Friday, November 24

เมื่อพ่อค้าคนกลางหายไป อะไรจะเกิดขึ้นบ้าง ?

“เหตุผลที่เศรษฐกิจไม่ดี” สั้นๆ เป็นเพราะโลกเปลี่ยน
และตัวการสำคัญสำหรับผมนั้นคิดว่า
Supply chain ในหลายส่วนธุรกิจได้หายไป
ยกตัวอย่าง ร้านหนังสือ ร้านขายเพลง ธนาคารและในอนาคตอาจจะเร็วๆนี้ ธุรกิจรถยนต์ และธุรกิจอื่นๆ. เปลี่ยนไป ปรับตัวไม่ทัน
เรียกได้ว่าเส้นทางแห่งผลประโยชน์ที่เกิดขึ้นนั้นหายไป
เส้นทางการซื้อ-ขาย สินค้า จาก กทม. ไป ตจว. ใน ตจว. ก็มีร้านขายสินค้า ยกตัวอย่าง ธุรกิจที่ไปแล้วเช่นสิ่งพิมพ์ และเพลง ในห่วงโซ่นี้จะมีการสร้างงานและกระจายรายได้อยู่ แต่...ปัจจุบันหายไป
แล้วธุรกิจอื่น ก็เริ่มเปลี่ยน
ตัวกลาง ... ได้หายไป
เหลือต้นทาง (ต้นทางของการผลิตสินค้า) กับ ปลายทางคือผู้ซื้อสินค้า
และหากพิจารณากันให้ดี ต้นทางที่ว่าส่วนใหญ่มาจากต่างประเทศ มักจะผ่านช่องทาง online / internet และระบบ cloud คือตัวทำให้เปลี่ยน

รูปไม่เกี่ยวกับบทความ  คั้นเพื่อความสบายตา

เงินจึงไหลออก รัฐบาลและคนที่มีหน้าที่กำหนดทิศทางของประเทศขาดการควบคุมและวางแผนมาก่อน (ไม่เคยเจอปรากฎการณ์นี้มาก่อน)
เงินมันเลยไหลออกโดยไร้คนกลาง ที่ควรเป็นคนในประเทศ
ซึ่งก็คือพ่อค้าคนกลางที่จ่ายงาน จ้างงานให้คนชั้นกลาง และล่าง และเกิดการหมุนเวียนเศรษฐกิจในประเทศ
คนกลางหาย มันน่าจะดี ... แต่มันคือสาเหตุ ให้เศรษฐกิจ ของคนชั้นกลาง คนกลางล่าง และคนชั้นล่าง ไม่ดี ซึ่งดันเป็นกลุ่มคนที่มีจำนวนมากที่สุดในประเทศไทย
จะส่งผลดีเฉพาะคนชั้นบน ธุรกิจขนาดใหญ่
แล้วห่วงโซ่ที่หายไป จะทำไงดี ?
***รัฐบาลเจอสิ่งที่รู้สาเหตุแต่แก้ไขไม่ได้***
เพราะชนชั้นสูงคือผู้กำหนดทิศทางรัฐบาล และประเทศ
แล้วคนชั้นกลาง และล่างล่ะ ?
ก็อยู่กับความหวังลมๆแล้งต่อไป...ดังเช่นช่วงนึ้
จะเห็นธุรกิจขายฝัน (ขายตรง) มากขึ้น
เพราะมันคือทางออกสำหรับห่วงโซ่ ที่หายไป

.
แต่มันไม่ได้ช่วย กับซ้ำเติมให้บรรลัยขึ้น เป็นเพราะว่ามัน Fake
เกิดธุรกิจตอแหล ธุรกิจขายฝัน
ทำอะไรผ่านสื่อสังคมออนไลน์แบบ Fakeๆ
ความ Fake มันคือผลกระทบ หรือพิษเศรษฐกิจ ที่ต้องการรักษากำไรให้มาก เพราะไม่รู้ว่าจะได้งานอีกเมื่อไหร่
จนเกิดคุณภาพที่ด้อย เช่น อาหารทุกวันนี้แทบหากินของอร่อยและดีนั้นได้ยาก วัตถุดิบๆดี ก็ต้องแพง เพราะทุกคนควบคุมต้นทุน เมื่อกินแต่อาหารไร้คุณภาพ ก็ทำให้เจ็บป่วย เป็นผลกระทบห่วงโซ่อื่นๆ ที่ทำให้คุณภาพชีวิตเราแย่ลง
.
.
จะแก้ไขสภานการณ์นี้อย่างไง ?
ผมมองว่า .... เราอาจต้องกลับไปสู่ “รัฐสวัสดิการ”
และพยายามสร้างห่วงโซ่ที่หายไปนั้นกลับมา
ในส่วนที่ผมมีความรู้อยู่บ้างก็อยากแนะนำว่า
“ถึงเวาแล้วที่เราจะต้องพาข้อมูลกลับบ้าน”


แล้วว่ากันใหม่
นนทวัตต์ สาระมาน
พ่อบ้าน

Saturday, November 4

CIPAT ที่พระจอมเกล้าเจ้าคุณทหารลาดกระบังฯ

นายกสมาคมส่งเสริมนวัตกรรมเทคโนโลยีไซเบอร์ และผู้ร่วมก่อตั้ง SRAN Technology มาแนะนำนักศึกษาเกี่ยวกับนวัตกรรมทางไซเบอร์ในปัจจุบัน ที่คณะวิศวกรรมศาสตร์ สถาบันเทคโนโลยีพระจอมเกล้าเจ้าคุณทหารลาดกระบัง เมื่อวันที่ 1 พฤศจิกายน 2560

ในการนี้ได้อธิบายถึงแนวโน้มและสายงานด้านเทคโนโลยีด้านการวิเคราะห์ข้อมูลจาก Log files ขนาดใหญ่ ที่นำไปสู่การวิเคราะห์ Big data และการสร้างสรรค์นวัตกรรมสำหรับผู้จบการศึกษาใหม่ เพื่อเข้าสู่ Start Up ได้อย่างมีประสิทธิภาพ

Tuesday, September 26

Exploit กระสุนปืนทางไซเบอร์


"ระหว่างเป็นนักฆ่า กับ นักสืบ อันไหนเป็นได้ง่ายกว่ากัน ?"
เป็นคำถามที่ผมได้ตั้งขึ้น เพื่อถามแก่ทีมงานที่กำลังเลือกเส้นทางในอนาคต

- นักฆ่าในที่นี้ คือ เปรียบได้กับนักโจมตีระบบอย่างถูกต้องตามกฎหมาย คืองาน Penetration test หรือ งานทดสอบเจาะระบบในหน่วยงาน องค์กร ยินยอมให้ทำ และมีความประสงค์ให้ไปทดสอบระบบ เพื่อดูช่องโหว่ รูรั่ว ก่อนที่จะเกิดเหตุจริง เปรียบใกล้เคียงกับงาน ตรวจสอบ (Audit) ระบบอย่างหนึ่ง

- นักสืบ คือ เปรียบได้กับคนที่ทำงานด้านการพิสูจน์หาหลักฐาน และแกะร่องรอยการถูกโจมตีระบบ การเจาะระบบจากแฮกเกอร์ หรือการติดเชื้อไวรัส เพื่อพิสูจน์หาหลักฐาน เรียกตามศัพท์คือ "Computer/Network Forensic รวมไปถึงพวกที่ทำ Malware Analysis ก็ถือว่าใช่

ทีมงานผมคนนั้นได้เลือกเส้นทางอย่างหลังและปัจจุบันนี้ก็อยู่ในบริษัทแนวหน้าของประเทศไปเรียบร้อยแล้ว

ผมคิดว่าเขาเดินทางที่ยาก
เพราะทางแรกเป็นเส้นทางที่ง่ายกว่า และต่อไปจะต้องมีคนสนับสนุน แม้กระทั่ง NSA ก็ไม่แน่อาจจะต้องเรียกใช้ นั้นคือนักเจาะระบบที่พัฒนาจากนักฆ่าธรรมดาแบบตรวจสอบระบบในองค์กร แต่กลายร่างเป็นคนเขียน "Exploit"

วันนี้ผมอยากขยายความจากนักฆ่า หรือนักเจาะระบบแบบภาษาทางเทคนิคเรียกว่า Penetration test ว่าทำไมรัฐบาลในยุคหน้าต้องให้การสนับสนุนอย่างเต็มที่ เพราะถือว่าเป็นกองกำลังไซเบอร์ ที่สามารถช่วงชิงพื้นที่การข่าวและข้อมูลได้เป็นอย่างดียิ่งเพราะเป็นสิ่งที่ตาคนเราไม่สามารถมองเห็นได้ และสามารถทำภาระกิจได้จากทุกส่วนของโลกแบบไร้พรมแดน

สิ่งที่ตาเรามองไม่เห็น คือ "ข้อมูล" และเมื่อโลกเรากำลังก้าวไปสู่ ยุค Big data ในทุกมิติ "ข้อมูล" จึงถือว่าเป็นความมั่นคงของชาติ อย่างหนึ่ง

ยามที่ได้มีโอกาสบรรยายหรือสอนหนังสือ
ผมมักจะเปรียบ Exploit คือ "กระสุนปืน"
นักฆ่ามืออาชีพ ต้องเป็นนักสะสมกระสุนปืน เพราะกระสุนปืน แต่ละชนิด มีการทำลายแตกต่างกันไป หากใช้ผิดประเภท ก็ไม่ประสบความสำเร็จในภาระกิจ
ไปไกลกว่านั้น Exploit ที่ยังไร้ยารักษา หรือ เรียกว่า 0-day ปัจจุบันกลายเป็นสิ่งที่มีมูลค่ามาก ถือว่าใครครอบครองแล้วรับรองเนื้อหอม

และ 0-day นี้เองคืออาวุธทางไซเบอร์ ที่ประเทศมหาอำนาจ ใช้เจาะข้อมูลกันเงียบๆกันอยู่ และเมื่อถูกจับได้ หรือเบื่อเมื่อไหร่ มันพร้อมแปลงร่างกลายเป็น virus และแพร่พันธุ์เป็น worm หรือจะสร้างความเสียหาย หยุดการใช้งาน (DDoS/DoS) หรือ เรียกค่าไถ่ (Ransomware) จนเป็นข่าวดัง ถึงจะหยุด ล้าสมัย ตก Trend แล้วแต่สาระพัดชื่อกลุ่มจะปล่อยของออกมา ล่าสุดที่เป็นก็คือกลุ่มที่เรียกตัวเองว่า Shadow Brokers ผู้ปล่อย Wannacry เป็นต้น

ซึ่งเหล่า Anonymous หรือกลุ่มสาระพัดชื่อพวกนี้จะปล่อยของออกมาจากใต้มหาสมุทร (Deepweb) ล่องลอยมาบนพื้นผิวน้ำจน Search engine บนโลกที่คนทั่วไปค้นหาเจอ หรือ ตั้งใจปล่อยให้รั่วก่อนผ่าน wiki leaks นั้นจะเป็นพฤติกรรมแบบนี้ให้เราได้เห็นวัฎจักรเดิมๆ ซ้ำๆ

ปล. เหตุที่เขียนเกิดจากกำลังหา Exploit ตัวหนึ่งแล้วไปค้นพบใน Deepweb จากกลุ่มหน้าเดิม Milw0rm

นนทวัตต์  สาระมาน
Nontawatt Saraman
SRAN dev Team
.

