Monday, June 15

Hacker Here ตอนที่ 4

ณ จุดชมวิว บนหอคอยสูง ในเมืองหุนชุน บริเวณแม่น้ำถูกเหมิน
ซึ่งเป็นแม่น้ำแบ่งพรมแดนประเทศจีน ประเทศเกาหลีเหนือ และรัสเซีย
เรามองไปข้างหน้าสิ ด้านซ้ายมือเป็นประเทศรัสเซีย ด้านขวามือเป็นประเทศเกาหลีเหนือ

วันนี้ท้องฟ้าเปิดมองไปได้ไกลสุดลูกหูลูกตา จารึกพูด

มีสายลมบนยอดหอคอยเป็นลมจากทะเลญี่ปุ่น พัดเอื่ยเข้ามาปะทะเป็นระยะ จารึกยืนอยู่บนยอดหอคอย พร้อมกับคุณสมิธ เจ้าของบริษัทโอดิสซี่ซอฟต์ โดยมีคณะกรรมการโรงพยาบาลสยามเฮ้ลที่ไปดูงานที่ประเทศจีน อีก 10 คน ซึ่งยืนกันกระจัดกระจายเพื่อถ่ายรูป และชมความงาม

ทั้งชีวิตการทำงานกว่า 40 ปีที่เป็นหมอ แต่ผมเป็นคนที่ชื่นชอบศึกษาประวัติศาสตร์โดยเฉพาะเรื่องเกี่ยวกับสงคราม และจารชน ผมมีหนังสือเกี่ยวกับเหตุการณ์จริงเกี่ยวกับไล่ล่าจารชนอยู่หลายเล่ม คุณสนใจไปอ่านสักเล่มไหมล่ะ จารึกกล่าว

จารึกเป็นผู้ช่วยผู้อำนวยโรงพยาบาลสยามเฮ้ลฯ และเป็นผู้ที่มีอำนาจเต็มในการจัดซื้อจัดจ้างที่เกี่ยวข้องกับระบบไอทีในโรงพยาบาลทั้งหมด

จารึกกล่าวต่อ สถานที่นี้ในอดีตเป็นจุดยุทธศาสตร์ของยุคสงครามเย็น เกาหลีเหนือ จีน และรัสเซีย ล้วนเป็นพวกเดียวกัน แต่สมัยนี้เกมส์สงครามมันเปลี่ยนรูปแบบ ผมกำลังศึกษาทิศทางการเปลี่ยนแปลงครั้งนี้อยู่


สมิธเสริม "ใช่มันเป็นยุคของดิจิตอล" การโจมตีผ่านดิจิตอล ตลาดทุน ค่าเงิน แบบออนไลน์ข้าวพรมแดน การโจมตีทางไซเบอร์ รวมถึงการ collection ข้อมูลขนาดใหญ่ (Big data) เพื่อวิเคราะห์ความเคลื่อนไหว และความเป็นไปของผู้คน ได้ข่าวว่า NSA เจาะจงเรื่องนี้เป็นงานหลักเลย

เดี๋ยวนี้สายลับแต่ละประเทศแปลงร่างมาฝั่งในคอมพิวเตอร์ มือถือ อุปกรณ์สื่อสารกันเยอะขึ้นแล้ว ช่วงชิงกันถึงเรื่องข้อมูล การประมวลผลข้อมูลขนาดใหญ่ (Big data) เพื่อผลประโยชน์ของรัฐบาลและเพื่อประเทศ

เพราะทุกอย่างมันเชื่อมโยงถึงกันไปหมดแล้ว สมิธกล่าว

สมิธ เคยเป็นอดีตเจ้าหน้าที่สำนักข่าวกรองแห่งชาติ และเขาเป็นครูสอนวิชาต่อต้านการข่าว เคยร่วมงานกับ CIA ก่อนที่ขอเออร์ลี่ แล้วมาเปิดธุรกิจซอฟต์แวร์เมื่อ 10 ปีก่อน
ปัจจุบัน สมิธอายุ 61 แล้วแต่ยังดูแข็งแรงและทำงานได้

