซิ่ง ราวกับบีโธเพน บรรเลงเปียโน


เวลาผ่านไปอย่างรวดเร็ว 12:18 นาที
cat /etc/passwd

nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
libuuid:x:100:101::/var/lib/libuuid:
syslog:x:101:104::/home/syslog:/bin/false
messagebus:x:102:105::/var/run/dbus:/bin/false
sshd:x:103:65534::/var/run/sshd:/usr/sbin/nologin
s1n3ad:x:1001:1001:s1n3ad team,101,,:/home/s1n3ad:/bin/bash
mysql:x:105:113:MySQL Server,,,:/nonexistent:/bin/false
dnsmasq:x:106:65534:dnsmasq,,,:/var/lib/misc:/bin/false
bind:x:107:114::/var/cache/bind:/bin/false

"ผมเจออะไรแปลกๆ แล้ว" อ๊อดกล่าว

"พี่นนท์ เชิญทางนี้หน่อย" เสียงอ๊อด เดินออกมาจากห้อง IDC  แล้วกล่าวต่อว่า
"ผมเข้าเครื่อง Web Server ที่ถูก Hack ได้แล้วครับ และกำลัง cloning Hard disk อยู่

สิ่งที่พบคือมี username ประหลาด ที่อนันต์ และพี่องอาจไม่รู้จักในเครื่องนี้มาก่อนครับ"
อ๊อด พูด
"Username อะไร ?" ธีรานนท์ ถามต่อ

"ซินแบด" และเขียนลงกระดาษให้ว่า s1n3ad" อ๊อดพูด พร้อมเขียนชื่อให้

               "s1n3ad"


คำถาม : ระบบเครือข่ายที่วิชัยได้อธิบายท่านที่เป็นผู้ดูแลระบบท่านคิดว่ามีส่วนไหนที่มีการออกแบบระบบที่มีความเสี่ยงบ้าง ? เพราะเหตุใด และควรแก้ไขอย่างไร ?

แนะนำตัวละครเพิ่มเติม

ธีรานนท์ หรือ นนท์ ผู้ก่อตั้ง Ghostnet Buster Team บุคคลิก เขาเป็นสันโดษ ไม่ใช่นักแสวงหา ผิวขาว รูปร่างสันทัด อายุประมาณ 40 ปี  มีความสนใจในการเฝ้าสังเกตพฤติกรรมการโจมตีทางไซเบอร์ (Cyber Attack) โดยการติดตั้ง Honeynet  ด้วยงบประมาณส่วนตัวในประเทศชั้นนำ เพื่อทำการเขียน signature ส่งให้กับบริษัทยักษ์ใหญ่ด้านระบบรักษาความมั่นคงปลอดภัยข้อมูลข้ามชาติ เป็นรายได้หลักของบริษัทที่พอยังชีพทุกชีวิตอยู่รอดได้ เขาติดตามดูข้อมูลจราจรคอมพิวเตอร์ (Data Traffic) ที่ผ่าน Honeynet ของตัวเขาเป็นประจำ จนแยกไม่ออกระหว่างงานที่ทำ หรือเป็นงานอดิเรก ผมเขาทำตลอดไม่มีคำว่าเหนื่อยดั่งที่เขาเคยกล่าวว่า "ตัวผมเองก็เปรียบเสมือนนักดูดาวบนท้องฟ้า ที่เฝ้าสังเกตการเปลี่ยนแปลง  ท้องฟ้าไม่ต่างอะไรกับอินเทอร์เน็ต ไอพีแอดเดรสไม่ต่างอะไรกับหมู่ดวงดาว ในการมองเห็นของเรา สัมผัสได้ถึงการก่อตัวขึ้น ตั้งอยู่ และดับไป เสมอ"

อนุทิน หรือ อ๊อด  พนักงาน Ghost Buster Team ที่มีความสามารถในหลายเรื่อง แต่เขาคือ System Admin ชั้นครู บวกกับมีความรู้ด้านโปรแกรมมิ่งอีกด้วยส่งเสริมกัน โดยเฉพาะพวก Web Application เป็นคนรูปร่างท้วม กินเก่ง อ๊อดแถเก่งอีกด้วย เป็นคนมีไหวพริบ การพูดของเขามีความจริงปนความเท็จ แต่อย่างไรก็ตามเป็นคนที่มีจิตใจดีไว้ใจได้ และมีฝีมือหาตัวจับยากคนหนึ่งประสบการณ์สูง และมี Certification จากต่างประเทศ  ชอบรับจ๊อบ (Jobs) นอกเป็นอาจิณ โดยการไปเป็นมือปืนรับจ้างในการ Implementation Web Application Security และ Firewall โดยเรียกใช้งานอยู่บ่อยๆ

วิชัย : พนังาน System Admin ผู้ดูแลระบบรายชื่อพนักงานทั้งหมดของโรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล เขาเป็นลูกชายของบอร์ดบริหารโรงพยาบาลที่มีบารีมากคนหนึ่งของโรงพยาบาล สมัยมัธยมปลายเขาเคยได้เหรียฐทองโอลิมปิก ด้านคอมพิวเตอร์ ซึ่งสร้างชื่อเสียงให้กับประเทศไทย ถึงแม้ที่บ้านอยากให้เขาเป็นหมอเหมือนกับคุณพ่อแต่ด้วยความอัฉริยะของเขาทำให้เปลี่ยนให้มาเรียนสายคอมพิวเตอร์ในระดับอุดมศึกษา เขารู้เรื่องระบบเครือข่ายที่นี้เป็นอย่างดี

บริษัทโอดิสซี่ซอฟต์ (Odyssey soft)  เป็นบริษัทซอฟต์แวร์เฮ้าส์ ที่ได้รับงานโครงการภาครัฐบาลเป็นจำนวนมากถือว่าเป็นบริษัทยักษ์ด้านการพัฒนาซอฟต์แวร์ (ในละคร)

ศิรินท์ หรือ ริน เป็นโปรแกรมเมอร์บริษัทโอดิสซี่ซอฟต์ เป็นผู้หญิงที่มีบุคคลลิกเรียบร้อย เงียบขรึม หน้าตาดี ผิวขาว ไว้ผมหน้าม้า และชอบใส่รองเท้าส้นสูง แต่งตัวเก่ง แลดูไม่เหมือนเป็นโปรแกรมเมอร์ หากใช่เป็นพนักงานขายสินค้าคงขายดี เป็นที่หมายปองของหนุ่มๆแถวนี้มากมายในช่วงรับงานเขียนโปรแกรมที่นี้

พีระวัฒน์ หรือ พุก เป็นโปรแกรมเมอร์บริษัทโอดิสซี่ซอฟต์ เป็นผู้ชายไว้ผมยาว แต่มัดผมไว้ ออกกระตุ๊งกระติ๋ง ทำตัวเหมือนผู้หญิง
ทั้ง 2 คนนี้หน้าที่มาเขียนโปรแกรม ERP ในส่วนแก้ไขปรับปรุงระบบให้กับทางโรงพยาบาลมากว่า 3 เดือนแล้ว คงเป็นระดับหัวกระทิของบริษัทจึงส่งมาแก้ไขปัญหานี้

โรงพยาบาลสยามเฮ้ลธ์ฮอสพิทอล (Siam Health hospital) เป็นโรงพยาบาลเอกชนที่ใหญ่ที่สุด และมีลูกค้าระดับ VIP ของประเทศมาใช้บริการที่เป็นจำนวนมาก ด้วยบริษัทมีงบประมาณสูงจึงดึงหมอเก่งๆแนวหน้าในประเทศมาทำงานที่นี้ได้



----------------- โปรดติดตามตอนต่อไป ------------------------

ตอนที่ 3 ที่นี้มีแฮกเกอร์ http://nontawattalk.blogspot.com/2015/05/hacker-here-3.html


+++++++++++++++++++++++++++++++++++++++++++++++

สงวนลิขสิทธิ์ SRAN Technology (www.sran.net)

นนทวรรธนะ  สาระมาน
Nontawattana  Saraman

ผู้เขียน
08/05/58

Thursday, May 7

Hacker Here ? ที่นี้มีแฮกเกอร์ ? ตอนที่ 1


"Digital Holes : ดิจิทัลโฮลส์"

นิยายเชิงสืบสวนทางด้านเทคโนโลยี ที่ต้องเป็นแนวทางนี้ก็เนื่องจากเทคโนโลยีนั้นได้มีอิทธิพลต่อการใช้ชีวิตประจำวันเราโดยเฉพาะคนเมืองชนิดที่มีแนวโน้มสูงขึ้น และเริ่มกระจายตัวอย่างรวดเร็วไปยังต่างจังหวัดโดยเฉพาะโทรศัพท์มือถือและอินเทอร์เน็ตเป็นส่วนหนึ่งในชีวิตเราตั้งแต่ตื่นนอนไปจนถึงเข้านอน เราถูกรายล้อมไปด้วยเทคโนโลยี จนเกิดเป็นปรากฎการณ์ที่เรียกว่า "สังคมก้มหน้า" ที่อยู่กับหน้าจอโทรศัทพ์มือถือ และทำงานหลังขดหลังแข็งอยู่หน้าจอคอมพิวเตอร์ เป็นต้น

จุดเริ่มต้นของการเขียนครั้งนี้คือผมเห็นว่าหนังสือที่ให้ความรู้ และมีความเกี่ยวข้องกับการสืบสวนทางเทคโนโลยี ที่มีเนื้อหาสาระด้วยการอธิบายเทคนิคที่เป็นจริงนั้นมีน้อยอยู่ ส่วนใหญ่เกิดจากจิตนาการของผู้เขียนผสมกับความจริงบางแต่น้อย จนไม่สามารถนำมาเป็นกรณีศึกษา (case study) ได้นั้น ซึ่งทำให้ผู้อ่านได้เพียงความบันเทิง สิ่งที่อยากได้คือ เป็นหนังสือที่อ่านแล้วได้ทั้งความบันเทิงและได้ความรู้ และความรู้ที่เป็นสิ่งที่เกิดจากความเป็นจริง เมื่ออ่านแล้วสามารถนำไปใช้เป็นข้อสังเกตทั้งการทำงานด้านการป้องกันและในด้านการสืบสวนได้จริง

เพื่อเป็นการทบทวนประสบการณ์ที่ผ่านมาที่ตนเองได้มีโอกาสไปร่วมแกะรอยค้นหา ที่ผ่านมาแล้ว เพื่อไม่ให้หลงลืมได้ จึงต้องมาทำการบันทึกและเขียนขึ้นมา จึงปั่นเวลามาเขียนขึ้นตั้งใจไว้ว่าจะมีทั้งความบันเทิงผสมสาระความรู้จากประสบการณ์ที่ผมมีให้อยู่ในชุด "Digital Holes" นี้ขึ้น โดยทั้งตัวละครและสถานที่นั้นเป็นการสมมุติขึ้นจากผู้เขียนเองทั้งสิ้น
ผมเริ่มคิดและทำสิ่งนี้เมื่อวันที่ 4 พฤษภาคม 2558 และรวบรวมข้อมูลเพื่อคิดและเขียนตามลำดับ

Nontawattana  Saraman

-----------------------------------------------------------------------------------------


Digital Hole : Hacker Here ? ที่นี้มีแฮกเกอร์ ?

             กรุงเทพฯ ในเวลาตีสามของวันที่ 6 พฤษภาคม 2558
..ฝนกำลังตก ... เสียงของน้ำฝนกระทบกับกันสาดที่ยื่นออกมาภายนอกห้องนอน ทำให้ผมรู้สึกตัว

ผมชื่ออนันต์ อายุ 27 ปี  ผิวดำแดง ตรงสเป็คสาวญี่ปุ่น รูปร่างสันทัด สูง 182 cm เป็นหนึ่งในทีมงานที่ได้จัดทำ (Implementation) ระบบรักษาความมั่นคงปลอดภัยทางข้อมูลของโรงพยาบาลชื่อดังย่านพระราม 6  ถึงแม้จะเปิดแอร์อยู่ แต่เสียงฝนก็ดังทำให้ ผมรู้สึกตัวตื่นขึ้นมา ซึ่งเวลาในขนาดนั้นคือตีสามสี่แปดนาที  3:48                                                                                                                                                                                                
อนันต์หันไปหยิบมือถือที่มีแบตเตอรี่ยังเหลือเพียง 12% ขึ้นสีแดง ที่วางบนหัวเตียง เหลือบเห็นข้อความเตือนที่ยังไม่ได้เปิดอ่าน
จำนวน 3  รายการ ผ่านทางอีเมลล์ว่าระบบที่ดูแลอยู่มีการ Login ที่ผิดพลาด (Login fail)
เกิน 3 ครั้งติดต่อกัน การ login ไม่สำเร็จครั้งล่าสุดที่แจ้งเตือน เป็นเวลา 23:19
ของวันที่ 5 พฤษภาคม 2558
"Firewall ที่เราใช้อยู่คงยับยั้ง (Denny IP) ผู้บุกรุกไปแล้ว" อนันต์คิดพร้อม รำพึงต่อว่า "ไว้เช้าแล้วจะรีโมตเครื่องเข้าไปดู Logfile ขอนอนต่อแล้วกัน" ทั้งหาวต่อเนื่อง
จากนั้นก็ลุกขึ้นเปิดไฟข้างเตียงนอนเพื่อชาร์ตมือถือ ด้วยลมเย็นสบาย และมีเสียงฝนกระทบพื้นห้องป็นจังหวะเสียงพรึมพรั่มต่อเนื่อง สักพักหนึ่งอนัตต์
ก็ได้เคลิ้มหลับไป โดยที่ไฟข้างหัวเตียงไม่ได้ปิด

7:15 น.  แสงแดดส่องแสงรอดช่องหน้าต่างข้างเตียงนอน ส่องแสงลงมา บ่งบอกได้ว่าเช้าแล้ว อนันต์ได้เปิดม่านข้างเตียงเห็นท้องฟ้าใสเหมือนไม่มีแววว่าฝนได้ตกเมื่อคืนนี้เลยแม้แต่น้อย

"อากาศวันนี้ช่างสดใสดีจัง"  อนันต์ได้ปิดไฟที่เปิดตั้งแต่ตีสามกว่า แล้ว
 ได้เวลาที่ต้องแต่งตัวไปทำงาน ที่ทำงานของอนันต์อยู่ไม่ไกลจากที่พัก อนันต์เดินทางไปทำงานด้วยจักรยาน ชีวิตแบบคนเมืองเต็มรูปแบบ ขณะที่ปั่นอยู่นั้นอนันต์ยังครุ่นคิดถึง
การ Login fail ที่ได้รับมา ข้อความนั้นบอกว่าเพียงมีการ Login ผิดจาก IP Address 77.247.181.162 เวลา 23:19:54 5/05/58

7:35 น จอดรถจักรยานที่หน้าตึกที่ทำงาน แล้วเดินทางไปทานอาหารเช้าเราเริ่มต้นที่โรงอาหารภายในโรงพยาบาล

"สวัสดีครับ" อนันต์กล่าว เมื่อพบ ศิรินท์  หญิงสาวที่มาจากบริษัท Out source ที่ซอฟต์แวร์ประเภท ERP ที่ Implement ไม่เสร็จดีมากว่า 3 เดือนแล้ว

 "อยากได้ไลน์ไอดีเธอจัง น่ารักดี จะส่งสติ๊กเกอร์น่ารักๆ ให้ทุกวันเลย" อนันต์คิดในใจ  เราพบกัน
บ่อยแต่แทบไม่ได้คุยกัน
"... อาหรายหว่า... โลกนี้ไม่เป็นธรรมสำหรับคนปอนๆ แบบเราเสียเลย" อนันต์บ่น