Friday, August 18

The Internet of Money

"ปรากฎการณ์ Bitcoin (The Internet of Money)
หากประวัติศาสตร์ คือ การมีส่วนร่วมในเหตุการณ์ที่เกิดขึ้น
ชั่วโมงนี้ เดือนนี้ ปีนี้
ต้องบอกว่าเราต้องสร้างประวัติศาสตร์ (การมีส่วนร่วมในเหตุการณ์) เกี่ยวกับ Cryptocurrency
หรือขอพูดสั้นๆ ว่า "ปรากฎการณ์ Bitcoin" ไม่งั้นตกกราฟกฎของมัวร์

ภาพเส้นตัดจากกฎของมัวร์

.
ที่ต้องเป็น Bitcoin ก็เพราะ ประชาชนสวนใหญ่ ต้องการหารายได้เสริม เพราะคิดว่าเศรษฐกิจไม่ดี ค้นหาและพบช่องทางทำมาหากินใหม่ ไม่ง้อใคร ทำได้ด้วยตัวเอง และเมื่อเกิดรายได้ไม่เสียภาษี
.
Big data จากหนวดกุ้ง ข้างห้องนอนผม มันเป็นเรดาห์อย่างหนึ่งที่จับสัญญาณได้ว่า คลิปที่อัพโหลดบน youtube , ห้องสนทนา Facebook ,Line และอื่นๆ ที่เริ่มมีคนมีส่วนร่วมมากขึ้นที่ไม่ใช่ กลุ่มจัดตั้งแบบ 3.5 แสน Like (SIM ที่พบที่อรัญประเทศ)
แต่เป็นคนจริงๆ คนที่ต้องการขุดเหมืองหาทองในยุคดิจิทัล
มันเริ่มมีการเคลื่อนไหวอย่างต่อเนื่องและ Keyword คือ "Bitcoin"
ทั้งขุด ทั้งเทรด ทั้งปล่อยกู้ และทั้งขายของ มันเริ่มต้นและเติบโตอย่างรวดเร็วตั้งแต่ปลายปีที่แล้วจนปัจจุบันนี้ เดือน มิถุนายน 2560
.
ปรากฎการณ์นี้ รัฐบาลยังตามไม่ทัน และคิดว่าพอบทจะคิดทัน ก็ถึงเวลาตลาดวายไปแล้ว ตามรุ่นพี่ เช่น จตุคามรามเทพ ตุ๊กตาลูกเทพ หรือ Pokemon Go และอื่นๆ ที่เกิดขึ้นและดับอย่างรวดเร็วในดินแดนที่เรียกว่า "สยามเมืองยิ้ม" หรือ หลายคนจะบอกว่าก็นี้แหละ คือ Thailand Only
สำหรับผมว่าปรากฎการณ์นี้อาจจะมีชีวิตรอดยาวกว่าที่พูดมาเพราะมันน่าค้นหาและที่สำคัญมันสร้างรายได้ มันจะเปลี่ยนรูปแบบการใช้เงิน ซึ่งหากมองชั้นของการสร้างรายได้ จะพบว่า คนที่ได้แน่ๆ มีอยู่ในเกมส์นี้
.
ถ้าสังเกตให้ดี หุ้นบางตัวในประเทศไทย ตั้งแต่ปลายปี 59 ถึง Q2 ปี 60 ยังวิ่งไม่หยุด เหตุเกิดจากปรากฎการณ์ Bitcoin ที่เป็นผลกระทบในทางอ้อม
สรุปว่าในเศรษฐกิจที่ว่าแย่ แต่ยังมีบางธุรกิจที่วิ่งได้อยู่เสมอ แล้วแต่ใครจะมองเห็น จริงป่ะ
.
ท้ายสุด อาจจะกล่าวว่า "การขาดทุนของเราคือกำไรของคนอื่น การได้กำไรของเราคือได้มาจากการขาดทุนของคนอื่น" ท่านว่าประโยคนี้จริงไหม ในตลาดการซื้อขายกันเช่นนี้

Nontawatt Saraman
SRAN
27/06/60

Tuesday, June 20

โค้ดบรรทัดสุดท้าย : The last Code ตอนที่ 1

DIGITAL HOLE : ดิจิทัลโฮลส์

ตอน "โค้ดบรรทัดสุดท้าย : The last Code"


12 มีนาคม 2560 คุณพลาดอีกแล้วนะ คุณนนท์
ระบบเฝ้าระวังบนเครือข่ายคอมพิวเตอร์ (Intrusion Detection System) ตรวจพฤติกรรมการเข้าถึงข้อมูล ได้พบกลุ่มไอพีที่ไม่ซ้ำเข้ามาปะทะ Server ของเรา แบบพฤติกรรมเดิมๆ โดยสุ่มรหัสผ่าน (Brute Force)เข้าที่ port สำคัญที่เราเปิด NAT ไว้ ไปที่ Server ฐานข้อมูลของระบบสำรวจอุปกรณ์ (Devices) เพื่อออกรายงานข้อมูลเชิงลึกของรัฐบาล

ถึงแม้จากรายงานยังไม่พบว่าถูกแฮกเข้าไปเพราะไอพีเหล่านั้นไม่มีสิทธิ แต่เราก็กังวลอยู่เนื่องจาก Server ของเรานี้ไม่ได้เปิด port มาตรฐาน และเต็มไปด้วยระบบรักษาความปลอดภัยอีกทั้งเรายังปิดการไต่ถึงของ bot ค้นหาทุกชนิด ไม่ว่าจะเป็น Crawler จากอเมริกา รัสเซีย จีน และทางยุโรป ก็ไม่สามารถเข้าถึงได้

แต่ 2 วันมานี้พบสิ่งผิดปกติดั่งกล่าว ซึ่งตั้งแต่เกิดโครงการนี้เรายังไม่เคยพบเหตุการณ์นี้เกิดขึ้น
มันเกิดหลังจากที่ทีมคุณ GBT (Ghostnet Buster Team) ได้รับภาระกิจ "Target exploit" ล้วงข้อมูล email กลุ่มบุคคลสำคัญของรัฐบาล
พจน์ ผู้ดูแลระบบรักษาความมั่นคงปลอดภัยกลางรัฐบาล กล่าว

เปล่าพลาดเลยครับ หากมองให้ดี ไอพีกลุ่มที่เห็นใน Log files นั้นเป็นการ Spoof ทั้งสิ้น คุณแดนเขาแจ้งผมให้ทราบแล้วตั้งแต่เมื่อวาน
แต่ทางผมต้องการรู้ว่า "ศัตรูที่แท้จริงเราเป็นใครกันแน่ ?" นนท์ตอบอย่างมั่นใจ
แดน พูดขึ้นแทรกระหว่างการสนทนาระหว่างพจน์ และนนท์ ว่า "ท่านครับ Crawler ที่เราส่งไปใน Deepweb พบเบาะแสการสร้างอาวุธไซเบอร์ชิ้นใหม่ และมันอาจจะกลายเป็น worm ระบาดในไม่ช้า"

5 กุมพาพันธ์ 2560 23:35 น.
ชั้น 48 คอนโดสยามซิตี้ สาธร ในห้อง 4812 ดูราวไม่ได้ทำความสะอาดหลายเดือน
วุฒ อดีตกลุ่ม Mw0rm ซึ่งเป็นคนไทยเพียงคนเดียวที่เข้ากลุ่มนี้ได้
งานหลักของวุฒ คือรับทำ Pen-test เป็นมือปืนรับจ้าง ถึงแม้เขาแทบจะไม่มี Certificate ในด้านนี้เลย แต่ในวงการรู้กันดีว่า เขาสามารถเขียน exploit เพื่อยิงระบบได้ และเป็นเด็กรุ่นใหม่ที่มีฝีมือ

วุฒ กำลัง Skyp คุยกับเพื่อนชาวฝรั่งเศส ชื่อ ลีออง เขาบอกว่าสิ่งที่เขาค้นพบยิ่งใหญ่มาก มันยังคงเป็น 0day อยู่
ลีออง ต้องการหาคนเขียน exploit และคนที่เขาเลือกคือวุฒ
เมื่อเขียนเสร็จแล้ว ลีออง จะนำ exploit ตัวนี้ขายในตลาดมืด Darknet
"นายค้นพบช่องโหว่นี้ได้ไง ?" วุฒถาม
ลีอองตอบแบบไม่ปิดบัง เขาได้จากการแลกเปลี่ยน email บุคคล ที่ถูก APT (Advanced Persistent Threat ) ใน datknet นี้แหละ และบังเอิญพบเข้าในไฟล์แนบ คิดว่าเป็นทีมที่ทำงานให้กับ NSA หน่วยงานด้านความมั่นคงของสหรัฐอเมริกา เพราะมีร่องรอยการรับส่งเมล์ไปที่ Booz Allen Hamilton ถึงแม้จะมีการเข้ารหัสไฟล์ไว้ แต่ไม่พ้น quantum brute force ที่ Cloud Computing ของฉันได้ถอดรหัสได้
ไฟล์แนบดังกล่าว เหมือนเขียนเพื่อเข้าถึง SMB (Server Message Block) ที่เป็น services หนึ่งของระบบปฏิบัติการ Windows เพื่อใช้สำหรับการแชร์ไฟล์ แต่เหมือนว่า code ยังไม่สมบูรณ์ ส่วนนี้มันรั่วหลุดมา คิดว่าตัวที่สมบูรณ์น่าจะมีการใช้งานจริงไปแล้ว
เท่าที่ดูยังไม่มีขาย exploit ตัวนี้ในตลาดมืด นายลองเขียนต่อสิ
แล้วเรามาแบ่งกัน ฉันตั้งราคาไว้ 50 bitcoin แบ่งครึ่งๆ กัน นายไป 25 bitcoin ลีออง กล่าว เมื่อฉันได้ขาย Exploit นี้แล้ว ฉันและพวกนายทุนใต้ดิน จะเล่นเกมส์ปั่น Bitcoin ให้อัตราแลกเปลี่ยนดันไปสูงกว่าราคาที่เป็นอยู่ตอนนี้ สัก 2 - 3 เท่า คงใช้เวลา 3-4 เดือนต่อจากที่ปล่อย Exploit นี้ นายเตรียมซื้ออัตราแลกเปลี่ยน Bitcoin ได้ หากเป็นไปตามแผนนี้ นายจะได้ 2 เด้ง เด้งสุดท้ายอาจจะได้มากกว่าที่ขาย Exploit ใน Darknet

วุฒ นั่งเทียบราคา bitcoin ตลาดแลกเปลี่ยนเงินตราเทียบเป็นเงินไทยในตอนนั้นคือ 89,500 บาท x 25 ได้ประมาณ 2 ล้านกว่าบาท อืม ... ครุ่นคิดอยู่พัก
เพียงจะอ้าปากตอบ ลีออง ก็เสนอว่า "ถ้านายเขียนไว ไม่เกิน 1 อาทิตย์ เมื่อเขียนเสร็จนายจะได้รับเงินทันที"
วุฒ ตอบว่า ฉันขอดู โค้ดที่นายได้รับมาจาก NSA ก่อน จะให้คำตอบ เช้านี้

ในอดีต วุฒ และ ลีออง เคยร่วมงานกันมาก่อน ในการขาย account yahoo email และ twitter หลังได้รับผลกระทบ SSL heartbleed ในปี 2014 ช่วงนั้นทำให้ทั้งคู่สนิทสนมกัน ขาย account ไปได้หลายตังในตลาดมืด (Darknet Market)

ลีออง ตอบ "OK ตามนั้นนะ" พร้อม ส่งไฟล์ โค้ดช่องโหว่ SMB ผ่าน Telegram ใน account ที่พร้อมใช้และทิ้งไป ผ่าน 10minutemail โดยใช้ Anonymous ตลอดทุกเส้นทาง ผ่าน I2P
พร้อมส่งรหัสผ่านเพื่อเข้าถึงไฟล์ผ่าน link pastebin ตั้งอายุเพียง 2 ชั่วโมงข้อความจะหายไป ทั้ง 2 ส่วนดูเหมือนไม่เชื่อมโยงกันเลย
"แน่มากนะ ที่กล้าใช้ สาธารณะล้วน ทั้ง Telegram และ pastebin" วุฒตอบ
ลีออง หัวเราะแล้วตอบว่า
"ถ้ามันจะกลายเป็นเรื่องใหญ่ จะได้ให้ตำรวจไซเบอร์มีงานที่ท้าทายทำบ้าง"
เพราะปัจจุบันมีแต่คดีด่าพ่อล้อแม่ ไม่ท้าทายนักนะ


14 กุมภาพันธ์ 2560 19:30 น. ร้านอาหารแถวดอนเมือง วุฒ นั่งกินข้าวกับเพื่อนอีก 2 คน คือ พุก ทำงานที่โรงพยาบาลสยามเฮล (ถ้าจำได้ในบท Hacker Here? พุกเป็นตัวละครหนึ่ง) และ ดา ดาเป็น IT Audit บริษัทใน Big 4 ล่าสุด ดา จับงานพวก Audit code ตรวจหาความเสี่ยงจากการเขียนโปรแกรม ด้วยประสบการณ์ ที่มีในงาน Audit นับสิบปี และเคยตรวจสอบระดับ Enterprise มาแล้วหลายงาน ตลอดจนเป็นคนละเอียด ใจเย็น ทำงานผิดพลาดน้อย จึงทำให้ดาถูกโปรโมทจากบริษัท
วุฒ และ ดา กำลังจีบๆ กันอยู่ ดาเป็นผู้หญิงเรียบร้อย บ้านรวยมาก เป็นคุณหนูของบ้าน คุณพ่อและคุณแม่ห่วงมาก แต่ดาเป็นคนชอบทำงานเป็นคนใฝ่หาความรู้และชอบพบปะผู้คน

และดวงชะตาได้พาทั้งคู่มาพบกัน ในหลายงานวุฒรับประเมินความเสี่ยงระบบ โดยเฉพาะงาน Pen-test โดยบริษัทของดา จ้างSub อีกที และมักจะมาลงที่วุฒ
ส่วนพุกเป็นเพื่อนสนิทของดา รู้จักดาตั้งแต่เรียนมหาวิทยาลัย ดาให้ พุกมาป็นเพื่อนไม่กล้าที่จะมากินข้าวลำพังกับวุฒ 2 คน โดยเฉพาะวันแห่งความรักพอดี
คุยกันอยู่พักหนึ่ง ดา ก็เล่าว่า พี่ชายของดา ทำเหมือง Bitcoin โดยใช้ โซล่าเซล มาช่วยประหยัดไฟฟ้า เขาเป็นนักประดิษฐ์ เขาซื้อการ์ด GPU ผ่าน Alibaba และมาประกอบเซ็ตระบบเองหมด เพื่อที่จะทำการขุดเหมือง Server ทั้งหมดวางอยู่ โรงรถข้างบ้าน คือ เปลี่ยนโรงรถ ให้เป็นที่ขุดเหมือง Bitcoin ทั้งที่งานหลักของพี่ชาย คือ หัวหน้าช่างเทคนิคอยู่การไฟฟ้า พี่ชายอยากให้ดา มาซื้อขายอัตตราแลกเปลี่ยนเงินดิจิทัล ผ่านพวก Cryptocurrency จึงถามวุฒว่ามันปลอดภัยแค่ไหน ?
วุฒก็เล่าว่า มีความปลอดภัย และการทำงานแบบ blockchain มันตรวจสอบกันและกันเองได้ ซึ่งมีโอกาสสูงว่าจะเป็นการเปลี่ยนโฉมระบบธนาคารที่เป็นอยู่เดิมได้
พุกกล่าวมาลอยๆ ว่า"เออ ไวรัสคอมพิวเตอร์ มันจะมีผลกับห่วงโซ่ Blockchain ได้ป่ะ"

วุฒ ตอบ "ทำให้มันเกี่ยวกันได้"
แล้ว พูดกับพุกว่า "ฉันรู้จักนายพุก นายเขียนไวรัสได้ นายต่อยอดหน่อยได้ป่ะ ให้มันแพร่กระจายตัวได้เอง"
พุก ตอบ "ทำได้เหมือนกัน ถ้ามีช่องโหว่ (Vulnerability) แล้วอาศัยช่องนั้นเข้าไปยึดเครื่อง จากเครื่องก็จะไปเรื่อยๆ" พุกตอบ
"สิ่งที่ฉันทำได้ ก็ต่อเมื่อมีคนทำ Exploit เพื่อเข้าถึงเครื่องให้ฉันก่อนเพราะฉันไม่คล่องในจุดนั้น จากนั้นฉันจะทำให้เป็น Virus และ Worm ต่อได้ เพราะ ฉันมีวิธีเอาชนะ Process ที่รันบน OS เออต้องดูระบบปฏิบัติการด้วยนะ ถ้าเป็น Windows ฉันพอได้ แหะๆ" พุกตอบแบบอายๆ

ฉายาใน Darknet พุก คือ "mutex expert"


                                             ภาพ Introduction to Mutex objects จาก https://msdn.microsoft.com/en-us/library/windows/hardware/ff548097(v=vs.85).aspx

ดา กล่าวขึ้นว่า "ถึงจะเป็น Worm ได้แล้วมันจะเกี่ยวกับ Blockchain และ Cryptocurrentcy ได้อย่างไง?"

พุก ตอบ "ฉันรู้ล่ะ มันเชื่อมกันได้ถ้ามัน เรียกค่าไถ่ได้"
ทั้ง 3 คนพูดพร้อมกันว่า "Ransomware"
ใช่มันต้องเป็น Ransomware
เพื่อนฉันคนหนึ่ง ชื่อ แดน เขาเคยได้ code Locky Ransomware เคยเอามาอวด ในกลุ่ม พุก กล่าวเสริม
แล้ว วุฒ ถามแล้วติดต่อแดน ได้ป่ะ
พุก ตอบเห็นล่าสุดทำงานเป็น Out source ให้กับหน่วยงานรัฐที่หนึ่งนะ มี Line แดน อยู่ จะลองคุยให้
วุฒ คิดในหัว พร้อมมองไปที่หญิงแท้ (ดา) และ หญิงเทียม (พุก) สงสัยงานนี้มีโอกาส 3 เด้ง

+++++++++++++++++++++++++++++++

20 กุมภาพันธ์ 2560 15:40 น
ลีอองส่งข้อความผ่าน Telegram ขอค่า wallet จากวุฒ ความว่า
"สวัสดีวุฒ ในที่สุดฉันขาย exploit ไปแล้วนะมันยอดมากเลยเพื่อน ฉันขอ wallet address นายทีจะโอนให้"

วุฒ ส่งตอบกลับว่าในเวลาไม่นาน เสียง message ดังขึ้น ติ่งตื้ง "1QAc9S5EmycqjzzWDc1yiWzr9jJLC8sL1Y"

จากนั้นลีออง ก็โทรผ่าน Skyp มาที่วุฒ "เฮ้ นายราคาถูกต่อรองเหลือ 40 bitcoin นะ"
วุฒ ถามกลับว่า "แล้วขายให้ใครอ่า ที่ไหนอ่า"

ลีออง ตอบ "เห็นว่าเป็นอดีตสายลับรัสเซีย ซื้อไป" เดี๋ยวฉันส่ง address ให้นายไป check ดูได้
นายไปที่ Deepweb >> https://mvfjfugdwgc5uwho.onion ถ้านายเป็น member อยู่ก็ login เข้าไปแล้วฉันจะส่ง post ให้ว่ายืนยันฉันขายตามราคาที่บอกจริง"
วุฒ ตอบ "ก็ได้"

++++++++++++++++++++++++++++

อ่านต่อตอนต่อไป ติดต่อมาที่ info@cipat.org เพื่อขอฉบับเต็ม

Nontawatt Saraman
นนทวัตต์  สาระมาน
ผู้เขียน
สงวนลิขสิทธิ์
17 มิถุนายน 2560

ช่องโหว่ไม่เคยเปลี่ยนแปลง

นวัตกรรมการประเมินความเสี่ยงเพื่อหาช่องโหว่ผ่าน Cloud Platform
จะกลายเป็นจุดเปลี่ยนการทำงานในด้านประเมินความเสี่ยงในอนาคต โดยมี Startup ในต่างประเทศในบางราย (Hacker1) เข้าแถวทำแนวคิดนี้จนก้าวเข้าสู่ Series C ไม่นานคงเข้า IPO ตามรุ่นพี่ๆ เพราะดูจากเงินระดมทุนแบบมีอนาคต (1,400 ล้านบาท)
.
"หาช่องโหว่ได้ถึงได้เงิน นักรบอิสระทำงานได้ทุกพื้นที่ในโลกใบนี้ เพียงขอให้มีเน็ต"
.
ผลการจาก Open bug bounty
พบการทดสอบ XSS (cross site scripting) แล้วพบว่าในรอบเดือนที่ผ่านมาเว็บไซต์หน่วยงานรัฐของประเทศไทยนั้น ไร้การปรับปรุง (Un patched) 100%


รูปที่ 1 ภาพการประเมินความเสี่ยงด้วยเทคนิค XSS ผ่าน Open Bug Bounty ข้อมูลเปิดเผยแพร่ไปทั่วโลก พบหน่วยงานรัฐไทย ไม่มีการปรับปรุง

รูปที่ 2 ภาพการประเมินความเสี่ยงด้วยเทคนิค XSS สถาบันการศึกษาในประเทศไทย พบมีการปรับปรุงอยู่บ้างแต่ไม่ทั้งหมด

รูปที่ 3 เอกชนในประเทศไทยที่มีโอกาสโดน XSS ดูๆ แล้วล้วนแต่เว็บใหญ่
ดูกันเอาเองว่าใครเป็นใครแล้วช่วยบอกต่อเพื่อแก้ไขด้วยนะครับเพราะข้อมูลเหล่านี้ใครๆ ก็เห็นได้ มีช่องโหว่จริง แล้วจะบอกว่าไม่เตือนก่อน

 13 มิถุนายน 2017
Nontawatt S

Wednesday, May 3

รู้ก่อนทำ อินเทอร์เน็ตหมู่บ้านกับภัยคุกคามทางไซเบอร์

    ตามที่รัฐบาลตั้งเป้าหมายผลักดันนโยบาย Thailand 4.0 เพื่อให้ประเทศก้าวพ้นกับดักประเทศรายได้ปานกลาง โดยนโยบายหนึ่งที่เป็นส่วนสำคัญในการขับเคลื่อนประเทศ คือโครงการอินเตอร์เน็ตหมู่บ้าน ที่มีทั้ง ทีโอทีและกสทช. เป็นผู้รับผิดชอบ เป้าหมายคือให้ชุมชนโดยเฉพาะตามหมู่บ้านที่ห่างไกลกว่า 4หมื่นหมู่บ้านสามารถเข้าถึงอินเตอร์เน็ตความเร็วสูงได้

จากข้อมูล internet world stats  เดือนมีนาคม 2560  การใช้งานอินเทอร์เน็ตทั่วโลกมีการใช้งานดังนี้



จากข้อมูลพบว่าทวีปเอเชียมีจำนวนผู้ใช้งานเข้าถึงอินเทอร์เน็ตจำนวนมากที่สุดในโลก
ประเทศจีนมีผู้ใช้งานอินเทอร์เน็ตมากที่สุดในโลก คือ 721,434,547 คน แต่เมื่อเทียบกับจำนวนประชากร การเข้าถึงอินเทอร์เน็ตเพียง 52.2%  เท่านั้นเอง

ส่วนประเทศที่มีอัตตราส่วนประชากรต่อการใช้งานอินเทอร์เน็ต 100% คือ ประเทศไอซ์แลนด์  คือ มีประชากรในประเทศทั้งหมด 331,778 คน เข้าถึงอินเทอร์เน็ตได้ครบ

ส่วนประเทศไทยเรา เมื่อปี 2559 มีจำนวนประชากรทั้งหมด 68,146,609 คน มีการเข้าถึงอินเทอร์เน็ตจำนวน 29,078,158 คน คิดเป็นอัตตราส่วน 42.7%   ประเทศไทยเราติดอันดับ 24 ของโลกที่มีการใช้งานอินเทอร์เน็ต  
และเมื่อเกิดโครงการนี้ อันดับการเข้าถึงข้อมูลในประเทศไทยจะยกระดับขึ้น

เมื่อมีนโยบายการจัดทำอินเทอร์เน็ตหมู่บ้าน ที่สร้างโอกาสเข้าถึงอินเตอร์เน็ต เป็นนโยบายที่ดี ที่ส่งเสริมการเข้าถึงข้อมูลของคนในประเทศ  ซึ่งคุณประโยชน์หลายอย่างย่อมมีโอกาสมีความเสี่ยงภัยตามมา หากแต่ภาครัฐต้องไม่ลืมว่าสิ่งมีคุณอนันต์ ย่อมอาจมีโทษมหันต์ด้วยเช่นกัน กรณีที่รัฐสามารถทำให้ประชาชนที่อยู่ห่างไกลเข้าถึงอินเตอร์เน็ตได้ ย่อมมีโอกาสเช่นกันที่ประชาชนผู้ใช้งานเหล่านั้นจะโดนภัยคุกคามที่มาจากอินเตอร์เน็ตเล่นงานเข้าก็เป็นได้ หรือหากมีผู้ไม่หวังดีแฮ็กเข้าไปในระบบอินเตอร์เน็ตของหมู่บ้านเหล่านี้นแล้วแพร่เชื้อไปยังผู้ใช้งานคนอื่นๆ อะไรจะเกิดขึ้น

"เมื่อมีการเข้าถึงข้อมูลสิ่งติดตามมาเสมือนเงา นั้นก็คือ ภัยคุกคามที่เกิดขึ้นจากการใช้งานอินเทอร์เน็ต"

ข้อมูลจาก hackmageddon  เว็บไซต์จัดสถิติข้อมูลทางด้านระบบรักษาความมั่นคงปลอดภัยทางข้อมูลได้ทำผลสำรวจพบว่า





จากข้อมูลสถิติเมื่อเทียบกันระหว่างปี 2558 และ 2559  พบว่าอันดับแรกที่พบความเสี่ยงคือภัยจาก 
ภัยจากอาขญากรรมทางไซเบอร์ (Cyber Crime)  นั้นคือการแฮกระบบ ,  การนำข้อมูลไปใช้งานเชิงอาชญากรรม  การหลอกลวง และการติดเชื้อไวรัส และการแพร่เชื้อเพื่อทำให้ระบบสื่อสารหยุดการให้บริการ  ซึ่งภัยคุกคามที่เกิดขึ้นล้วนแล้วเกิดบนโลกอินเทอร์เน็ต 

ข้อมูลการโจมตีทางไซเบอร์ จากระบบ Honeypot LAB ของทีมงาน SRAN ( http://www.sran.org/attack ) เมื่อเดือนเมษายน 2560 ทำการสรุปข้อมูลดังนี้

 
 พบว่าประเทศที่มีการโจมตีระบบมากที่สุดคือประเทศจีน โจมตีต่อวันถึง 10,006 ครั้งต่อวัน และ ภัยคุกคามที่พบคือ ชุดไอพีอันตรายในการโจมตี  ความหมายคือ IP ที่เป็นสาธารณะ ที่ถูกนำไปใช้ในทางที่ไม่เหมาะสม เช่น เป็นบอทเน็ตไปโจมตีประเทศอื่นๆ  เช่น การส่งข้อมูลขยะ หรือ เรียกว่า Spam ไปทั่วโลกเป็นต้น เกิดขึ้นวันล่ะ 18,339 ครั้งต่อวัน
จะเห็นได้ว่าในอันดับ 1-20 ที่นำมานี้ไม่มีประเทศไทยติดอันดับนักโจมตีระบบ  แต่หากมีการขยายการเข้าถึงข้อมูลสถิติการโจมตีในประเทศไทยอาจจะเลื่อนอันดับขึ้นก็ได้

10 อันดับภัยคุกคามที่พบในประเทศไทย  (ข้อมูลจาก Honeypot LAB ของทีมงาน SRAN) เมื่อเดือนกุมภาพันธ์ 2560

ระดับความถี่ที่เกิดขึ้นภัยคุกคามเกิดขึ้นต่อวัน พบว่า การโจมตีเว็บไซต์จากไอพีสาธารณะ (Public IP Address) พบถึง 17,351 ครั้งต่อวัน  (ซึ่งอาจจะแฮกสำเร็จและไม่สำเร็จ แต่ในระบบ Intrusion Detection System พบว่ามีลักษณะการโจมตีเว็บไซต์ไม่ว่าเป็นการทำ SQL Injection , Cross site scripting หรือ XSS เป็นต้น)

 
จากภาพข้อมูลจาก Honeypot LAB จากทีมงาน SRAN เดือนกุมภาพันธ์ 2560  พบว่า โดเมนที่พบภัยคุกคามทางไซเบอร์มากที่สุดมาจากหน่วยงานด้านการศึกษา  รองลงมาคือหน่วยงานภาครัฐ    

แบ่งได้ดังนี้
- ประเภทการโจมตีเว็บไซต์ ที่เป็นโดเมนในประเทศไทย 
 
 
 พบว่าหน่วยงานรัฐในประเทศไทย ถูกโจมตีขึ้นเป็นอันดับ 1  ถึงเดือนละ 893 ครั้ง สูงกว่าโดเมนสถาบันการศึกษา 89 ครั้งต่อเดือน และ ภาคเอกชน  88 ครั้งต่อเดือน ซึ่งเป็นการแฮกและโจมตีระบบที่สำเร็จ และถูกเผยแพร่ทางสาธารณะ เช่นเว็บไซต์ Zone-h ที่เป็นสถิติภาพรวมของนักโจมตีระบบเป็นต้น

- ประเภทภัยคุกคามที่เกิดจากการติดเชื้อ

 
การติดเชื้อมัลแวร์ จากสถิติพบว่าสถาบันการศึกษาในประเทศไทยมีอัตตราการติดเชื้อมากที่สุด จำนวนการติดเชื้อถึง 3,024 ครั้งต่อเดือน  รองมาคือหน่วยงานภาครัฐ  1,652 ครั้งต่อเดือน  

จะเห็นว่าภาครัฐ เป็นเป้าหมายการโจมตี  หากรัฐไม่ปลอดภัยการให้บริการประชาชนผ่านสื่อออนไลน์ก็ควรพิจารณาถึงความเสี่ยงและผลกระทบตามมา

อันนี้เป็นข้อมูลเบื้องต้นให้เห็นว่าภัยคุกคามทางไซเบอร์คือเงาสะท้อนกับการใช้งานอินเทอร์เน็ตที่เกิดขึ้น มันเป็นภัยซ่อนเร้นที่หากไม่ตระหนักจะสร้างความสูญเสียให้แบบประเมินมูลค่ามิได้  และข้อมูลและสถิติเกิดจาก LAB ของทีมงาน SRAN  เป็นเพียงแค่ส่วนหนึ่งเท่านั้น จากการโจมตีที่เกิดขึ้นจริงบนโลกออนไลน์ 

 ซึ่งภัยคุกคามที่ไม่สามารถควบคุมได้ เช่น อาจเกิดประเด็นมีผู้ไม่หวังดีเข้าใช้งานในบริการอินเตอร์เน็ตความเร็วสูงที่รัฐให้บริการฟรีนี้แล้วเอาไปกระทำความผิดตาม พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2560 ผู้ให้บริการจะรู้และหาตัวผู้กระทำความผิดได้หรือไม่อย่างไร ? 

เราลองจิตนาการดูว่าเมื่อลิงค์ที่เข้าถึงข้อมูลผ่านเครือข่ายคอมพิวเตอร์อินเทอร์เน็ตหมู่บ้านทั้งเกือบ 4 หมื่นกว่าหมูบ้าน เป็นช่องทางในการโจมตีทางไซเบอร์  การติดเชื้อบอทเน็ต (Botnet)  เพื่อโจมตีระบบทั้งในประเทศไทย และ อาจจะถูกนำไปโจมตีในระดับประเทศ ที่เป็นลักษณะ "Cyber warfare" นั้นคงไม่สนุกเลยสำหรับหน่วยงานด้านความมั่นคงในประเทศไทย ที่ต้องตามมาแก้ไขและซ่อมแซมในภายหลัง จะดีกว่าไหมหากเราควรออกแบบระบบให้ปลอดภัยตั้งแต่แรก

หว้งว่าผู้รับผิดชอบจะให้ความสำคัญและเตรียมความพร้อมป้องกันไว้ก่อน ล้อมคอกไว้ก็วัวจะหาย 

พื้นที่สาธารณะที่ใครๆ ก็เข้าถึงข้อมูล 

  เพราะใครๆ ก็รู้ว่า Free wifi  เดิมๆ ที่ให้ประชาชนใช้โดนระบุให้กรอกข้อมูลเลขบัตรประชาชนเอาเข้าจรงก็สามารถเอาเลขบัตรประชาชนปลอมลงทะเบียนได้ แบบนี้มันก็ไม่มีประโยชน์อะไรเลย 
ประเด็นเรื่องการระบุตัวตนผู้ใช้งานในพื้นที่นั้นๆ มันควรมีการหารือกันอย่างดี เพื่อลดปัญหาที่เกิดขึ้นในอนาคตหากมีการกระทำผิดเกิดขึ้นไม่สามารถหาผู้กระทบผิดได้  ในโลกความเป็นจริงมีโอกาสเกิดขึ้นได้เสมอ

และอีกอย่างข้อมูลจราจรคอมพิวเตอร์ที่กฎหมายกำหนดให้ผู้ให้บริการต้องจัดเก็บ ก็ตีความไปเองแล้วแต่ว่าหน่วยงานตัวเองอยากจะได้แบบไหน ทั้งๆ ที่หน่วยงานที่เกี่ยวข้องก็ออกเป็นมาตรฐานไว้แล้ว เช่น มาตรฐาน มศอ. เป็นต้น แบบนี้จะมีหน่วยงานเหล่านี้ไว้ทำไม?

สิ่งที่ควรพิจารณาร่วมในการออกแบบระบบ นั้นคือ 

1. ระบบรักษาความมั่นคงปลอดภัยข้อมูล อย่างน้อยสุดควรมีระบบป้องกันเนื้อหาไม่เหมาะสม (Firewall and Content Filtering) อย่างน้อยควรป้องกันภัยคุกคามจากไวรัสคอมพิวเตอร์ มัลแวร์ และการกลั่นกรองเนื้อหาที่ไม่เหมาะสม โดยเฉพาะที่เป็นเนื้อหาที่เป็นภาษาไทย อย่างน้อยเพื่อกันการเข้าถึงข้อมูลอันไม่เหมาะสมและกระทบต่อสถาบันหลักของประเทศ  เพราะโครงการนี้ถือว่าเป็นการให้บริการอินเทอร์เน็ตบนพื้นที่สาธารณะจึงมีโอกาสที่ผู้ไม่หวังดีจะนำมาใช้เป็นช่องทางในการโจมตีในทุกรูปแบบต่างๆ หากไม่มีการออกแบบและควบคุมเพื่อความปลอดภัยตั้งแต่แรกก็อาจเกิดปัญหาที่คลาดไม่ถึงตามมาได้
 
2. การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ตามกฎหมายและการวิเคราะห์ข้อมูลขนาดใหญ่ (Log Management and Big data Analysis)  เพื่อเวลาเกิดเหตุแล้วยังสามารถที่สืบค้นหาผู้กระทำความผิดและหยุดระงับยับยั้งเมื่อพบเหตุการณ์ที่ไม่พึ่งประสงค์จากการโจมตีทางไซเบอร์ได้ทันเหตุการณ์   
ส่วนนี้สำคัญมากเพราะต้องทำตามกฎหมาย พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ มาตรา 26  หากไม่มีการเก็บ Log files  เราจะไม่สามารถทราบได้เลยว่าเกิดอะไรขึ้นบ้าง 

3. โครงการในระดับใหญ่ ควรสงวนพื้นที่ให้คนไทย หากเรามองว่าข้อมูลคือความมั่นคงของประเทศอย่างหนึ่ง  เราควรสงวนการเก็บบันทึกข้อมูลและการวิเคราะห์ข้อมูลที่เกิดขึ้นให้คนไทยทำ การเก็บบันทึกข้อมูลนั้นควรอยู่ในประเทศไทย ไม่ควรอยู่ในต่างประเทศ เพราะเป็นที่ทราบกันดีว่าโลกสมัยใหม่สู้กันด้วยข้อมูล แล้วข้อมูลเหล่านี้มาจากไหน ก็มาจาก Log files ของระบบนั้นเอง 

อย่างน้อยข้อมูลจาก Log ที่เกิดขึ้นสามารถนำไปต่อยอดในการพัฒนาเป็นส่วนวิเคราะห์ข้อมูลขนาดใหญ่ (Big Data) เพื่อที่ทำให้ทราบถึงความต้องการที่แท้จริงของประชาชนในุมชนนั้นๆ เพื่อการตอบสนองบริการจากภาครัฐได้อย่างเหมาะสมและเท่าเทียมกันได้มากขึ้น

หากต้องการกระตุ้นเศรษฐกิจอย่างแท้จริง ควรขับเคลื่อนการติดตั้งอุปกรณ์จากพื้นที่ชุมชนนั้นๆที่เกิดขึ้นเพื่อการกระจายรายได้สู่ชนบท

ทั้งหมดนี้ก็เพื่อสอดคล้องกับ Thailand 4.0 การขับเคลื่อนประเทศด้วยดิจิทัลได้อย่างแท้จริง ประชาชนต้องได้ประโยชน์ และ มีความปลอดภัย ควบคู่กันไปด้วย


SRAN
2 พฤษภาคม 2560 
  

Wednesday, February 8

การระบุตัวตนนักโจมตีเว็บไซต์ด้วย RealLog - Security Orchestration








ที่มา
เกิดจากการตั้งคำถามที่ว่าเราจะรู้เท่าทันการโจมตีทางไซเบอร์ได้อย่างไร ?
"หากเราไม่มี Log files เราหมดสิทธิรู้ได้ หากเราไม่มีระบบเฝ้าระวังภัยคุกคามทางไซเบอร์เราหมดสิทธิรู้ได้แน่นอน" ดังนั้นเริ่มต้นคือต้องมี Log ก่อน
องค์กรไหนมีตัวเก็บ Log files และได้เปิดค้นหาดูย้อนหลัง หรือดูในช่วงเวลานั้น ไม่ว่าประเภท Log นั้นจะเป็น Network Log หรือ Log ที่เกิดขึ้นจาก Application ของเครื่องแม่ข่ายโดยเฉพาะเป็น Public IP หรือไอพีจริง ด้วยแล้ว จะพบว่ามีการโจมตีทางไซเบอร์เกิดขึ้นตลอดเวลา
ไม่ว่าเป็นการโจมตีประเภท Brute Force รหัสผ่านผ่านช่องทาง Protocol SSH  , การเจาะระบบผ่านโรบ็อตเพื่อเข้ายึดเครื่องแม่ข่ายผ่าน Web Application (Web Attack XSS , SQLi etc) หรือแม้กระทั่งถูกเปลี่ยนหน้าเว็บเพจ (Defacement) ซึ่งเหล่านี้เป็นเหตุการณ์ที่หลายหน่วยงานองค์กรประสบพบเจอแม้กระทั่งหนักสุดคือการโจมตีแบบ DDoS/DoS ที่เพียงชั่วพริบตาอาจทำให้ระบบหยุดชะงักตั้งแต่ต้นทางผู้ให้บริการ ISP ท่อเต็มจนไปถึงเว็บไซต์ที่เผยแพร่ข้อมูล

ในหลายหน่วยงานที่มีเครื่องไม้เครื่องพร้อมอาจจะรู้ทันและเห็นการโจมตีทางไซเบอร์ตลอดจนแก้ไขปัญหาฉุกเฉินได้อย่างทันเวลา (Incident Response) โดยส่วนใหญ่แล้วลงทุนในด้านนี้สูงหรือใช้งบประมาณหลายสิบล้านบาทถึงทำให้รู้เท่าทันภัยและการโจมตีทางไซเบอร์
แต่ยังมีอีกหลายองค์กรซึ่งเป็นส่วนใหญ่ของประเทศที่จะรู้ก็ต่อเมื่อโดนเจาะระบบไปแล้ว  โดยเฉพาะเว็บไซต์หน่วยงานอันเป็นภาพลักษณ์ขององค์กร
เพื่อตอบคำถามดังนี้
(1) เราจะรู้ทันการโจมตีทางไซเบอร์ได้อย่างไร ?
(2) เมื่อเรารู้แล้วเราพร้อมที่รับมือและแก้ไขสถานการณ์ฉุกเฉินได้อย่างไร ?
(3) หลักฐานเราจะระบุตัวตนนักโจมตีระบบด้วยวิธีไหน ?
(4) ทั้ง 3 ข้อที่กล่าวมาทั้งหมดนี้อยู่บนงบประมาณที่ประหยัดและคุ้มค่าที่สุด

เราจะทำได้อย่างไร ?  ซึ่งเป็นที่มาของ RealLog

แล้ว RealLog คืออะไร ?

RealLog เกิดขึ้นจากการพัฒนาของทีมงาน SRAN   โดยตั้งข้อสังเกตว่าเนื่องจากการป้องกันภัยคุกคามทางไซเบอร์ไม่สามารถป้องกันได้ 100%   จะดีกว่าไหม หากมีระบบที่สามารถรู้เท่าทันการโจมตีและระบุการกระทำผิดได้  โดยมีความละเอียดของข้อมูลสูงพอที่จะวิเคราะห์หรือแกะรอยหาต้นตอของผู้กระทำความผิดได้อย่างสะดวกและรวดเร็ว  รวมถึงหาวิธีการแก้ไขปัญหาและสถานการณ์ฉุกเฉินได้อย่างมีประสิทธิภาพที่สุด

"เพราะการป้องกันแฮกไม่สามารถป้องกันได้ 100%  แต่เรามีทางที่รู้ทันปัญหาและแก้ไขสถานะการณ์ที่เกิดขึ้นได้อย่างทันท่วงที ด้วย RealLog"

ในต่างประเทศเรียกระบบแบบนี้ว่า Security Orchestration คือการนำ Log files ที่มีคุณภาพที่เกิดจากการวิเคราะห์แล้วจากอุปกรณ์ SIEM (Security Information Event Management) หรือ เครื่องมืออื่นๆ อันเป็นกระบวนการกลั่นกรองข้อมูลจาก Log files ที่สมบูรณ์ โดยนำมาเทียบกับค่าดัชนีชี้วัดความเสี่ยงที่เรียกว่า IOC (Indicator of Compromise) ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ

 RealLog is "Security Orchestration (for web server)"



หลักการทำงาน 




หลักการทำงาน คือ การรับค่า Log จาก Access log คือ log ที่มีในเว็บไซต์ทั่วไปส่งเข้า IOC agent และค่าการประเมินความเสี่ยงแบบสังเกตการณ์ทำแบบต่อเนื่อง (Passive Vulnerability Assessment) ค่า Log ดังกล่าวส่งไปที่ IOC agent ส่วนสุดท้ายคือ Log จากระบบเฝ้าระวังภัยคุกคามทางเครือข่ายคอมพิวเตอร์ (Intrusion Detection System) log ส่วนนี้ก็จะถูกส่งไปที่ IOC agent  จากนั้น IOC agent จะคัดกลั่นกรองข้อมูล โดยใช้เทคนิคทาบ Log เทียบเคียงจากค่าดัชนีความเสี่ยงเพื่อประมวลผลเป็น RealLog   ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ



RealLog เป็นระบบ Security Orchestration แบบหนึ่ง โดยทีมงาน SRAN ผู้พัฒนานั้นได้ออกแบบมาเพื่อการระบุตัวตนนักโจมตีระบบและการแก้ไขสถานะการณ์ฉุกเฉินจากการโจมตีเว็บไซต์เป็นหลัก

การออกแบบ RealLog  คือการต่อยอดจากสิ่งที่เคยทำมาเมื่อประมาณปี 2007 SRAN Data Safehouse ผ่านมา 10 ปีพอดี ได้ฤกษ์ออกแบบใหม่หมด โดยได้นำเทคนิค "Security Orchestration" เข้ามาผสมผสาน โดยองค์ประกอบภายในได้นำเทคนิคสมัยใหม่เข้าใช้งานทั้งหมด


โดยมคุณสมบัติดังนี้

องค์ประกอบที่ 1  เรื่องการวิเคราะห์ Log และการมองเห็น  (Log Visibility and Analysis)
1. การรวมศูนย์วิเคราะห์ Log web server หรือ Farm server  เพื่อการรู้เท่าทันการโจมตีทางไซเบอร์
2. การมองเห็นค่า SSL ที่เกิดขึ้นผ่านการโจมตีเว็บไซต์
3. การใช้งานปกติและข้อมูลที่มีความเสี่ยงเพื่อทำการเก็บบันทึกข้อมูลตามกฎหมาย
4. การออกรายงานสถิติและการวิเคราะห์ผ่านแผนที่ภูมิศาสตร์
5. การเห็นค่าไอพีที่แท้จริงหลัง IP NAT (Behind IP NAT / local address)
6. การเห็นค่าไอพีที่แท้จริงหลังการผ่าน Proxy/Anonymous  (Behind IP Proxy/Anonymous)
7. การเห็นค่าซอฟต์แวร์ ชนิดของบราวเซอร์และระบบปฏิบัติการ
8. การเก็บบันทึกประวัติ Session cookie
9. การค้นหาข้อมูลและการเลือกดูย้อนหลัง



องค์ประกอบที่ 2  เรื่องการระบุตัวตนนักโจมตีระบบ (Identify Real Attacker)
1. การระบุตำแหน่ง IP Geo-location ที่ได้จากฐานข้อมูลกลาง และแสดงผลผ่านแผนที่ภูมิสารสนเทศ
2. การระบุตำแหน่งที่แท้จริง Real location access จากละติจูด (latitude) และลองติจูด (longitude)
3. การระบุค่า IP Address / ASN  ชื่อหน่วยงานองค์กร ชื่อประเทศ และชื่อเมือง



 องค์ประกอบที่ 3  การประเมินความเสี่ยงอย่างต่อเนื่องเพื่อวิเคราะห์หาปัญหาระบบอย่างแท้จริง

 1. การนำ Log จากระบบ NIDS (Network Intrusion Detection System) เพื่อนำมาวิเคราะห์หาปัญหาที่เกิดขึ้น
2. การนำ Log จากการทำ Passive Vulnerability Assessment  เพื่อนำมาวิเคราะห์หาปัญหาที่เกิดขึ้น
3. การตรวจจับลักษณะการโจมตีโดยใช้มาตรฐาน OWASP  เป็นค่ากำหนด
4. การตรวจจับภัยคุกคามโดยการเปรียบเทียบค่า Log files จาก IOC (Indicator of Compromise)
5. การแจ้งเตือน (Notice) เพื่อระบุปัญหาที่เกิดขึ้นผ่านเว็บบริหารจัดการ (Web management gui)
6. ตรวจจับไอพีแอดเดรสที่ทำการใช้เครื่องการสแกนอันกระทบต่อระบบการใช้งานได้ (Scanner Tools Detection)
7. ตรวจจับการ Brute Force ระบบผ่านช่องทาง Protocol อื่นที่มีความสำคัญต่อระบบได้
8. ตรวจจับปริมาณ Session จากแหล่งที่มาต้นทางไอพีแอดเดรสอันส่งผลกระทบต่อระบบได้

องค์ประกอบที่ 4  การแจ้งไขปัญหาฉุกเฉิน (Incident Response) และการป้องกันภัยคุกคามจากการโจมตีทางไซเบอร์ (Cyber Protection)
1. เมื่อพบการแจ้งเตือน (Alerts)  สามารถสั่งระงับการเข้าถึงนักโจมตีระบบได้
2. รายงานสำหรับการแจ้งเตือน และแจ้งสถานะการณ์ความเสี่ยงที่พบ

3. การตั้งค่าการปิดกั้นชุดไอพีอันตราย
4. การตั้งค่าปิดกั้นการเข้าถึงในการอำพรางตัวตน (Anonymous)
5. แสดงค่าสถานะการปิดกั้นและการป้องกันภัยคุกคามทางไซเบอร์ที่เกิดขึ้น




 นนทวัตต์  สาระมาน
SRAN Dev Team
08/02/60


Thursday, January 19

การเก็บ Log เปลี่ยนแปลงไปแค่ไหน หากโลกนี้เป็น SSL กันหมด

จากหัวข้อที่กล่าวมาเป็นเรื่องท้าทายความเข้าใจในเรื่องการเก็บ Log พอสมควร ก่อนที่จะอธิบายในส่วนนี้ผมขอพูดถึงประเภทการเก็บ Log  เพื่อสร้างความเข้าใจให้ทุกท่านไม่ว่าเป็นฝ่ายเทคนิค หรือ จะเป็นบุคคลทั่วไป ให้ทราบ

การเก็บข้อมูลจราจรคอมพิวเตอร์ตามกฎหมาย (Log file) นั้นควรแบ่งเป็น 2 ส่วน

ส่วนที่ 1  Log สำหรับผู้ใช้งาน (Internet User Logs) 
การเก็บ Log files  เกี่ยวกับการใช้งานอินเทอร์เน็ต และการใช้งานข้อมูลสารสนเทศ

1.1 Internet Log   การเข้าถึงโลกอินเทอร์เน็ต  เช่น เว็บ (HTTP/HTTPS) เมล์ และการ สนทนาออนไลน์ (Line, whatap อื่นๆ)  มีทั้งมุมการใช้งานภายในองค์กร บนระบบเครือข่ายคอมพิวเตอร์องค์กร  และ  มุมของการใช้งานทั่วไปของบุคคลทั่วไปผ่านระบบเครือข่ายผู้ให้บริการ ไม่ว่าเป็นการใช้งานอินเทอร์เน็ตไร้สาย หรือ ผ่านระบบ 3G / 4G เช่น AIS , DTAC , True , CAT , TOT , 3BB

1.2 User data usage  เป็นมุมผู้ใช้งาน  จากการใช้งานข้อมูลบนระบบเครือข่ายคอมพิวเตอร์ภายในองค์กร เช่น หน่วยงานหนึ่งมีพนักงานจำนวน 50 คน ใน 50 คนมีคอมพิวเตอร์ที่ใช้งานเข้าถึงอินเทอร์เน็ตได้ แชร์ไฟล์ในองค์กรได้  ปริ้นงานเอกสารได้   มีการรับ-ส่งไฟล์ทั้งผ่านระบบเครือข่ายและอินเทอร์เน็ต มีการใช้ VoIP (SIP Protocol) ผ่านสาขาและอินเทอร์เน็ต เป็นต้น รวมๆ อาจจะเรียกว่าการใช้งานระบบสารสนเทศ ที่มีปริมาณการใช้งานที่วัดค่าข้อมูลได้ (Data Bandwidth) นั้นเอง

ทั้ง 1.1 และ 1.2 ต้องมีการระบุตัวตนผู้ใช้งานภายในองค์กร (Authentication) และ ผู้ใช้งานทั่วไปไมว่าเป็นภายในองค์กร หรือ ผู้ใช้งานทั่วไป จะสามารถระบุตัวตนผู้ใช้งานได้ คือ รู้ว่าใคร (Who)  แต่ทำอะไร (What) นั้นส่วนใหญ่ในประเทศไทยไม่มีใครเก็บข้อมูลในส่วนนี้  ยกเว้นบริษัทเอกชนรายใหญ่ในประเทศไทย ก็จะเก็บทั้งหมด
 
หมายเหตุ : ในส่วนที่ 1  นี้เป็นส่วนที่ในเวลานี้มีปัญหาที่สุดเนื่องจากการติดต่อสื่อสารเป็นแบบ SSL เกือบหมดแล้ว ซึ่งผมจะขอขยายความในขั้นตอนต่อไป


ส่วนที่ 2  Log สำหรับเครื่องแม่ข่าย (Server Logs)
การเก็บ Log files  จากเครื่องแม่ข่ายคอมพิวเตอร์ (Server)
ส่วนนี้จะเกิดขึ้นภายในองค์กร  สำหรับองค์กรขนาดกลางไปใหญ่  (Enterprise)
หากในองค์กร มีระบบงาน เช่น มี Web Server  ของหน่วยงานเอง  ,  มี Mail Server ของหน่วยงานเอง มี ERP Server ของหน่วยงานเอง  ,  มี Data Base Server ของหน่วยงานเอง
เหล่านี้มีความจำเป็นต้องเก็บ Log สำหรับ Server
เก็บ Log อย่างเดียวเขาเรียกว่า "Logger"  ไม่มีการวิเคราะห์ข้อมูลจาก Log
ขนาดไฟล์ Log จะใหญ่ขึ้นกับ การ filter log จากแหล่งต้นทาง เช่น จาก Web Server , Mail Server , File Server ถ้าส่งมาหมดไม่ได้ filter ก็จะส่งมาหมด ตาม RFC5424

ตัวที่ขายกันในประเทศไทย มักจะขายตัววิเคราะห์ ตัวค้นหา และทำรายงาน ที่เรียกว่า SIEM (Security Information Event Management)   ซึ่งราคาไม่มีต่ำกว่า 7 หลัก  ถ้าต่ำกว่าแสดงว่าเป็นแค่ตัวเก็บ  Logger  ไม่รวม Storage  อีกนับเลขไม่ถูก   คนที่ซื้อสิ่งเหล่านี้ได้ คือระดับองค์กรขนาดใหญ่เท่านั้น

ซึ่งซื้อมาแล้วอาจติดปัญหาเรื่องการเก็บ Internet user logs  คือจัดเก็บ Log ผู้ใช้งานที่ออกอินเทอร์เน็ตไม่ได้ เป็นต้น

===============================================

ในโลกปัจจุบันเว็บไซต์และสื่อสังคมออนไลน์ ที่สำคัญปัจจุบัน เป็น HTTPS หมดแล้ว


เมื่อเป็น SSL หมดแล้วจะเกิดอะไรขึ้น?

จากการสำรวจของ Netcraft เมื่อเดือนมกราคม 2017  ปีนี้เอง มีเว็บไซต์ทั่วโลกถึง
 1,800,047,111 sites ซึ่งเป็นทั้ง HTTP/HTTPS


 ภาพนี้เป็นผลสำรวจจาก Netcraft  มีเพิ่มขึ้นกาให้บริการและเริ่มคงที่มา 2014   ส่วนหนึ่งที่มีทั้งเป็นเว็บที่เข้ารหัสผ่าน (HTTPS) ที่มาจากผู้ให้บริการชั้นนำ อันได้แก่  Google , Facebook , Twitter , Microsoft  อื่นๆ  เป็น SSL หมดแล้ว  ส่วนใหญ่เป็น Social Network site  จึงทำให้อัตราการขยายตัวเว็บทั่วไปน้อยลง

และเมื่อผู้ให้บริการรายใหญ่เป็น SSL หมดจะเกิดอะไรขึ้น บ้าง ?

ผมขอแสดงความคิดเห็นดังนี้

1.ไม่สามารถมองเห็นข้อมูลผ่านทางระบบเครือข่ายได้อีกต่อไป  

ในกรณีที่ 1 Internet User logs จะไม่สามารถมองเห็นข้อมูลได้


เมื่อทำการติดตั้งอุปกรณ์ Network Log/ Network Traffic Analyzer หรือแม้กระทั่งพวก UTM / Next Gen Firewall  ก็จะพบปัญหา SSL ที่ไม่สามารถมองเห็นได้เช่นกัน



ภาพการดักรับข้อมูลบนระบบเครือข่ายผ่าน Internet Gateway ภายในองค์กร
ถ้าเป็น HTTP  Protocol เราสามารถมองเห็นเนื้อหาทั้งหมดผ่านระบบเครือข่ายได้  ผ่านโปรแกรม Network Analyzer ทั่วไป  จากภาพจะเห็นว่า สามารถมองเห็น URI ที่เกิดขึ้น Method ที่ใช้งานและ HTTP HEAD อื่นๆ ที่สามารถระบุการใช้งานได้อย่างละเอียด


ภาพถ้าเป็นการติดต่อสื่อสารแบบ HTTP(S) ผ่าน SSL  สิ่งที่มองเห็นคือค่าการติดต่อสื่อสารระหว่างไอพีต้นทาง และ โดเมนที่ทำการติดต่อสื่อสาร จากนั้นเป็นค่าการเข้ารหัส  ซึ่ง Content ไม่สามารถระบุตำแหน่งปลายทาง เช่น ค่า URI ได้  HEAD ไม่สามารถมองเห็นได้เนื่องจากเกิดการเข้ารหัส

แบบนี้ก็ดีแล้วไม่มีใครเห็นเนื้อหาภายในการรับส่งข้อมูล  ในแง่ความลับการรับส่งข้อมูลดูเหมือนใช่ แต่อีกด้านหนึ่ง ภัยคุกคามสมัยใหม่แอบรับส่งข้อมูลที่เข้ารหัสเช่นกัน  เราจะบังคับให้ เจ้าของ Server Malware ส่ง Key มาให้เราเพื่อเราจะถอดดูข้อมูลก่อนก็เป็นไปไม่ได้

หรือในกรณีปกติ  เราจะบังคับบอก Facebook  ให้เอา Key มาให้เราเพื่อเราจะขออ่านข้อความของบุคคลที่ต้องสงสัยและเป็นภัยความมั่นคงของประเทศไทย ก็เป็นไปไม่ได้ เพราะเราไม่ใช่เจ้าของเทคโนโลยีนี้ และ เทคโนโลยีนี้ Server หัวใจ ก็ไม่ได้อยู่ในประเทศไทยเลย
ผมยกตัวอย่างมาเพื่อบอกว่า SSL จะมีปัญหาก็ต่อเมื่อเราต้องการดูข้อมูลในเชิงลึกเท่านั้นหากเราไม่ต้องการรู้ ก็ไม่มีผลอะไร แค่อย่าลืมว่าประเทศไทย นิยมฟ้องร้องคดีความกันผ่าน พรบ คอมพิวเตอร์ฯ ที่มีมาตรา เช่น 14(1)  ชอบแอบอ้างใช้อยู่  เหล่านี้ล้วนเป็นการกระทำจากการใช้งานสื่อสังคมออนไลน์ เช่น Youtube , Facebook , Line ทั้งสิ้น    แล้วจะเอาหลักฐานไหนมาอ้างอิงกันหากเป็นคดีความขึ้น เพราะเนื้อหาติด SSL รวมทั้งผู้ดูแลระบบทั้งหมดทั้งปวงอยู่ต่างประเทศทั้งหมด 

2. ไม่สามารถปิดกั้นการเข้าถึงเว็บไซต์ที่เป็น HTTPS ได้
  • ทำได้ก็ต่อเมื่อปิดกั้นทั้งโดเมน เช่น ปิดกั้น  facebook.com ทั้งหมด เป็นต้น
  • ปิดกั้น  https://www.facebook.com/abcdef  ไม่ได้
  • ทำให้อนาคตอันใกล้ จะทำการปิดกั้นเว็บไซต์ที่ไม่เหมาะสมผ่านช่องทางสื่อสังคมออนไลน์ Social Network เช่น  facebook, youtube, twitter, pantip  และอื่นๆ ที่เป็น HTTPS ไม่ได้อีกต่อไป


3.  ภัยคุกคามใหม่ๆ มักมากับการเข้ารหัส ผ่านช่องทาง SSL กันมากขึ้น
  • มัลแวร์  (Malware) สมัยใหม่จะทำการเข้ารหัสเพื่ออำพรางการตรวจจับของระบบรักษาความมั่นคงปลอดภัยทางข้อมูล 
  • ทำให้การตรวจข้อมูลแบบปกติทำไม่ได้อีกต่อไป ทำให้ต้องซื้อเทคโนโลยีเสริมเพื่อทดแทนการตรวจจับที่สามารถถอดรหัสค่าเหล่านี้ได้
4.  รูปแบบการเก็บบันทึก Log files ตามกฎหมายมีการเปลี่ยนแปลง

เนื่องจากการกระทำความผิดทางกฎหมายคอมพิวเตอร์ ส่วนใหญ่เกิดจากการใช้งานอินเทอร์เน็ต
และเมื่อการใช้งานอิเทอร์เน็ต ส่วนใหญ่เป็นการเข้ารหัสผ่าน SSL จึงทำให้ Logfiles ที่เก็บบันทึกไม่สามารถหาการกระทำผิดได้เหมือนเมื่อก่อน Log files จะไม่สามารถล่วงรู้ได้ว่ามีการกระทำอันใดเกิดขึ้น

ทั้งหมดที่กล่าวมา นั้นจะกระทบต่อการเก็บ Log ในอนาคต
และรูปแบบการเก็บ Log แบบที่ 1 คือเรื่อง Internet User Log  นี้กระทบมากที่สุดเนื่องจากจะไม่สามารถเก็บบันทึกการใช้งานของผู้ใช้งานทั้งในองค์กร และ ผู้ใช้งานทั่วไปได้

ในระดับองค์กร ต้องมีการติดตั้งเรื่อง CA (Certification Authority)  สามารถบังคับใช้ได้อยู่แล้ว จะผ่านทาง Domain Controller หรือ บังคับให้ติดตั้งทุกเครื่องเป็นนโยบายกลางจากหน่วยงาน  ซึ่งก็มีหน่วยงาน / บริษัท องค์กรในประเทศไทยหลายบริษัทก็ทำกันแล้วเนื่องจาก มาทำป้องกันภัยคุกคามรูปแบบใหม่ๆ ที่มากับ SSL  หรือ การเข้ารหัสในการรับส่งข้อมูล

แต่ระดับผู้ใช้งานทั่วไป  เช่น ใช้ 3G/4G  อินเตอร์เน็ตไร้สาย  หรือแม้กระทั่ง อินเทอร์เน็ตที่บ้าน นั้นจะไม่สามารถติดตั้ง CA  กับบุคคลทั่วไปได้แบบพร้อมเพียงกัน (คือบังคับให้ทุกคนในประเทศติดตั้ง Cert มิได้ เป็นที่มาว่าทำ Single Gateway ประเทศไทยทำไม่ได้ก็เพราะเรื่องนี้แหละ)
จึงทำให้ไม่สามารถเก็บ Log ได้จากผู้ให้บริการ คือเก็บได้แต่ สืบหา ค้นหา หรือ หาการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ เมื่อเกิดคดีความไม่ได้ นั้นเอง เพราะ SSL

ส่วนแบบการเก็บ Log แบบที่ 2  คือ เรื่อง Server Log  นั้น ยังเป็นปกติอยู่  ติดเพียงว่าหาก Web Server  ของบริษัท หรือ หน่วยงาน  ต้องทำเป็น HTTPS  จำเป็นต้องใส่ CA  ที่ WAF  (Web Application Firewall) เพื่อใช้ในการป้องกันภัยเพิ่มเติม ส่วน Log file ถ้านำมาจากตัว Web Server เอง ก็จะมองเห็นอยู่แล้ว  เพราะนี้เป็น Web Server ขององค์กร  เจ้าของและทีมทำเป็นหน่วยงานภายใน ถึงแม้จะ Out Source ก็เป็นคนที่ติดต่อได้ Server ทางกายภาพอยู่ภายในประเทศ อยู่ภายในองค์กร เป็นทรัพย์สินขององค์กร  ดังนั้น Log  สามารถเอามาจากเครื่องแม่ข่าย (Server) ได้โดยตรง จึงไม่มีปัญหาในการเก็บ Log แบบที่ 2 เลย
ยกเว้น จะใช้บริการ 3 party  เช่น ใช้บริการ Cloud จาก Amazon หรือ Google Cloud  หรืออื่นๆ ที่ Server เราไม่สามารถควบคุมเองได้  แบบนี้จะหมดความหมายได้ปริยาย

สรุปว่า 
ผลกระทบเมื่อทุกอย่างเป็น SSL คือ การเก็บ log แบบที่ 1 ที่กล่าวในบทความนี้จะกระทบที่สุด
SSL  ทำให้มองเห็นคือต้องลง Certification ที่ฝั่งผู้ใช้งาน
เมื่อลงแล้วและอุปกรณ์ที่ติดตั้งอยู่ในระดับ Gateway องค์กรจะทำให้มองเห็น Internet Log ได้เช่นกันและสามารถปิดกั้นเนื้อหา และภัยคุกคามที่เกิดจากการเข้ารหัสได้

ส่วน Server Log  นั้นยังคงเก็บ Log ตาม RFC 5424 ต่อไป  ไม่เปลี่ยนแปลง แทบไม่มีผลกระทบอะไรจากการเก็บ Log Server ในองค์กร 

ใครได้ใครเสีย จากเรื่องการมองเห็นมองไม่เห็น SSL  ??  สำหรับผมมองว่า

คนที่ได้คือ ผู้ให้บริการระดับ Content / Application Provider  เช่น Line , Google , Apple  , Facebook  เพราะ Key อยู่ที่เขา SSL คือภาพสะท้อนของการเป็นมหาอำนาจในยุคปัจจุบัน

Pantip ตอนนี้เป็น SSL แล้วแต่เจ้าของเป็นคนไทย ดังนั้นหากมีเรื่องราวอะไร ที่ต้องการสามารถหาได้โดยไม่ต้องผ่าน FBI  ถ้าปล่อยให้ภาครัฐ/หน่วยงานด้านความมั่นคง ไปขอข้อมูลจาก Google , Facbook , Line  ท่านคิดว่าเขาจะให้หรือไม่ ?  ท่านคิดต่อเองได้ ...

ดังนั้นในอนาคตอันใกล้ เมืองไทยต้องตะหนักเรื่องนี้ให้มาก ว่า "ความมั่นคงของชาติ ควรเป็นเรื่องที่เราควบคุมเองได้" 
หากเรายังยืมจมูกนานาประเทศหายใจอยู่ อย่าหวังว่าเราจะมีความมั่นคงเพราะสมรภูมิรบใหม่อยู่ที่น่านฟ้าใหม่ที่เรียกว่า "Internet"  กันแล้ว  Spy ยุค Classic สงครามเย็นมารูปแบบ Hacker และ Malware ... อาวุธสงครามกลายเป็นกองทัพ Botnet ที่สามารถสั่งยิงและหยุดการทำงาน Server สำคัญของรัฐได้  ... เหล่านี้ไม่ใช่เรื่องไกลอีกต่อไปแล้ว



ภาครัฐ โดยเฉพาะหน่วยงานด้านความมั่นคง เจอเรื่องที่ท้าทายความสามารถขึ้น  ไม่สามารถตรวจหาด้วยเทคนิคแบบเดิมๆได้อีกต่อไป

ฝั่งผู้ให้บริการ ISP   ในประเทศไทย  โดยเฉพาะผู้ให้บริการอินเทอร์เน็ตแก่บุคคลทั่วไป  การเก็บ Log ที่พนักงานเจ้าหน้าที่ต้องการ  นั้นทาง ISP ไม่สามารถให้ได้เช่นเคย  หรือแทบจะหาไม่ได้ด้วยซ้ำ
จึงทำให้ งานนี้หนักที่สุดคือผู้ให้บริการอินเทอร์เน็ต ในประเทศไทยนั้นเอง  ทั้งข้อมูลไหลนอกประเทศ ทั้ง Cloud ที่อาจไปไม่ถึงฝัน คือเป็นเพียงคนขายของเทคโนโลยีต่างชาติ  และ มาทั้งเรื่อง Log SSL ที่ระบุการกระทำไม่ได้ อีก ISP อยู่ในฐานะลำบากขึ้นแน่นอน


18/01/60
นนวัตต์ สาระมาน
พ่อบ้าน ทีมพัฒนา SRAN