รู้จักกับจารึกผู้ช่วยอำนวยการโรงพยาบาลนี้ กว่า 20 ปี จากการที่เป็นคนไข้ประจำของคุณหมอจารึก "การเชื่อมโยงแบบไร้พรมแดน นั้นคือสงครามแนวใหม่ที่เราต้องปรับตัว" ลมที่นี้เย็นสบายดี นะสมิธ จารึกกล่าว และทั้งคู่หัวเราะขึ้นเบาๆ

ก่อนที่คณะขึ้นรถกลับโรงแรม จารึก บอก สมิธ ว่า "ก่อนที่ผมจะลืมคุณพูดเรื่องมาผมนึกขึ้นได้ แก่แล้วเดี๋ยวลืม ผมฝากเด็กผู้หญิงคนหนึ่งเข้ามาบริษัทคุณ และให้เขามานั่งรับ Out source ทำฐานข้อมูลประวัติคนไข้ให้ผมทีสิ" เป็นหลานสาวผมเอง ชื่อศิรินท์ จบด้านการจัดการระบบฐานข้อมูลมา สักพักแล้ว อยากให้ทำงานระดับใหญ่ๆบ้าง ผมไม่กล้ารับตรงเพราะกลัวเรื่องคอนฟิคฯ ฝากคุณรับมาแล้วให้เขา มาประจำโรงพยาบาลนี้ เพราะไหนๆ คุณก็ได้งานใหญ่ไปแล้วนิ งานของคุณเซ็นสัญญาเดือนมกราคม ให้เขามาสักเดือนเมษา หรือก่อนนั้นนิดหน่อย

สมิธกล่าว ผมจะจัดการให้ตามคำขอ หลังจากกลับถึงเมืองไทย เรียกให้เขามาหาผมที่ office บริษัทได้เลย


 
+++++++++++++++++++

ณ ศูนย์คอมพ์โรงพยาบาลสยามเฮลฯ

web server เป็น ubuntu 14.04
ifconfig พบว่า IP private ตั้งค่าไอพีที่ 172.16.5.2
web server นี้มีทั้งหมดกี่ตัวครับ ธีรานนท์ ถาม

องอาจตอบ จริงๆเราต้องการทำ 2 เป็น HA แต่ยังทำไม่เสร็จ เหลือใช้จริงแค่ตัวเดียวอยู่

และเชื่อมถึงกันที่ไหนบ้าง ธีรานนท์ถามต่อ

ที่ DMZ เท่านั้น วิชัยตอบ
ในย่าน 172.16.5.0/24 ใช่ป่ะครับ routing ไปยังวงอื่นด้วยไหม ธีรานนท์ ถามต่อ

เราไม่ set routing ตรงนี้นะ แต่วงนี้มีแค่ 256 IP /24 ใช่ครับ แต่ใช้จริงไม่ถึง ประมาณ 20 IP ได้มั้ง เป็น Develop เกินครึ่ง ใช้จริงๆประมาณ 5-6 IP เท่านั้น ที่เปิดสาธารณะ วิชัยตอบหมด

องอาจยังไม่ทันอ้าปากตอบ

ผมแค่มีประเด็นเรื่อง Infrastructure Compromise
ต้องใช้พวก IOC (Indicator of Compromise) มาจับด้วย ธีรานนท์ ถามต่อ

ไม่ทราบว่าที่โรงพยาบาล มี Centralized log ไหมครับ
เรามี image เครื่อง Web server ที่โดนแฮกแล้ว ถ้าให้ครบและวิเคราะห์ได้ถูกอยากได้ Centralized log ด้วย ธีรานนท์ ถามขึ้นมา

องอาจ ตอบ มีสิ เป็นไปตามกฎหมายคอมพิวเตอร์ มาตรา 26 ธีรานนท์ เป็น Log ที่รับจากอะไรมาบ้าง องอาจ อำอึ๋ง ...