ผมนะรู้จักชื่อศิรินท์ ชื่อเล่นว่า ริน
นั่งทำงานอยู่ด้านหลังห้องผม เป็นห้องของโปรแกรมเมอร์จากบริษัทใหญ่ที่รับงานจากโรงพยาบาลไป เราจะเจอกันส่วนใหญ่ช่วงพักทานอาหารเที่ยง
โรงอาหารที่นี้กว้างก็จะจริงแต่บังเอิญเจอกันทุกที ส่วนช่วงเช้านี้ถือว่าวันนี้โชคดีที่พบเธอ  ผมมีกำลังใจขึ้นอีกนิด อนันต์แอบยิ้ม ทั้งที ศิรินท์ไม่ตอบสนองใดๆ

เหมือนการทักทายผม เปรียบเสมือนการ Ping ที่ไม่ผลตอบรับจากเธอ

++++++++++++++++++++++++++++++++++
Pinging ศิรินท์ with 32 bytes of data:
Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for ศิรินท์ :
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),
+++++++++++++++++++++++++++++++++++
ผลลัพธ์คือไทม์เอ๊าครับ Loss 100%

++++++++++++++++++++++++++
เสริม
Ping เป็นคำสั่งหนึ่งที่มีทั้งระบบปฏิบัติการ Windows และ Linux เป็นคำสั่งพื้นฐาน มีหน้าสำหรับตรวจสถานะเครื่องคอมพิวเตอร์ที่ต้องการสื่อสาร หากมีการ Response กลับมาแสดงว่าเครื่องดังกล่าวสามารถติดต่อถึงกันได้  Ping  ใช้ Protocol  ICMP   ซึ่งบางครั้งที่ Ping แล้วเกิด Time out เป็นไปได้ 2 สาเหตุคือเครื่องที่ต้องการติดต่อไม่อยู่ในสถานะติดต่อสื่อสารได้ (เครื่องปิด)  และ ติดระบบป้องกันโดยเฉพาะหากมี Firewall ป้องกันนั้นจะปิดการสื่อสารประเภทนี้

+++++++++++++++++++++++++++++

ระหว่างตักข้าวเข้าปาก อนันต์เปิดมือถือขึ้นเพื่อตรวจข้อความที่พบอีกครั้ง
login fail ครั้งที่ 1  เวลา  23:18:23  IP : 77.247.181.162
login fail ครั้งที่ 2 เวลา 23:19:12  IP:77.247.181.162
login fail ครั้งที่ 3 เวลา 23:19:54  IP:77.247.181.162

Server ที่อนันต์ดูแลนั้นมีการตั้งระบบรักษาความปลอดภัย ผ่านอุปกรณ์ Firewall ที่เป็นประเภท Next Generation Firewall ชนิดที่ตรวจระดับ Application Layer ได้
ราคา 7 หลัก และมีระบบตรวจจับผู้บุกรุก ที่เรียกว่า NIDS/IPS Network Intrusion Detection and Prevention System) แต่ตัวนี้ทำให้เป็น mode passive คือดูอย่างเดียวให้ Firewall เป็น
ตัวป้องกัน ถึงกระนั้น ราคา NIDS ก็ไม่น้อยกว่า Firewall แถมยังใช้มานานกว่า 3 ปีแล้ว ข้อความที่ถึงแจ้งเตือนมาจาก NIDS ส่ง และตัวที่เกิดการพยายามเข้าถึงโดยการ Login นั้นคือ Web Server ประจำโรงพยาบาลนี้เอง

+++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม :
Firewall คืออุปกรณ์ที่ทุกหน่วยงานต้องมี ทำหน้าเป็น Gateway เพื่อเชื่อมต่อข้อมูลทางอินเทอร์เน็ต ทำการแบ่งระดับการเข้าถึงข้อมูลผ่าน rule base และการตั้งค่า NAT เพื่อได้มีการแบ่งชั้นการเข้าถึงข้อมูลจากโลกอินเทอร์เน็ตเข้าสู่ระบบเครือข่ายคอมพิวเตอร์ภายใน
Firewall Next generation หรือเรียกสั้นว่า Firewall NG  นั้นเป็นการพัฒนาไปอีกขั้นโดยการสามารถตรวจข้อมูลเพื่อป้องกันภัยคุกคามที่เกิดขึ้นได้ในระดับ Application Layer ซึ่งตาม OSI 7 เป็น layer ที่อยู่บนสุดและสำคัญที่สุดในการใช้งานในปัจจุบัน

NIDS/IPS  คือ อุปกรณ์ที่ตรวจผู้บุกรุกทางเครือข่าย เปรียบเสมือนกล้องวงจรปิดทางเป็น NIDS เฉยๆจไม่สามารถป้องกันได้ แต่ถ้าเป็น IPS ด้วยจะป้องกันได้  ทั้งนี้ส่วนมากอุปกรณ์พวกนี้จะทำได้ทั้ง 2 mode เป็นอยู่แล้ว ขึ้นกับการติดตั้งถ้าติดตั้งแบบ in-line ก็จะเป็น NIPS  ส่วน passive การเป็น NIDS เป็นต้นการทำงานจะทำการตรวจจับเป็นทั้งที่เป็น Signature base คือตรงตามฐานข้อมูลจึงแจ้งเตือน และ ตรวจด้วยการวิเคราะห์จากพฤติกรรม  ซึ่งต่อมาได้มีการรวมกันกับ Firewall จนเป็น Firewall NG ขึ้น นั้น

ดังนั้นหากโรงพยาบาลแห่งนี้มี Firewall NG อยู่แล้ว และระบบเครือข่ายที่ไม่ซับซ้อนมาก (แยกเป็นหลายๆ วง VLAN) ก็ไม่จำเป็นที่ต้องมี NIDS/IPS ก็ได้ ยกเว้นแต่ว่า ขา interface ของ Firewall NG ไม่พอและไม่สามารถ Monitor บางจุดได้ จำเป็นต้องมี NIDS/IPS มาช่วยเสริมให้การมองเห็นได้ครอบคลุมขึ้น

++++++++++++++++++++++++++++++++++++++++++

Server ตัวนี้เป็น Server ที่มีด้านหนึ่งติดต่อกับอินเทอร์เน็ตได้รับค่าไอพีสาธารณะ (Public IP) มาด้วย อีกด้านหนึ่งติดต่อในวง LAN
ทีมงานที่ดูแลส่วนนี้มีด้วยกัน 3 คน  คือ
พี่องอาจ ดูแลด้านระบบเครือข่าย  และ Log file ตาม พรบ.คอมพิวเตอร์ฯ เป็นคนที่เปิดดู Log Management ได้ อีกทั้งเป็นคนเขียนนโยบายด้านความปลอดภัยด้าน
ข้อมูลสารสนเทศให้กับโรงพยาบาลอีกด้วย รู้สึกว่าจะทำกันไปเมื่อ 2 ปีก่อนโดยจ้างบริษัทข้างนอกมาช่วยกันเขียน จนสำเร็จและประกาศใช้ก่อนผมมาทำงานที่นี้
วิชัย ดูแลเรื่องการ access internet  ภายในองค์กร โดยเฉพาะเรื่อง account ทั้งหมด
ไม่ว่าเป็น e-mail , การเข้าถึงระบบ wifi และทุกอย่างที่เกี่ยวข้องกับการ Authentication (การระบุตัวตนผู้ใช้งานอินเทอร์เน็ตในองค์กร)
และผม อนันต์เด็กใหม่ที่นี้ที่ดูแลด้านระบบรักษาความปลอดภัยข้อมูล Server สำคัญของโรงพยาบาล ปัจจุบันผมดูแล 10 ตัว กำลังงาม
มีทั้งส่วนที่อยู่ใน DMZ และในระบบเครือข่ายภายใน (Internal) ทั้งนี้รวมถึง Server development ของทีมงานศิรินท์ที่มาพัฒนาซอฟต์แวร์ ERP ด้วย

โรงพยาบาลใช้งานคุ้มครับเรามีด้วยกัน 3 คน แต่ต้องดูระบบเครือข่ายทั้งโรงพยาบาล ประสานกันทำงานได้อย่างดีมาโดยตลอด 4 เดือนที่ผมอยู่ที่นี้ พวกเราทั้ง 3 เป็นพนักงานประจำ
เป็นมนุษย์เงินเดือนเต็มขั้น เงินเดือนไม่มากไม่น้อย พออยู่พอกิน ข้าวแกงที่ทำงานราคา 30 บาท แถมรสชาติอร่อยอีกตังหาก

ส่วนด้านไอที เราแบ่งเป็น 3 ส่วน คือ
- ส่วนที่ดูระบบเครือข่ายเครื่องแม่ข่ายและการเข้าถึงอินเทอร์เน็ต  คือพวกเราทั้ง 3
- ส่วนที่โปรแกรมเมอร์  ที่ดูแลโปรแกรมโรงพยาบาล มีอีก 2 คนที่เป็นพนักงานประจำ ผมรู้จักแค่ชื่อหนุ่ม เป็นรุ่นน้อง พวกนี้มีการจ้าง out source มาช่วยเขียนโปรแกรมในบางโปรแจค
- ส่วนที่เป็นกลุ่มงานสนับสนุน Support  พวก Helpdesk นั้นจ้าง out soruce ทั้งหมด

ตัว Web Server ที่ติดต่อกับโลกภายนอกนี้แหละคนอื่นไม่กล้ายุ่งเนื่องจากรับมรดกมาจากบริษัทที่ติดตั้ง Web Server ไว้แล้วทิ้ง code ที่
แก้ไขแทบไม่ได้เลยมาให้ ยังดี Server ตัวนี้ส่วนใหญ่ใช้ Open Source ที่ คือ Web Server เป็น Apache มี Data Base ในตัวเป็น Mysql
ส่วน OS เป็น Ubuntu 12.04  แต่ code นี้สิ ใช้ php  java  ผมรู้เรื่องโค็ดไม่มากนัก เพราะมีน้องคนหนึ่งเป็นฝั่งโปรแกรมเมอร์ชื่อเล่นหนุ่ม เป็นคนดูโค้คทั้งหมด
รวมทั้งที่เป็น front end ของการเว็บไซต์ประจำโรงพยาบาล ซึ่งน้องหนุ่มเป็นคนทำงานร่วมกับบริษัทที่ได้งานมาพัฒนาเว็บไซต์
ผมมีความรู้ Linux ดีพอควร ผมเริ่มจาก System admin โดยงานแรกผมเป็นผู้ดูแลเครื่องแม่ข่าย (Server) ที่ธนาคารเอกชนแห่งหนึ่ง และผมพึ่งเปลี่ยนงานมาที่นี้ได้สัก 4 เดือน
พึ่งพ้นโปรงาน นะครับ ซึ่งที่ไหนที่ผมดูแลให้ไม่เคยโดนแฮก คือยังไม่เคยโดนน็อคว่ากันง่ายๆ อย่างงี้แหละครับสถิติสวย (หรือว่าไม่รู้ว่าโดนกันแน่)

อันที่จริงแล้ว เว็บไซต์ ก็มีโอกาสถูกแฮกได้ง่าย ถึงแม้จะมีระบบป้องกันที่ดีพอแล้ว อันเนื่องจากช่องโหว่ (bug ใหม่ๆที่เรียกว่า zero day) ยังมีอีกมากที่ผุดขึ้นมาใหม่ๆแทบทุกวัน
เพียงว่าเราจะแจ็ตเพ็ตเจอหรือเปล่า ตรงกับ Server ที่เราดูแลหรือเปล่าเท่านั้น   อนันต์คิดแบบปลอบใจตนเอง ขออย่าให้ถูกแฮก

+++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม
Zero day หรือ เขียน 0day คือ ช่องโหว่ที่ค้นพบโดยที่ยังไม่มีวิธีการรักษาหรือป้องกัน ถือว่าอันตรายมาก ช่วงเกิด 0day คือช่วงที่ยังไม่มียารักษานั้นเอง

+++++++++++++++++++++++++++++++++++++++++++++++++++

ระหว่างที่นำอาหารไปวางที่ชั้นวางจาน  เสียงแววมาว่า "นี้เธอตะกี้เราเข้าเว็บโรงพยาบาล หน้าแรกขอเว็บไซต์โรงพยาบาลเรามันเป็นรูปหัวกระโหลก  แถมมีเสียงเพลงเหมือนเพลง Rock ด้วย"
ผู้หญิงสองคนที่ผมไม่รู้จักชื่อ แต่รู้ว่าคนที่พูดเป็นหน้าห้อง ผู้อำนวยการ (ผอ.) โรงพยาบาล  จากนั้นเสียงนั้นก็บ่นพึ่มพัมต่อแต่ผมไม่ได้ยินเสียแล้ว

เหงื่อผมก็ไหลออกมาโดยไม่รู้ตัว  แล้วรำพึงว่า "เอาแล้วตรู งานเข้าแล้ว"

3G มือถือผมเริ่มทำงานทันทีเปิดบราวเซอร์ในมือถือ แล้วเข้า URL ของโรงพยาบาล  ขึ้นหน้าหัวกระโหลก ชูนิ้วกลาง แถมเป็นภาษาอังกฤษ แปลเป็นไทยว่า "แอดมินหน้าโง่  ไม่ปลอดภัย โดย อะไรก็ไม่รู้ตัวภาษาอังกฤษผสมตัวเลข อ่านยากจริงๆ "



เพลงบรรเลงกีตาร์ดังขึ้น นี้มันเพลง Thunderstruck ของวง AC/DC แทรกอยู่ในเว็บหน้าแรกของเว็บไซต์โรงพยาบาลด้วย  เพลงดังกล่าวนี้ บังเอิญผมเกิดไม่ทันเพลงนี้หลอกแต่รู้เพราะ ปาเกียวที่พึ่งชกกับฟอร์ยเมื่อวันอาทิตย์ที่ 3  พ.ค.  ที่ผ่านมา สร้างข่าวว่าเป็นคู่มวยนัดหยุดโลก แต่เมื่อชกเสร็จผลออกมาตรงข้ามกับสายตาคนดู  ผมจำได้ว่าปาเกียวใช้เพลงนี้เป็นการเปิดตัวตอนที่เดินขึ้นเวทีมวย (แพ้เลย กั๊กๆ)



เวลา 08:29 แล้ววิ่งเข้าห้องทำงานชนิดที่ไม่แลมองผู้คน
"ไม่คิดว่าจะเกิดกับเรา เกิดขึ้นกับ Server ที่เราดูแล้ว" อนันต์กล่าวเบาๆ

ทันใดนั้นเองก็มีเสียงเรียกดังขึ้น "นี้เธอลืมของ" เหมือนมีเสียงแววมาด้านหลังผม   ศิรินท์พูด  ครั้งแรกที่ผมได้ยินเสียงเธอ  ของนั้นคือกระเป๋าเป้ใส่โน้ตบุ๊ค IBM รุ่นตกพื้นไม่ช้ำ ตัวเครื่องหนักเอาเรื่องจึงทำให้ เป้ของผมแลดูหนัก




"เสียงเธอช่างแอ๋บแป้วเสียจริง แต่ไม่มีเวลาคิดเรื่องนี้แล้ว บัดโถความสุขมันชั่งสั้นเสียจริง" อนันต์ได้แค่รำพึงในใจ

ศิรินท์ ยื่นให้ ด้วยแขนซ้าย ผมยื่นมือรับ  "เธอถนัดซ้ายหรือเปล่าเนี้ย" อนันต์แค่คิด
และแล้วก็วิ่งกลับมาอย่างรวดเร็ว แทนที่จะได้คุยกันนานกว่านี้ อนันต์ตอบว่า "ขอบคุณครับ"

แล้วหันหลังให้วิ่งไปต่อ ยังห่วงเรื่องไลน์ไอดีของเธอ  "เวงกำจริงๆ"  พอถึงห้องทำงาน อนันต์ลงนั่งโต๊ะทำงานอย่างรวดเร็ว พร้อมเปิดคอมพิวเตอร์ตั้งโต๊ะที่นั่งประจำซึ่ง พีซีเครื่องนี้น่าเป็นมรดกตกทอดมาหลายช่วง Admin  เป็น WindowXP ระบบปฏิบัติการที่ทาง Microsoft ทอดทิ้งไปแล้ว



โชคยังดีวันนี้ผมมาห้องนี้ก่อนใคร  วิชัย ยังไม่มา พี่องอาจ มาสายทุกวันอยู่แล้วเพราะต้องไปส่งลูกไปโรงเรียน

เวลาขณะนี้คือ 8:35 นาที
"ผมจะต้อง remote จากเครื่องผมเพื่อเข้าไปปิดเครื่อง Web Server ก่อน" อนันต์คิด

ระหว่างที่รอการบูทเครื่องเจ้าคุณปู่ ไม่นานเสียงโทรศัพท์ที่โต๊ะพี่องอาจ ดังขึ้น   "ตายๆ แน่ตรู"  อนันต์เริ่มทำอะไรไม่ถูก  จะ remote ก็รอเครื่องบูทอยู่  จึงรับสายโทรศัพท์ขึ้น

"สวัสดี มีใครอยู่ไหม ฝ่ายไอทีหรือเปล่า  ช่วยดูเว็บไซต์โรงพยาบาลเราที มันเกิดอะไรขึ้นเหรอ"  เสียงหนักแน่นมากเป็นเสียงที่ผมคุ้นเคยเพราะเป็นคนรับผมเข้าทำงานที่นี้ ผู้ช่วยผู้อำนวยการโรงพยาบาล คุณหมอจารึก  ตำแหน่งทางการของแกเป็นผู้ช่วยก็จริง แต่ด้วยวัยวุฒิและดีกรีเป็นถึงคุณหมอเลยถูกให้มาดูแลด้านไอซีทีด้วยเปรียบเสมือนเป็น CIO (Chief Information Officer)  ทุกอย่างที่เกี่ยวกับการจัดซื้อมาลงที่แกทั้งสิ้น

"สวัสดีครับอาจารย์หมอ"  ผมจะรีบดูให้คร๊าาาบบบ
แก้ไขโดยด่วน พร้อมทั้งให้องอาจ มารายงานผมฟังด้วย ก่อนที่ ผอ. จะรู้เรื่อง
คร๊าาบบบบบ  ผมตอบเสียงยาว   ในขณะเดียวกันที่มือด้านขวารับสายโทรศัพท์ มือด้านซ้ายก็ใส่ password  PC ตั้งโต๊ะขึ้น  กด Enter  แล้วเปิดโปแกรม SSH  เพื่อ remote ไปที่ Web Server สักพัก มือถือผมดังขึ้น พี่องอาจ โทรมา ผมรู้แล้วว่าต้องเป็นเรื่องนี้  เลยยังไม่กดรับเสียทันที
รอ Shell ให้ติดก่อนแล้วกัน แล้วจะโทรกลับ  ผมคิด สักพัก โทรมาอีก แต่ตอนนี้ผมพยายาม Shell ไป Web Server ตัวที่มีปัญหาแล้วเข้าได้ผมสัก shut down ไปก่อน  halt โร๊ด (ภาษาอีสาน ลอยมา ผมเป็นคนขอนแก่นครับ จากอีสานมาทำงานเมืองกรุงฯ)  ไม่นาน เสียงโทรศัพท์มือถือผมดังขึ้นอีกครั้ง ในระหว่างที่ผมรอการติดต่อกลับจาก Web Server "รีโมตนี้ช้าจังโว้ย"  เสียงโทรศัพท์ก็ดังอยู่
ครั้งนี้ผมจึงตัดสินใจรับ  ผมต้องตั้งสติ และพร้อมรับทุกสถานะการณ์ที่เกิดขึ้นต่อไปจากนี้

+++++++++++++++++++++++++++++++++++++++++++
เสริม

คำว่า Shell เป็น"การกระทำ" โดยการใช้โปรแกรมที่ชื่อ SSH เพื่อทำการ Remote ระยะไกล ซึ่งถือได้ว่า เป็นคำที่เรียกติดปากในกลุ่มผู้ดูแลระบบ

คำสั่ง halt  เป็น command หนึ่งบนระบบปฏิบัติการ Linux คือการสั่ง Shutdown เครื่อง

++++++++++++++++++++++++++++++++++++++++++++


ประโยคแรกดังขึ้น "ไอ้นันต์  เอ๊งรีบไปดู Web Server ด่วนเรื่องใหญ่ ผอ. ประเสริฐ โทรมาพี่"
บุคลลิกพี่องอาจ เป็นหนุ่มใหญ่ ผิวขาวร่างอ้วนกลม เชื้อสายจีนแน่นอน ตาชั้นเดียวใส่แว่นค่อนข้างหนา เป็นคนตรงไปตรงมา พูดจาไม่น่าฟังแต่ใจดี และช่วยเหลือน้องๆ

พี่องอาจ กล่าวต่อว่า "เว็บเราโดนแฮกใช่ไหม ?"   เสียงพี่องอาจ กระแทกที่หูผม   สวัสดีครับพี่ ผมมาถึงที่ทำงานแล้ว  ผมกำลัง shell อยู่พี่ ใจเย็นนะครับ

วันนี้ทาง ผอ. มี present  Application บนมือถือของโรงพยาบาลเรา เพื่อใช้บริการประชาชน ให้กับ ท่านรัฐมนตรี สาธารณะสุข ช่วงบ่ายวันนี้แหละ ซึ่ง Application นี้มัน Run อยู่บน Web Server นี้แหละ
พี่องอาจ  เสียงดังกล่าว

"พี่ครับ ผมรอพี่อยู่ เพราะ log file พี่ถืออยู่อ่ะ ผมจะช่วยดูว่าเกิดไรขึ้น"  อนันต์เริ่มแถ ใช้มุขเก่าเรื่อง Log เป็นข้ออ้างไปก่อน


"ถึงผมจะมีความรู้ด้านการดู log หรือ ศัพท์ทางการเรียกว่า "Computer Forensic" อยู่ไม่มากเทียบก็หางอึ่งอยู่มิใช่มืออาชีพ แต่ผมก็เคยดู Log ของเครื่อง Server ของงานธนาคารมาแล้วนะ สมัยที่มีการ Fraud" กัน อนันต์รำพึงอีกครั้ง

++++++++++++++++++++++++++++++++++++++++++++
เสริม
Computer Forensic : คือศาสตร์ในการแกะร่องรอยการกระทำความผิดอันเกิดจากการใช้งานอุปกรณ์สื่อสารและคอมพิวเตอร์เป็นเครื่องมือในการกระทำ ซึ่งในที่นี้จะเหมารวมกันก็ได้ว่าเป็นทั้งการแกะร่องรอยทางระบบเครือข่าย Network Forensic เบื้องต้นจะเป็นการดู Log file เทียบกับเวลา Log จาก Centralization log เป็นหลัก และ Computer Forensic เป็นพิสูจน์หาหลักฐานหากได้เครื่องคอมพิวเตอร์ที่สงสัยว่าเป็นเครื่องก่อเหตุมาทำการยืนยันและเป็นหลักฐานในชั้นศาลต่อไป

+++++++++++++++++++++++++++++++++++++++++++++++++++++

"วันนี้พี่ต้องพาลูกไปโรงเรียน เป็นวันปฐมนิเทศลูกชายพี่หว่า" รถโครตติดเลย สงสัยว่าอาจถึงที่ทำงานเกือบ 10 โมงเป็นอย่างเร็ว  เอ๊ง ก็ไปเปลี่ยนหน้าเว็บกลับมาแบบเดิมก่อน ดูที่ backup server restore กลับมาสิ ไอ้นันต์"  พี่องอาจเริ่มกิ้ว

shell ได้แล้ว แต่ login ใน user เดิมที่เคยเข้าไม่ได้ ลองแล้วมันบอกว่า ไม่มี username นี้ในระบบ.มันเฮง---.ปู๊ดๆ--censor .. เอ่ย : อนันต์เซ็ง

"เออ พี่ครับ ผม shell ได้แต่ login ไม่ได้ครับ ผมว่าผมโดนเข้าให้แล้ว"  ผมตอบเสียงสั่น ผมหน้าตาเริ่มซีด

เอ๊งรีบไปปิดเครื่องเลย  เข้าห้อง server แล้วไป กดปุ่ม power ไปก่อน  พี่องอาจ กล่าว

อนันต์ วิ่ง 4 x 100  ด้วยความเร็ว 2Gbps  เข้าห้อง Server  ปล่อยให้เสียงตะคล๊อกของพี่องอาจ ดังอยู่ไกลๆ  web server ตัวนี้มันตัวไหน หว่า  ชิบหาย Label ก็ไม่มีเขียน  มันน่าจะอยู่ใต้ Firewall หรือเปล่านะ
ล่าสุดผมเข้าห้องนี้ก็เมื่อ 3 เดือนก่อนที่บริษัทดูแลด้านระบบเครือข่ายส่งมอบตัวอุปกรณ์ Firewall
เลยวิ่งกลับมาถามเพื่อความมั่นใจ

"พี่ครับมันเครื่องไหนครับ" อ้าวพี่องอาจวางหูไปเสียแล้ว  

ผมเริ่มกุมขมับ  เสียงเปิดประตูมา  วิชัยเดินเข้ามาในห้อง

"วิชัย นายรู้ป่ะว่าเครื่อง Web server เครื่องไหน" อนันต์ถามเสียงดัง

วิชัย ถึงแม้อายุใกล้เคียงกับผม แต่เขาอยู่มานานกว่าใครเพื่อน เห็นว่าเป็นลูกคุณหมอในโรงพยาบาลนี้ ให้มาทำงานที่นี้ตั้งแต่ 5 ปีก่อน อาจกล่าวได้ว่ามาพร้อมๆ กับพี่องอาจ แต่ด้วยความอาวุโส
ยังไม่มาก   และได้รับภาระกิจสำคัญคือดูระบบ account หรือ user ทั้งโรงพยาบาล เขาเป็นคนคุมรหัสผ่านของทุกคนในโรงพยาบาล ....

เครื่องที่ห้านับจากล่างขึ้นบน  ตู้ซ้ายสุด    ตู้ Rack 1 ใส่ได้ 42U
วิชัย ตอบอย่างรวดเร็ว พร้อมคำถาม  เกิดอะไรขึ้นเหรอ ?
ผมยังไม่ตอบวิชัย วิ่ง 4x100 เข้าห้อง Server แล้ว กดปุ่ม power  เพื่อปิดเครื่อง Server แล้ววิ่งกลับมาที่หน้าเครื่อง PC ตั้งโต๊ะ พร้อมเปิดบราวเซอร์เพื่อดูผลลัพธ์

ขอบคุณวิชัย เราหยุดการแสดงผลเว็บไซต์ได้แล้ว

วิชัยเริ่มทำสีหน้าสงสัย พร้อมกับถามต่อว่า " เกิดอะไรขึ้น ? "

"ผมก็ไม่รู้มันเกิดจากกอะไร ผมได้รับข้อความแจ้งเตือนจาก NIDS ว่ามีการบุกรุกโดยการ login ผ่าน services SSH port 22 และพบการผิดพลาด 3 ครั้ง  จากนั้นช่วงเช้าเที่ผ่านมาเข้าเว็บไซต์โรงพยาบาลพบว่ามี Defacement" อนันต์กล่าว

+++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม 
SSH  ย่อมาจาก Secure Shell  เป็นโปรแกรมชนิดหนึ่ง ลักษณะเป็นการ Remote ระยะไกลผ่านเครือข่ายอินเทอร์เน็ต ใช้ Port Services 22 เป็นการติดต่อแบบ TCP เป็นโปรแกรมยอดฮิตสำหรับผู้ดูแลระบบ
และมักถูกการโจมตีที่เรียกว่า "Brute Force" ได้ง่ายโดยที่ตั้ง Server ที่มีค่า Public IP Address

Brute Force คือชนิดการโจมตีประเภทหนึ่งเป็นวิธีการสุ่มเดารหัสผ่านโดยมักจะเกิดกับหน้าเพจที่มีการต้องใส่ค่า Login และระบบ Remote ระยะไกลไม่ว่าเป็น Telnet , SSH , VNC , Remote Desktop เป็นต้น

Defacement คือวิธีการแสดงตัวตนของแฮกเกอร์วิธีหนึ่ง โดยจะอาศัยเว็บไซต์ที่มีช่องโหว่แล้วเข้าไปทำการเปลี่ยนหน้าเว็บเพจ เพื่อแสดงเจตนารมณ์  หรือประกาศว่ามีความเสี่ยง โดยแฮกเกอร์ที่มีมารยาทจะไม่พยายามเปลี่ยนหน้าเว็บเพจในหน้าหลัก โดยส่วนใหญ่การแฮกพวกนี้เป็น ออโต้สคิปต์ (Automatic script) ซึ่งไม่ได้หมายความว่าแฮกเกอร์รู้จักหน่วยงานที่จะแฮกนั้น จึงแฮกแต่ที่ไหนมีช่องโหว่ตรงกับสคิปต์ที่เขียนไว้อาจจะโดนแฮกได้เสมอ

+++++++++++++++++++++++++++++++++++++++++++++++++++

"แล้วเราจะทำอย่างไงต่อ" วิชัยถามต่อ

"ผมไม่รู้เหมือนกัน ต้องรอพี่องอาจมาก่อนครับ เพราะ log อยู่ที่แก" อนันต์ตอบ (อ้างต่อเนื่อง)

สักพักมีเสียงโทรศัพท์เข้ามือถือ พี่องอาจ  โทรมา

"นันต์เอ่ย พี่จะไปถึงเร็วๆนี้  พี่ให้แม่ไปนั่งฟังแทนแล้ว ต้องมาช่วยพวกเราก่อน ตอนนี้พี่ติดอยู่ถนนแจ้งวัฒนะ  จะเลี้ยวขึ้นทางด่วนแล้ว บังเอิญพี่นึกได้แถวนี้ พี่รู้จักเพื่อนคนหนึ่ง ไม่คุยกันกว่า 8 ปีแล้ว  เขาทำงานด้านนี้โดยตรง เผื่อจะช่วยแก้ไขสถานการณ์ได้บ้าง " พี่องอาจกล่าว

"ใครอ่าพี่ จะมีใครช่วยเราได้นอกจากเราจะช่วยตัวเราเอง  พี่ไม่มั่นใจผมหรือไง" อนันต์พูด

"แล้วเอ๊งจะทำไง ล่าสุดพี่เข้าเว็บไซต์ไม่ได้แล้ว เอ๊งบอกพี่มาสิ ว่าจะทำไงต่อ" พี่องอาจพูดโต้ตอบในโทรศัพท์

ถามเหมือนวิชัยเลย "จะทำไงต่อ"

ต้องรอพี่ครับ พี่คนเดียวเข้าไปดู Centralized logging ได้

++++++++++++++++++++++++++++++++++++++
เสริม
Centralized Log คือ การรวม log จากอุปกรณ์ระบบเครือข่าย เครื่องแม่ข่าย (Server) ที่สำคัญ ส่งค่า log  ซึ่งจะทำการส่งผ่าน Protocol syslog  ที่เป็นการติดต่อสื่อสารชนิด UDP และใช้ Port Services คือ 514 โดยทำการส่งค่า syslog เข้าไปเก็บไว้ที่ส่วนกลางเครื่องศูนย์กลางที่เดียว เพื่อเป็นการเก็บบันทึกเหตุการณ์ และตาม พรบ คอมพิวเตอร์ที่กฎหมายกำหนด

โดยแบบพื้นฐาน คือเก็บอย่างเดียวเป็น raw log  ไม่มีการวิเคราะห์
และแบบที่เก็บด้วยพร้อมทั้งสามารถวิเคราะห์ได้ โดยอาจจะใช้เทคโนโลยีเสริม อันได้แก่  SIEM (Secure Information Management) มาช่วยอ่านเพื่อคัดกรองว่าเหตุการณ์ใดเป็นมีความเสี่ยง ระบุได้ว่ามีความเสี่ยงระดับสูง กลาง ต่ำจากเหตุการณ์ใดได้บ้าง ซึ่งราคา SIEM  ค่อนข้างสูง ในเมืองไทยจะมีใช้สำหรับหน่วยงานใหญ่ขึ้นไป ส่วนหน่วยงานขนาดเล็ก และขนาดกลางมีวิธีการอื่นที่ช่วยทดแทน SIEM ได้โดยใช้ NIDS มาช่วยทดแทนได้ระดับหนึ่งเพียงแค่เป็นการดูข้อมูลผ่านทางระบบเครือข่ายเท่านั้นมิได้ออกมาจาก log โดยตรงจากเครื่อง สำหรับเครือข่ายที่ไม่ซับซ้อน และไม่มีเครื่องแม่ข่าย (Server) ที่สำคัญ และบุคคลากร และ Process ยังไม่พร้อมนัก จะใช้วิธีนี้สะดวกทั้งงบประมาณและการติดตั้งมากที่สุด

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

"อะไรก็ Log เอ๊งจะดู Log ทำแป๊ะ อะไรตอนนี้ต้องทำให้เครื่องเปิดได้ก่อน ท่านรัฐมนตรีจะดู App อ้ายนี้" องอาจกล่าว

"ผมยังไม่รู้จะเปิดด้วยวิธีไหนนะพี่ บัดโถ (เรื่องขึ้นเสียง) " อนันต์ตอบ

"ก็พี่บอก ธีรานนท์ เพื่อนพี่ ขับรถตามแล้ว"  องอาจกล่าว

ขณะนั้นเป็นเวลา 9:25 นาที

ที่สำนักงานบริษัท Ghostnet Buster Team จำกัด  หรือใช้ตัวย่อว่า "GBT" ที่ตึก ณ บางกอก เป็นอาคารเช่าสำนักงานรวม  พื้นที่บริษัทนี้เช่าอยู่ราวกับแมวนอน  ขนาด 15 ตารางเมตร  ค่าเช่าเดือนละหมี่น ตั้งโต๊ะนั่งได้เต็มที่ 3 โต๊ะพร้อมเก้าอี้ เป็นห้องริมสุดในชั้น 7 มีหน้าต่างซ้ายมือที่มองเห็นถนนแจ้งวัฒนะ ด้านขวามือมองเห็นสวน แอร์เย็นฉ่ำ มีโต๊ะทำงาน 3  ตัว วางเป็นตัว L มีเครื่อง Fax , กาต้มน้ำ , โทรศัพท์ และ เร้าเตอร์ 1 เครื่อง โน้ตบุ๊คอีก 2 เครื่อง ตู้เย็นขนาดเล็กหนึ่งประตู โดยบนตู้เย็นมีบะหมี่สำเร็จรูป 2 โหล

สายโทรศัพท์สำนักงานดังขึ้น  เวลา 9:10 นาที

"สวัสดีครับ  ขอสาย ธีรานนท์หน่อย"

พี่นนท์ เข้าห้องน้ำอยู่  ไม่ทราบว่าเรื่องอะไรให้เราช่วยเหลือค่ะ"

หลังจากสนทนาเสร็จ วางสาย
ทันใดนั้นเอง ธีรานนท์เดินเข้ามาในห้องทำงาน

"พี่นนท์ค่ะ  เดือนนี้เราจะรอดตายแล้วพี่  มีงานเข้ามาแล้ว"   จุฑามาส พูด
จุฑามาศ เป็นพนักงานบัญชี ทำงานที่บริษัท Ghostnet Buster ตั้งแต่เปิดบริษัทแรก
ส่วนใหญ่จะเรียกชื่อสั้นๆ ว่า "นนท์"

"Ghostnet Buster Team  (GBT) เปิดทำการวันที่ 14 กุมภาพันธ์ 2556 มีอายุบริษัทเพียง 2 ปี แต่เป็นที่รู้จักกันในกลุ่มคนวงการว่าธีรานนท์คนนี้มีประสบการณ์พอตัวในงานด้านนี้ เน้นทำงานด้านการ Incident Response และการ Forensic เป็นแบบบริการหลัก และเสริมด้วยการรับทำ Penetration test ทั่วราชอาณาจักร ซึ่งเมื่อก่อนถือได้ว่าการทำ Pen-test เป็นงานหลักของเขา และยังเป็นอาจารย์สอน Penetration test ในยุคที่แทบไม่มีคนไทยทำงานประเภทนี้เลย 15 ปีย้อนหลัง
แต่ด้วยตลาดตอนนี้มีการแข่งขันกันสูงแกเลยหันไปทำในเรื่องที่คนอื่นไม่ค่อยทำกันได้  หรือต้องใช้ Know how สูงขึ้นไปอีกถึงจะรับทำงานประเภทนี้ได้

++++++++++++++++++++++++++++++++++++++++++++++++++
เสริม
Penetration Test หรือเรียกย่อได้ว่า Pen-test  คือการทดสอบเจาะระบบ ซึ่งรายละเอียดเคยเขียนไว้ที่ http://nontawattalk.blogspot.com/2009/10/penetration-test-1.html

++++++++++++++++++++++++++++++++++++++++++++++++++

พนักงานที่นี้มี  4 คน คือ ธีรานนท์  เกียรติศักดิ์(ชื่อเล่น ต้อม ทำงานแบบออนไลน์สำคัญจริงๆจึงมา อยู่เกาะสมุย ไม่รับเงินเดือนรับเป็นงานๆไป)   อนุทิน (อ๊อด) ช่างเทคนิคและเป็นโปรแกรมเมอร์อีกด้วย อ๊อดชอบรับจ๊อบนอกมีเวลาไม่เต็มที่กับบริษัทนี้นักแต่ถึงอย่างไรอ๊อดก็ยังร่วมงานกับพี่นนท์อยู่  เหมือนมีงานอยู่ตลอดสำหรับอ๊อดแต่ไม่เคยเก็บเงินได้เลย และดิฉันจุฑามาส พนักงานบัญชีดูการเงิน ทำงานประชาสัมพันธ์ รับสายโทรศัพท์และการตลาดหาลูกค้าทำคู่กันเลย อะเมซิ่งออร์อินวัน อิอิ"

ปกติบริษัทนี้เปิดมานั้นแทบไม่มีงานเข้าอยู่แล้ว รายได้แบบเดือนชนเดือน แต่ธีรานนท์ ยังยืนหยัดทำต่อ  ด้วยงานที่เขารัก

ธีรานนท์ถาม  "แล้วงานที่ไหน?"
โรงพยาบาลสยามเฮลฮอสพิทอล (Siam Health Hospital)
"เขาให้เราไปถึงที่นั้นเร็วยิ่งดี ค่ะ แล้วให้พี่โทรไปคุยรายละเอียดเขาด้วย เบอร์ตามนี้"
จุฑามาส ยื่นกระดาษพร้อมเบอร์โทรศัพท์ให้

ธีรานนท์ ดูกระดาษ  "รายมือจุฑามาส องอาจ ใจสะอาด Web Server เราถูกแฮก ...."

เพื่อนเรานี้หว่า ขณะนั้นแล้วเงยหน้ามองออกไปที่หน้าต่าง ชั้น 7 ที่ทำงานรังหนู มองลงไปที่ ถนนแจ้งวัฒนะ รถเริ่มคลี่คลาย ...

"ผมจะไปตามที่นัด คุณประสานงานอ๊อด ให้เอาเครื่องมือ Network Forensic และตัวสำเนาฮาร์ดดิสความเร็วสูง ไปด้วยนะ"  ธีรานนท์กล่าว

10:58 น. ในที่สุดธีรานนท์ ก็มาถึงโรงพยาบาล  แปลกใจมากเลยที่ อ๊อดมาถึงก่อน

ธีรานนท์ ไม่รอช้า ทำการต่อสายโทรศัพท์ไปหาองอาจ

"สวัสดีครับ ผมธีรานนท์ เมื่อเช้าคุณโทรมาหาเราที่ GBT"  ธีรานนท์พูดขึ้น
"สวัสดีครับผมองอาจเอง ผมต้องการให้คุณมาที่ห้อง 304A  ชั้น 3 อาคาร A นะผมและทีมงานรออยู่ที่นั้น" องอาจกล่าว

เฮ้ อ๊อดเอาของมาด้วยป่ะ  "ไม่พลาดอยู่แล้วพี่" ทำไมนายมาถึงเร็วจัง
"คืนก่อนผมมาค้างที่อาคารตรงข้ามนี้ ซอยเล็กๆนั้น นี้เอง ฝนมันตกหนักนี้พี่" อ๊อดพูด เมื่อเหลือบไปดูแล้ว เป็นเหมือนโรงแรมม่านรูดขนาด ตีสัก 3 ดาวก็แทบเต็มกลืน แต่ก็ไม่ได้พูดอะไรต่อ
เออ แล้วอุปกรณ์ของพวกนี้อยู่กับนายได้ไง อ๊อด   ผมเอาไว้ติดตัวพอดีครับในท้ายรถผมนี้ แหะๆ อ๊อดกล่าวแบบละมุนละม่อม

เราทั้งคู่เดินไปที่อาคาร A พร้อมขึ้นลิฟต์ไปยังชั้น 3  เมื่อถึงแล้ว ด้านหน้าห้องเขียนว่า ศูนย์คอมพิวเตอร์

พวกเรา (นนท์ และ อ๊อด) เดินเข้าไปในห้อง เหมือนห้องนี้แบ่งเป็น 3 ส่วน คือส่วนด้านหน้าเป็นที่ทำงาน  ด้านหลังเหมือนมีโปรแกรมเมอร์ ผู้หญิง 1 คน และแลดูเหมือนผู้หญิง 1 คน กำลังนั่งพิมพ์อะไรอยู่ตลอด
ส่วนด้านข้างเป็นห้อง IDC (Internet Data Center) เราเข้าไปในห้องข้างหน้า พบว่า มีชาย 3 คน
นั่งประจำที่โต๊ะใครโต๊ะมันอยู่ หน้าตาเคร่งเคลียด  ทุกห้องมีกล้องวงจรปิดติดที่มุมเพดานอย่างละตัว

สักพักได้ยินเสียง "เอ๊า คุณนนท์ เข้ามาเลย"  เจ้าของเสียงคือ องอาจ   "นันต์เอ่ย เอ๊งไปเอา กล่อง Server มาเรียงด้าน ข้างโต๊ะเอ๊ง 4 กล่องนี้"

ที่นี้ดูเหมือนโรงพยาบาลชั้นนำก็จริงนะครับ  แต่ธุรกิจของเราคือโรงพยาบาล ด้านไอทีเป็นเพียงด้านหลังฉากของความสำเร็จของโรงพยาบาล ห้องทำงานเราเลยไม่ใหญ่โตครับ  ขอโทษทีนะครับที่คับแคบหน่อย
อนันต์เอากล่อง Server  มาวางเรียง 4 กล่องเสร็จแล้ว  เอ๊าพวกเรามานั่งคุยกันตรงนี้  ธีรานนท์  อ๊อด   องอาจ  อนันต์  และวิชัย

"นันต์ และวิชัย สละเก๋าอี๋ให้พี่เขาด้วยนะ"  องอาจพูด
ทุกคนมานั่งสุ่มหัวกันโดยใช้กล่อง Server เป็นที่ประชุม ส่วนวิชัยนั่งหย่องๆ โดยไม่เก้าอี้ และอนันต์
"อ้าวเอ๊งไปยืนพิงเสา ข้างถังขยะทำไม" องอาจพูดถึงอนันต์
"ก็กางเกงผมมันฟิตครับพี่นั่งหย่องๆ เหมือนวิชัยไม่ได้ มันขาดเอ๋านะครับ" อนันต์ตอบ

"โทษทีนะครับ น้ำชา กาแฟ ไม่ต้องนะครับ ถ้าต้องการให้บอกนะ ผมขอเริ่มเลย"
"เรามีเวลาไม่นาน 13:30 โดยประมาณ Web Server เราต้องใช้งานได้ ซึ่งนับจากนี้เรามีเวลาไม่เกิน 2 ชั่วโมงในการกู้ระบบ" องอาจกล่าวด้วยน้ำเสียงชัดเจน


----------------------- ติดตามตอนต่อไป ---------------------------

แนะนำตัวละคร
1. อนันต์ ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยของเครื่องแม่ข่ายประจำโรงพยาบาล  ตัวเอกของเรื่องในตอนนี้
2. ศิรินท์  ชื่อเล่นริน นักพัฒนาโปรแกรม ERP เป็น Out source จากบริษัทพัฒนาโปรแกรม และมีทีมงานด้วยกัน 2 คนที่มานั่งเขียนโปรแกรมซึ่งในขณะนี้ยังไม่ได้กล่าวถึง
3. พี่องอาจ ดูแลด้านระบบเครือข่าย  และ Log file ตาม พรบ.คอมพิวเตอร์ฯ เป็นคนที่เปิดดู Log Management ได้ เป็นคนที่อยู่ในโรงพยาบาลนี้มานาน อายุราว 39 ปี
4. วิชัย ดูแลเรื่องการ access internet  ภายในองค์กร โดยเฉพาะเรื่อง account ทั้งหมด อายุราว 28 ปี เป็นคนเงียบคุยเฉพาะสิ่งจำเป็น คุณพ่อของวิชัยเป็นหมอที่มีบารีมากในโรงพยาบาลแห่งนี้ เป็นกลุ่มก่อตั้งโรงพยาบาลนี้ขึ้น วิชัยเปรียบได้ว่าเป็นเด็กเส้นที่ไม่ค่อยมีใครอยากมีเรื่องด้วย
5. หนุ่ม ชื่อจริงชื่อ ราเชน เป็นโปรแกรมเมอร์ ผู้เขียนโค้ดพัฒนาเว็บไซต์ ร่วมกับบริษัทเอกชนที่ได้รับงานในขณะนี้ยังไม่ได้กล่าวถึง ดูเหมือนเป็นรุ่นน้้องเพราะหน้าตายังดูเด็กพึ่งจบจากมหาวิทยาลัยผิวขาวผอมสูงใส่แว่น
6. คุณหมอจารึก ผู้ช่วยผู้อำนวยการโรงพยาบาล ถือได้ว่าเป็นผู้ดูแลสายงานด้านไอซีที ทั้งหมดของโรงพยาบาล
7. คุณหมอประเสริฐ ผู้อำนวยการโรงพบาบาล
8. ผู้หญิงไม่รู้จักชื่อ ทำงานหน้าห้องผู้อำนวยการโรงพยาบาล
9. จุฑามาส อยู่บริษัท Ghostnet Buster Team ทำงานเอนกประสงค์ บัญชี การตลาด ประชาสัมพันธ์ เงินเดือนได้ทุกเดือนแบบเชียดชิ่ว มีความซื่อสัตย์ มีความอดทนไม่เลือกงานแม้ว่าจะอยู่ในที่ทำงานที่ไร้ซึ่งความมั่นคง
10. ธีรานนท์ ผู้ก่อตั้งบริษัท Ghostnet Buster Team อดีตพนักงานธนาคารเอกชนที่ทันสมัยที่สุดในประเทศไทย และอดีตที่ปรึกษาตำรวจไซเบอร์ ถึงแม้เบื้องหน้าแทบไม่มีใครรู้จักเขาเลย ชนิด low profile และก็ low profit อีกด้วย แต่เบื้องหลังโดยเฉพาะกลุ่มคนที่ทำงานด้านนี้อย่างแท้จริงเป็นที่รู้จักอยู่พอสมควร และเขามีเครือข่ายกลุ่มคนที่เป็นแฮกเกอร์ใต้ดินรุ่นเดอะในประเทศไทย มีทีมงานทำงานร่วมกันมาเป็น 10 ปี 2 คน คือ ต้อมและอ๊อด


+++++++++++++++++++++++++++++++++++++++++++++++

สงวนลิขสิทธิ์ SRAN Technology (www.sran.net)

นนทวรรธนะ  สาระมาน
Nontawattana  Saraman

ผู้เขียน
06/05/58

ตอนที่ 2 ที่นี้มีแฮกเกอร์ http://nontawattalk.blogspot.com/2015/05/hacker-here-2.html
ตอนที่ 3 ที่นี้มีแฮกเกอร์ http://nontawattalk.blogspot.com/2015/05/hacker-here-3.html