วิชัย เสริมมาบอกว่า ตอนนี้เราพึ่ง implement นะ รับมาไม่เยอะ
ก็แบ่งรับข้อมูลจาก
1) พวกเกี่ยวกับ Identity/Authentication ก็มีรับจาก AD (Active Directory) ส่งมาเก็บแล้ว, Wifi Controller Server รู้สึกว่ายัง, Exchagne ส่งมาเก็บแล้ว และพวก VPN token สำหรับเจ้าหน้าที่ไปต่างประเทศและนอกสถานที่ใช้งานพวกนี้ส่งมาเก็บแล้ว

2) ส่วนพวก Network ก็มี Firewall , Core Switch ส่วน NIDS/IPS โรงพยาบาลเราไม่มีกำลังดูๆอยู่เนื่องจาก Firewall ตัวนี้ตรวจ DPI / Application layer ไม่ได้ (DPI : Deep Packet Inspection)

3) พวก Server ที่เป็น public ก็มี Web Server , ERP Server , DNS และ DHCP server ประมาณนี้ โยนมาไม่กี่ตัวหลอก

เอาแต่ตัวเน้นๆ เราต้องการ Log คุณภาพ วิชัย ตอบอย่างผู้รู้

อ๊อดที่ยืนอยู่ใกล้ๆ นึกในใจว่า นี้นะไม่กี่ตัว


"สวยเลย ถ้างั้นผมขอ log ย้อนหลัง สัก 2 เดือนได้ไหมครับ" ธีรานนท์ ถามกลับ

วิชัย และอนันนต์ หันหน้าพร้อมกันไปที่ พี่องอาจ คนตัดสินใจ องอาจ ตอบ ถ้าผมเป็น ผอ. เองผมให้ได้ ผมรับผิดชอบ แต่นี้ ผมต้องขอ พี่จารึกนะสิ ตัว Centralized log ผมดูได้แต่ system admin เนื้อข้อมูล log คนที่เปิดได้คือ พี่จารึก

"ที่เราได้มาคือ log จาก web server ที่โดน hack ส่วนอื่นๆ ที่ผมอยากได้ ประเภท DPI มากกว่า น่าเสียดายที่ยังขาดเรื่อง NIDS/IPS แต่ถึงอย่างไร ข้อมูลทุกอย่างย่อมเชื่อมโยงถึงกันหมด" ธีรานนท์กล่าว

ถ้าเช่นนั้นก็แค่นี้ก่อนก็ได้ อ๊อดตอบเสริม หากวิเคราะห์เสร็จแล้วจะส่งรายงานให้ หากพบสิ่งผิดปกติและเป็นเบาะแส จะแจ้งให้พี่องอาจทราบ งั้นพวกผมขอตัว ธีรานนท์ตอบ จากนั้นทีมงาน GBT (Ghostnet Buster team) ก็จากไป


ราเชนหลังจากยืนนิ่งสักพัก เออวิชัย ถึงเราเป็นโปรแกรมเมอร์เข้าใจบ้างไม่เข้าใจกับสิ่งที่คุยกัน แต่เราถามหน่อยดิว่า Data Base Server ที่ ทีม out source ทำอยู่นี้ส่ง syslog ไปเก็บด้วยไม่ใช่เหรอ

วิชัย นั่งนิ่งคิดดู แล้วตอบว่า เออใช่ ลืมไปมี data base server ส่งมาอีกตัว อนันต์ นายเข้าไปดูได้ป่ะว่า log ของ data base server ส่งมาป่ะ

อนันต์นึก "กูอีกแล้ว" ได้เลย รอแป๊บบ เพื่อนๆ 172.16.5.3 (Data Base Server) ส่ง log มาอยู่ แต่ผมเปิดอ่านไม่ได้ (เฉพาะ Data Owner พี่จารึก) รู้ได้แค่เพียงสถานะ นะ อิอิ เสียงหัวเราะอนันต์


วิชัยจำคำพูดธีรานนท์ แล้วอุทานว่า "ข้อมูล ทุกอย่างย่อมเชื่อมโยงถึงกันหมด"


จบตอน

+++++++++++++++++++++++++++++++++++++++++++++++
สงวนลิขสิทธิ์
SRAN Technology (www.sran.net)

นนทวรรธนะ สาระมาน
Nontawattana Saraman
ผู้เขียน
15/06/58

No comments: