Pages

วันจันทร์, สิงหาคม 8

ใช้ SRAN วิเคราะห์การติดต่อสื่อสารผ่านโปรแกรม Pokemon Go


โลกเราวันนี้ มีอย่างหนึ่งที่เหมือนกันคือ การทำอะไรตามๆกัน จนเป็นกระแสสังคม หรือโปเกมอนฟีเวอร์ ให้ทายไม่เกินเดือนก็เริ่มหมดอายุความฟีเวอร์ ต้องเดินตามรุุ่นพี่ที่เคยเกิดก่อน เช่น ตุ๊กตาลูกเทพ เฟอร์บี้ และอื่นๆ ที่ผ่านมา
เมื่อเห็นคนทำก็อยากทำตามบ้างครับ
แต่ทำครั้งนี้ สำหรับผมแล้ว จะลองมาแกะให้เห็นเบื้องหลังการติดต่อสื่อสาร เพื่อที่ทำให้เข้าใจ และรู้ทันการติดต่อสื่อสารจากการเล่นเกมส์ Pokemon Go  และมาดูกันว่ามันแตกต่างกับที่ตาเรามองเห็นในโลกทางกายภาพอย่างไร เมื่อเราดำดิ่งไปในโลกของข้อมูลที่ต้องใช้ตาพิเศษมองเข้าไป Pokemon Go เป็นแค่ความบันเทิง หรือเป็นเครื่องมือหนึ่งในยุทธศาสตร์ Cyber warfare ระดับโลก หรือ ถูกทุกข้อ ลองมาดูกันครับ


ขั้นตอนเราจำลองระบบเครือข่ายขึ้นมา 1 วง  โดยใช้ Switch และอุปกรณ์ AP (Access Point) เพื่อกระจายสัญญาณ Wi-Fi ให้กับอุปกรณ์
โดยตั้งวงเป็นชุดไอพีเดียวกันหมดขึ้น LAN 192.168.150.x  Wifi  192.168.1.x ใช้ช่องทางออกอินเทอร์เน็ตผ่าน 3BB
และเรามีอุปกรณ์จัดเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์  โดยใช้ Network Log ที่ได้รับจากการสำเนาข้อมูลจากอุปกรณ์มาวิเคราะห์ ในที่นี้เราใช้ SRAN รุ่น LT50 Hybrid

เกมส์ Pokemon Go  พัฒนาโดยบริษัท Niantic ทำบนระบบปฏิบัติการ iOS และ Android โดยเกมส์จะเน้นไปทางการใช้การค้นหาพิกัดทางภูมิศาสตร์เพื่อค้นหาตัวการ์ตูนโปเกมอน ทำให้ผู้เล่นเพลิดเพลินในการค้นหาจากโลกเสมือนไปยังโลกแห่งความจริงที่บางครั้งอาจพบข่าวว่าเดินจนตกน้ำ หรือ เกิดอุบัติเหตุจาการเล่นเกมส์ผ่านสมาร์ทโฟน  (สังคมก้มหน้าอย่างแท้จริง)


เมื่อเริ่มต้นทำการดาวโหลดโปรแกรมโปเกมอน จะเห็นว่ามีการทำ SSO (Single Sign On) ผ่าน E-mail ของ Gmail  หากใครมี Gmail ก็สามารถใช้งานโปรแกรมนี้ได้โดยไม่ต้องสมัครทางอื่น  (ลองอ่านบทความเก่า หนึ่งในนั้น คนไม่มีตัวตนไม่มีสิทธิ )



เมื่อทำการสมัครเล่นเกมส์มีการติดต่อไปที่  seattleclouds.com  การเชื่อมต่อในจุดนี้มีความเสี่ยงหากพื้นที่นั้นมีคนทำ MITM หรือ ดักรับข้อมูลอยู่ เนื่องจากข้อมูลที่ส่งไปเป็น Paint text 
เช่น เห็น data leak จากข้อมูลพื้นฐานเครื่องของคนอื่นได้ เมื่ออยู่ LAN วงเดียวกัน หรืออยู่บนระบบเครือข่ายเดียวกันและมีอุปกรณ์ดังกล่าวอยู่ด้วย ก็มีโอกาสรั่วจากจุดนี้ได้


ผ่าน xml เป็นข้อมูลรั่วออกมา

ส่วนการเชื่อมต่อไปยัง โดเมนอย่างน้อยดังนี้


ภาพการเรียกข้อมูลผ่านค่า DNS ของเกมส์ Pokemon เมื่อทำการเริ่มใช้งานตอนแรก จะบอกโดเมนที่ติดต่อและค่าไอพีของ Server DNS เหล่านี้  ซึ่งตรงนี้เป็นฝั่ง Web Services หลังบ้าน Pokemon Go

ช่วงแรกในการสมัครอาจมี Data leak อยู่บ้าง โดยเฉพาะ domain ดังภาพด้านล่าง

 ถ้ามีการ MITM ก็น่าจะมีการขโมย account กันได้
ลองมาดูหากจะตรวจ Pokemon Go บน Network ขององค์กรเราจะเริ่มอย่างไร
อันดับแรกเราควรสำรวจอุปกรณ์ที่มีทั้งหมดก่อน ในที่นี้ใช้ SRAN เป็นตัวสำรวจอุปกรณ์บนระบบเครือข่าย




ทำการสำรวจระบบเครือข่ายเพื่อตรวจดูอุปกรณ์ทั้งหมดที่มี



และเครื่องที่จะใช้ทดสอบเกมส์ Pokemon Go คือ Private IP : 192.168.1.143  เราใช้ชื่อว่า "มือถือของนก"  เป็นมือถือยี่ห้อซัมซุง ระบบปฏิบัติการ Android (ขอล็อคเป้าที่เครื่องนี้)


และทำการเพิ่มข้อมูลในระบบ Inventory ที่มีในเครื่อง SRAN   จากนั้นเราก็มาดู Log file ที่เกิดขึ้นทาง ระบบเครือข่ายคอมพิวเตอร์ (Network Log)
โดยเข้าหน้าค้นหา  Deep Search  ว่า "pokemon"    สิ่งที่ได้คือ   User_agent ของอปุกรณ์  จะขึ้นมาทันทีว่า ใช้โปรแกรม Pogemon go อยู่ โดย User_agent จะแสดงค่าดังนี้

pokemongo/0 CFNetwork/758.5.3 Darwin/15.6.0

 
ภาพการติดต่อสื่อสาร จากไอพีต้นทาง ไปยังไอพีปลายทางระบบแม่ข่ายที่ให้บริการเกมส์ Pokemon Go รวมถึงรายละเอียดการติดต่อสื่อสาร ผ่าน Protocol HTTP (ตรวจในส่วนที่ไม่มีการเข้ารหัสข้อมูล)

 เมื่อทำลงรายละเอียดของข้อมูลชุดไอพีในการติดต่อสื่อสาร 



Host Name : lh3.ggpht.com  ,  lh4.ggpht.com  , lh6.ggpht.com    
ส่วนค่าไอพีได้รับ มีค่าเดียวคือ IP 216.58.196.33  (Cloud Service จาก Google)
 PING photos-ugc.l.googleusercontent.com (216.58.221.33) 56(84) bytes of data.
64 bytes from hkg08s13-in-f33.1e100.net (216.58.221.33): icmp_seq=1 ttl=54 time=25.4 ms

เดาได้ว่าเป็น IP  (216.58.x.x) ช่วงดังกล่าวน่าจะเป็น Load Balancer   แต่นี้ทำบนผู้ให้บริการ 3BB ซึ่งในแต่ละผู้ให้บริการอาจจะมีความแตกต่างกันไปก็ได้

AS15169 ของ Google Inc

ลองไม่เดาจริงๆ มันควรอยู่ย่านไอพีไหนบ้าง ตัว content ใน pokemon Go

จากภาพนี้ก็ย่านไอพี content ที่ใช้สำหรับเล่นเกมส์ Pokemon Go คงอยู่ประมาณนี้ คืออยู่ใน AS15169 นี้แหละ กินความไปอีกย่านคือ 172.217.24.0/24  ไปด้วย ดังนั้นหากใครคิดจะ block IP นี้คิดผิดเลยกระทบอย่างมาก เผลอๆ google map ใช้ไม่ได้ 

 ใช้เครื่องมือ Shodan ตรวจให้



เปิด 80 , 443  Server จาก Google ส่วนใหญ่จะมีการ Harden เปลืองแรงเปล่าหากจะค้นหาต่อ
และยังไม่อยากเข้าลึกเพราะอาจเจอเส้นขนส่งข้อมูลแปลกๆ อยู่ (ไม่ขอกล่าวในที่นี้ ลองคิดดูประเทศมหาอำนาจหลายประเทศที่ไม่ใช่ขั้วฝั่งผู้ผลิต ก็ออกมาแบนกันแล้ว ซึ่งเขามองว่าเป็น Cyber war แบบหนึ่ง)

กลับมาต่อ ลองมาส่อง DNS Log สำหรับ Pokemon Go บ้างหน้าตาเป็นไง


แล้ว SSL Log ล่ะ

ทั้ง DNS และ SSL  จะพบ IP 216.58.196.33 เป็นเรื่องอื่นที่ไม่ใช่ Pokemon Go จึงแสดงให้เห็นว่าไอพี นี้ไม่ได้ใช้เฉพาะเกมส์ Pokemon เท่านั้น

DNS Log ที่เกี่ยวกับ Pokemon หน้าตาเป็นอย่างงี้



ปรากฎว่า Pokemon ซ่อนตัวที่ HTTP Log  ชอบเลยครับ

URI ที่พบบน HTTP Log พบว่าจุดแสดงภาพ ไม่มีการเข้ารหัสของรูปภาพ


ยกตัวอย่าง

http://lh3.ggpht.com/owWi6EWWDy1iPCHW1xfbSMwoZF5ZRqK2o-KClJS_Opy24OdDNfMx5UUV_TSLetDF4mIhrpEEE54EOydW5CQRGQ
(หากเปิดไม่ได้ เป็นเพราะ session หมดอายุ)



ภาพที่มาจาก URL ที่บอกนี้จะพบตัว Pokemon ซ่อนอยู่   ส่วนมากจะอยู่ใกล้ๆศาล ... อันนี้คงเกิดจากการเขียนโปรแกรมแบบสุ่ม (Random)

เมื่อทำการทดสอบการใช้งานของข้อมูล (Bandwidth)

ทำการค้นหา เวลาที่ใช้เปิดเกมส์ Pokemon Go


ทำการค้นหา Deep Search โดยทำการเลือก ค้นหาเวลา 09:01 ของวันที่ 8 สิงหาคม 2559  ผลลัพธ์



เมื่อได้ผลลัพธ์ทำการคัดกรองเฉพาะค่าไอพี 192.168.1.143 สิ่งที่ได้คือค่าการติดต่อสื่อสาร ของโปรแกรม Pokemon Go

ค่า Duration คือการระยะเวลาทั้งหมดของการสื่อสาร จะพบว่าติดต่อไปที่เครื่อง 220 วินาที  นานที่สุดของการใช้งานบนเครื่องนี้ในช่วงเวลาที่ติดต่อไปที่ IP 216.58.196.33

การรับค่าคือ 70,145 Byte   และอีกครั้งที่ 43,429 Byte   ซึ่งเป็นประมาณไม่มากแต่มีการใช้งานต่อเนื่อง

ตลอดระยะเวลาที่เครื่องมือถือของนกใช้งานโปรแกรม Pogemon Go  คือ 9:00 - 10:00  ใช้ Bandwidth ทั้งหมด
14.43 MB ตลอดช่วงเวลา 1 ชั่วโมง

ใช้จำนวน Session ที่เชื่อมต่อทั้งหมด

513 ครั้ง ตลอดช่วงเวลา 1 ชั่วโมง


การป้องกัน
สำหรับองค์กรที่ต้องการ Block ไม่ให้พนักงานเล่น อย่าเข้าใจผิดว่าเอา IP ที่ผมให้ไปนั้นใส่ Firewall นะ เพราะมันมีหลาย App วิ่งบน IP  216.58.196.33  หรือห้าม block domain ที่ชื่อ lhตัวเลข.ggpht.com  จะทำให้ใช้งานไม่ได้บาง App บนมือถือ ส่งผลการทำงานที่ไม่ปกติ
การ Block ต้องใช้พวก Next Gen Firewall หรือ NIPS แบบ inline ขวางลำที่ระบบเครือข่าย โดยใช้การ  block พวก User_agent  ที่บ่งบอกว่าเป็น Pokemon เอาครับ     

สรุปว่า Pokemon Go เกมส์ยอดฮิต สำหรับความเสี่ยงที่ผมพบ คือ ความเป็นส่วนตัวเรื่อง Location base จะถูกส่งไปชุดไอพีของ Google Cloud  โดยมีบริษัทที่ทำเนื้อหาของเกมส์อยู่เบื้องหลัง ซึ่งตัวผมไม่โลกสวย ผมกลับมองว่าเป็นการเต็มใจเชิญเข้าถึงพื้นที่ Private  เช่นภายในรั้วบ้าน ในตัวอาคาร ในหมู่บ้าน lสถานที่ราชการ หน่วยงานด้านความมั่นคง  และอื่นๆ ก็เห็นถึง location ภายใน ได้ที่ในอดีต google street view ไปไม่ถึง แต่นี้ด้วยความยินยอมและสมัครใจ  Big data ฝั่งผู้ให้บริการ ได้ว่าอัพเกรดคลังข้อมูลอีกครั้ง ซึ่งในอนาคตการค้นหาข้อมูลของเราคงพบอะไรลึกขึ้นอีกก็เป็นได้

งานนี้โตเร็วเกินขาดจึงละเลยความปลอดภัยไปบ้าง มีการหลุดให้เห็น เช่น ภาพที่มากับ Pokemon ปัจจุบันเท่าที่ทดสอบพบว่าไม่มีการเข้ารหัส  จะทำให้ session ที่เกิดขึ้นบนเครือข่ายนั้นๆ หากมีโจร จะถูกขโมยค่า cookie ได้ไม่ยาก เช่นมีการดักรับข้อมูลกลางอากาศ MITM เป็นต้น ในกรณีที่มีการเก็บบันทึกข้อมูลจราจรทาง Network Log  ก็จะมองเห็นเช่นกัน ทำให้สามารถมองเห็นภาพสถานที่ได้ จากข้อมูลที่ส่งผ่านทางระบบเครือข่าย นั้นหมายความว่ากรุณาเล่นอย่างคำนึงความเป็นส่วนตัวด้วยเพราะข้อมูลที่ส่งไปประมวลผล Big data มันลอยไปบนก้อนเมฆแห่งข้อมูล

จึงอย่าได้ไปส่องหา Pokemon ในห้องนอนล่ะกันนะ ถ้าไม่อยากให้ก้อนเมฆแห่งข้อมูลเก็บบันทึกไว้จงอย่าทำ

จบข่าว
  
08/08/59
Nontawatt
นนทวรรธนะ  สาระมาน
พ่อบ้าน




วันศุกร์, สิงหาคม 5

SRAN อยู่ในรายชื่อบัญชีนวัตกรรมไทย


เทคโนโลยี ที่เราคิดไปได้ไกลถึงจุดนี้ได้ไง  อย่างไงต้องขอบคุณทุกที่เกี่ยวข้อง ที่ทำให้มันมาได้ไกลขนาดนี้


รหัสรายชื่อบัญชีนวัตกรรมไทย หมายเลข 050001
ชื่อสามัญของผลงานนวัตกรรมไทย : อุปกรณ์เฝ้าระวังป้องกันภัยคุกคามบนระบบสารสนเทศและจัดเก็บข้อมูลจราจรคอมพิวเตอร์ (IT Security Monitoring and Log File Collection System)
ทำไมต้องมีอุปกรณ์เฝ้าระวังภัยคุกคามทางเครือข่ายสารสนเทศและจัดเก็บข้อมูลจราจรคอมพิวเตอร์ ?
    มีเหตุผลหลัก 2 ประการที่หน่วยงานรัฐและเอกชนมีความจำเป็นต้องมีอุปกรณ์เฝ้าระวังภัยคุกคามทางเครือข่ายสารสนเทศและจัดเก็บข้อมูลจราจรคอมพิวเตอร์ คือ
    1.1 ตามพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 มาตรา 26 กำหนดให้ผู้ให้บริการ (ตามกฎหมายกำหนดให้ ผู้ให้บริการหมายถึง หน่วยงาน ห้างร้าน องค์กร ใดๆ ก็ตามที่จัดให้มีการเข้าถึงเครือข่ายอินเตอร์เน็ตให้กับคนในองค์กรนั้น หรือบุคคลอื่นทั่วไปสามารถใช้งานได้) ทำให้หน่วยงานจำเป็นต้องมีอุปกรณ์ในการจัดเก็บข้อมูลจราจรฯ และกระทรวงไอซีที โดย NECTEC ได้กำหนดมาตรฐานสำหรับอุปกรณ์จัดเก็บข้อมูลจราจรฯ คือ มาตรฐาน มศอ. 4003.1-2552 โดยมาตรฐานนี้ถูกระบุในเกณฑ์ราคากลางและคุณลักษณะพื้นฐานครุภัณฑ์คอมพิวเตอร์ ที่ประกาศโดยกระทรวงไอซีที ที่หน่วยงานรัฐหากมีการจัดซื้อ จัดจ้าง ต้องใช้เป็นเกณฑ์ในการเขียนข้อกำหนด
    1.2 เนื่องจากภัยคุกคามทางไซเบอร์(Cyber Attack) ที่ปัจจุบันเพิ่มขึ้นอย่างรวดเร็ว ด้วยหลากหลายรูปแบบและมีความซับซ้อนมากขึ้น โดยล่าสุดที่ประชุม World Economic Forum ปี 2015 ได้จัดให้ Cyber Attack เป็น 1 ใน 10 ความเสี่ยงที่มีความสาคัญของโลก รัฐบาลเองก็ให้ความสำคัญกับเรื่องนี้เป็นอย่างมาก เนื่องจากภัยคุกคามทางเครือข่ายคอมพิวเตอร์ไม่เพียงนำความซึ่งความเสียหายทางเศษฐกิจ แต่ยังเกี่ยวข้องกับความมั่นคง และการกระทำที่อาจเกี่ยวข้องกับการกระทำความผิดตามพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ซึ่งเป็นความผิดอาญาอีกด้วย

ทำไมต้องเป็น SRAN ?

    1. SRAN มีคุณสมบัติ 2 ส่วน ในอุปกรณ์เดียว คือ
        1.1 สามารถจัดเก็บข้อมูลจราจรคอมพิวเตอร์ฯ ตามพรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และได้รับมาตรฐาน มศอ. 4003.1-2552
        1.2 สามารถเฝ้าระวังภัยคุกคาม โดยมีความสามารถหลักๆ คือ
            - การสำรวจข้อมูลแบบอัตโมมัติเพื่อระบุตัวตนอุปกรณ์บนระบบเครือข่ายคอมพิวเตอร์ (Automatic Identification Device)
            - การวิเคราะห์และเทคโนโลยีในการตรวจจับความผิดปกติข้อมูล (Detect and Analyzer)
            - การวิเคราะห์ข้อมูลจราจรคอมพิวเตอร์(Log Analytic)
            - การเฝ้าติดตามปริมาณการใช้งานข้อมูลภายในองค์กร (Bandwidth Monitoring)
            - การค้นหาข้อมูลการใช้งานในเครือข่ายในเชิงลึก (Deep Search)
            - การบริหารจัดการค่าการประเมินความเสี่ยง (Vulnerability Management)
            - การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์และดูย้อนหลัง (Log Record and Archive)
            - การเก็บบันทึกค่าสำหรับให้ IT Audit ในการตรวจสอบข้อมูลและใช้เป็นหลักฐาน (Log Audit)
      2. SRAN ได้ขึ้นบัญชีนวัตกรรมไทย (ฉบับเพิ่มเติมครั้งที่ ๓) กรกฎาคม ๒๕๕๙ (http://www.bb.go.th/bbweb/?page_id=7809) โดยสิทธิประโยชน์สำหรับผลิตภัณฑ์ที่อยู่ในบัญชีนวัตกรรมไทยคือ “ส่วนงานราชการ รัฐวิสาหกิจ หน่วยงานตามกฎหมายว่าด้วยการบิหารราชการส่วนท้องถิ่น หน่วยงานอื่น ซึ่งกฎหมายบัญญัติให้มีฐานะเป็นราชการบริหารส่วนท้องถิ่น หรือหน่วยงานอื่นของรัฐ สามารถจัดซื้อจัดจ้างจากผู้ขายหรือผู้ให้บริการที่มีรายชื่อตามบัญชีนวัตกรรมไทย โดยวิธีกรณีพิเศษหรือที่เรียกชื่ออย่างอื่นซึ่งมีวิธีการทำนองเดียวกันตามระเบียบว่าด้วยการพัสดุที่หน่วยงานนั้นๆ ถือปฏิบัติ”


ภาพหน้าจอการรายงานผลข้อมูลมีการแบ่ง ระหว่างผู้ดูแลระบบ และ ผู้ดูแลข้อมูล ออกจากกัน ตามมาตรฐาน มศอ การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ ตามกฎหมายประเทศไทย

ภาพหน้าจอแสดงรายงานผลการประเมินความเสี่ยงจากอุปกรณ์ฯ เพื่อวิเคราะห์ความเสี่ยงตามมาตรา 5 - 11 ที่อาจส่งผลต่อการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ภายในองค์กร
คุณสมบัติทางเทคนิค (Feature)
๑. การสำรวจข้อมูลแบบอัตโมมัติเพื่อระบุตัวตนอุปกรณ์บนระบบเครือข่ายคอมพิวเตอร์ (Automatic Identification Device) 
๑.๑ รายงานการคัดแยกเครื่องที่รู้จัก (Known Device) และ ไม่รู้จัก (Unknown Device) ได้โดยการยืนยัน (Approve) เมื่อทำการยืนยันค่าแล้วหากมีอุปกรณ์แปลกปลอมเข้าสู่ระบบเครื่อข่ายก็สามารถตรวจพบได้ (Rouge Detection) 
๑.๒ รายงาน BYOD (Bring Your Own Device) แสดงค่าอุปกรณ์พกพาที่พยายามติดต่อเข้าใช้งานเครือข่ายคอมพิวเตอร์ขององค์กรได้โดยแยก Desktop (คอมพิวเตอร์พกพา เช่นโน้ตบุ๊ค) และมือถือ (Mobile) และรู้ว่าใครนำเครื่องพกพามาใช้งานภายในเครือข่าย
๑.๓ รายงานการเก็บบันทึกเป็นค่าอุปกรณ์ (Device Inventory) โดยแยกการเก็บค่าจากอุปกรณ์ (Device) ชื่อผู้ใช้งานจากระบบ Active Directory , จาก Radius ค่าจากการ Authentication  , ค่า IP Address ผู้ใช้งาน , ค่า MAC Address ,  แผนก (Department) , ยี่ห้อรุ่นอุปกรณ์   เป็นต้น
๑.๔ รายงานการเก็บบันทึกค่าซอฟต์แวร์ (Software Inventory) ที่ใช้ซึ่งในส่วนซอฟต์แวร์จะทำการค้นพบประเภทซอฟต์แวร์ที่ใช้ได้แก่ ซอฟต์แวร์ประเภทเว็บบราวเซอร์ , ซอฟต์แวร์ประเภทมัลติมีเดีย , ซอฟต์แวร์ประเภทใช้งานในออฟฟิศ ซอฟต์แวร์ที่ไม่เหมาะสมเช่นโปรแกรม Bittorrent ก็สามารถตรวจและค้นพบได้
๑.๕ การวาดรูปความเชื่อมโยงระบบเครือข่าย (Topology)   สร้างภาพเสมือนบนระบบเครือข่ายเป็น Network topology แบบ link chart ในการติดต่อสื่อสาร   (Interconnection)
๑.๖ การสำรวจเครื่องที่มีโอกาสเปลี่ยนค่า Leak path เชื่อมต่อกับ gateway อื่นที่ไม่ใช่ขององค์กร

๒. การวิเคราะห์และเทคโนโลยีในการตรวจจับความผิดปกติข้อมูล (Detect and Analyzer)
๒.๑  Attack Detection รายงานการตรวจจับการโจมตี ที่เป็นพฤติกรรมที่ชัดเจนว่าทำการโจมตีระบบ ได้แก่การ Brute Force รหัสผ่านที่เกิดขึ้นบนตัวอุปกรณ์ และเครื่องแม่ข่ายที่สำคัญ เช่น Active Directory , Web Server , Mail Server เป็นต้น อีกทั้งยังสามารถตรวจพบการโจมตีโดยการยิง Exploit เข้าสู่เครื่องแม่ข่ายที่สำคัญ เป็นต้น
๒.๒ Malware/Virus Detection รายงานการตรวจจับมัลแวร์ /ไวรัสคอมพิวเตอร์ที่เกิดขึ้นบนระบบเครือข่าย สามารถทำการตรวจจับได้โดยไม่ต้องอาศัยการลงซอฟต์แวร์ที่เครื่องลูกข่าย (Client) แต่ทำการตรวจผ่านการรับส่งค่าที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์
๒.๓ Botnet Detection  รายงานการตรวจบอทเน็ตภายในองค์กร และการโจมตีบอทเน็ตเข้าสู่ระบบเครือข่ายคอมพิวเตอร์ภายในองค์กร
๒.๔ Behavior Data Leak Detection รายงานการตรวจจับพฤติกรรมของพนักงานที่มีโอกาสสุ่มเสี่ยงในการลักลอบข้อมูลออกนอกบริษัท
๒.๕ Bittorrent Detection  รายงานการตรวจจับการใช้งานโปรแกรมดาวโหลดไฟล์ขนาดใหญ่ที่ส่งผลกระทบต่อประสิทธิภาพการใช้งานโดยรวมภายในองค์กร
๒.๖ Anomaly Detection รายงานการตรวจจับภัยคุกคามที่มีความผิดปกติในการติดต่อสื่อสาร
๒.๗ Tor/Proxy Detection รายงานการตรวจจับซอฟต์แวร์ประเภทอำพรางการสื่อสารเพื่อใช้หลบเลี่ยงการตรวจจับข้อมูลภายในระบบเครือข่ายคอมพิวเตอร์
๒.๘ HTTP/SSL Analyzer รายงานการตรวจวิเคราะห์การใช้งานเว็บไซต์พร้อมจัดทำสถิติการใช้งานอินเทอร์เน็ตภายในองค์กร
๒.๙ APT (Advanced Persistent Threat) Detection  รายงานการตรวจพฤติกรรมที่มีโอกาสเป็นภัยคุกคามประเภท APT และมีความเสี่ยงต่อองค์กร

๓. การวิเคราะห์ข้อมูลจราจรคอมพิวเตอร์(Log Analytic)
๓.๑ Threat event correlation รายงานการวิเคราะห์ข้อมูลจากการรวบรวมเหตุการณ์ภัยคุกคามที่เกิดขึ้นภายในระบบเครือข่ายคอมพิวเตอร์องค์กร
๓.๒ Risk Analyzer (High , Medium , Low) รายงานการวิเคราะห์ระดับเหตุการณ์ความเสี่ยงระดับสูง ความเสี่ยงระดับกลางและความเสี่ยงระดับต่ำ เพื่อแสดงค่าและการจัดทำรายงาน
๓.๓ Executive summary (Hour , Daily , Monthly) รายงานการจัดสรุปสถานะการณ์ทั้งหมดให้ระดับผู้บริหารองค์กร โดยกำหนดได้ที่เป็นรายชั่วโมง รายวัน และรายเดือน
๓.๔ Thai Cyber Law Act รายงานความเสี่ยงที่มีโอกาสเข้าข่ายตามมาตราฐานความผิดเกี่ยวกับการใช้งานคอมพิวเตอร์ภายในองค์กร ซึ่งเป็นจุดเด่นสำคัญที่มีความแตกต่างกับสินค้าอื่นและช่วยให้ออกรายงานสำหรับผู้บริหารได้อย่างครบถ้วน

๔. การเฝ้าติดตามปริมาณการใช้งานข้อมูลภายในองค์กร (Bandwidth Monitoring)
๔.๑ Country / City monitoring (In-out organization) รายงานผลการเฝ้าติดตามปริมาณการใช้งานข้อมูลระดับประเทศ ระดับเมือง ที่ส่งข้อมูลเข้าในองค์กรเรา และที่องค์กรของเราติดต่อไปยังโลกภายนอกเป็นการตรวจสอบข้อมูลวิ่งเข้าสู่องค์กร (Incoming data) และข้อมูลที่ถูกนำออกนอกองค์กร (Out going data) โดยผ่านเทคโนโลยี GeoData
๔.๒ Protocol and Service Bandwidth monitor จะสามารถคำนวณค่าปริมาณ Bandwidth ที่เกิดขึ้นบนระบบเครือข่ายได้โดยแยก Protocol TCP, UDP,ICMP และ Service ตาม well know port service จะทำให้ทราบถึงปริมาณการใช้งานข้อมูลได้อย่างละเอียดและประเมินสถานการณ์ได้อย่างแม่นยำ
๔.๓ Application Monitoring (Software bandwidth usage) รายงานการใช้แอพลิเคชั่นและปริมาณการใช้ข้อมูลภายในองค์กรกว่า 1,000 ชนิด ได้แก่ SAP , ERP , Orcal , Skyp, Microsoft และ Enterprise แอพลิเคชั่น  SRAN รู้จักทำการเฝ้าติดตามและรายงานผ่านหน้าจอเพื่อดูปริมาณการใช้งานที่มีผลกระทบต่อองค์กร
๔.๔ Social Network Monitoring (Facebook , Line ,Youtube , Google Video , Twitter , Pantip) รายงานการใช้งานเครือข่ายสังคมออนไลน์เพื่อให้รู้ถึงปริมาณข้อมูลที่ใช้ภายในองค์กร ได้แก่ Facebook , Line , Youtube , Google Video , Twitter และ Pantip  ทำให้ผู้บริหารองค์กรสามารถทราบความเคลื่อนไหวและการใช้ปริมาณข้อมูลภายในองค์กร
๔.๕  User Monitoring  รายงานและจัดอันดับการใช้งาน Bandwidth ภายในองค์กร โดยจะเห็นรายชื่อผู้ใช้จากคุณสมบัติข้อ ๑ ทำให้เราทราบถึงชื่อผู้ใช้งานและค่า Bandwidth ที่สูงสุดและทำเป็นรายงานผลได้เป็นรายชั่วโมง รายวัน และรายเดือน

๕. การค้นหาข้อมูลการใช้งานในเครือข่ายในเชิงลึก (Deep Search)
๕.๑ การพิสูจน์หลักฐานทางข้อมูลสารสนเทศ (Network Forensic Evident data) ค้นหาเหตุการณ์ที่เกิดขึ้น แบ่งตามเนื้อหา (content search)  ดังนี้  Web Access ,  Files Access , Network connection , SSL , Mail , Data Base , Syslog , VoIP , Remote Desktop , Radius  และ Active Directory  เหล่านี้สามารถค้นหา RAW Log ที่เกิดขึ้นได้ ทั้งแบบปัจจุบัน และ ย้อนหลังตามกฎหมาย
๕.๒  การค้นหาข้อมูลเชิงลึกสำหรับผู้บริหารและทรัพยากรบุคคล (HR /Top Manager query sensitivity data)  การค้นหาเชิงลึกสำหรับผู้บริหารระดับสูง ที่ระบุถึงพฤติกรรมการใช้งานและการสื่อสารผ่านระบบอินเทอร์เน็ตและเครือข่ายคอมพิวเตอร์ภายในองค์กร
๕.๓ การค้นหารวดเร็ว และสามารถใช้เงื่อนไขในการค้นหา เช่น  AND OR NOT เข้ามาเกี่ยวข้องเพื่อให้การค้นเป็นไปอย่างมีประสิทธิภาพที่สุด

๖. การบริหารจัดการค่าการประเมินความเสี่ยง (Vulnerability Management) 
๖.๑ Passive Vulnerability scanner : เป็นการทำงานต่อเนื่องเพื่อตรวจสอบและประเมินความเสี่ยงโดยทำการตรวจสอบจากค่า CVE (Common Vulnerabilities and Exposures)  การค่า SSL Heartbleed Poodle, Shellsock ที่พบเครื่องแม่ข่ายและลูกข่ายภายในองค์กรที่มีโอกาสเกิดความเสี่ยงจากช่องโหว่นี้, การตรวจสอบการรับใบ Certification ที่ไม่ถูกต้อง ที่อาจตกเป็นเหยื่อการทำ MITM (Man in The Middle Attack) การตรวจสอบการรับใบ Certification ที่หมดอายุ expired date SSL certification) การตรวจสอบการรับส่งไฟล์ขนาดใหญ่ที่เกิดขึ้นในองค์กร , การตรวจสอบ backdoor และการสื่อสารที่ผิดวิธีจากมาตรฐาน และทำการแจ้งเตือนผ่าน Incident response notices 
๖.๒ Active Vulnerability scanner : การตรวจสอบโดยตั้งค่า ตรวจสอบความปลอดภัยให้กับเครื่องแม่ข่ายที่ใช้ทำเป็น Active Directory การตรวจสอบรายชื่อผู้ใช้งาน ค่าความปลอดภัย รวมถึงการตรวจสอบเครื่องที่มีโอกาสติดเชื้อและมีช่องโหว่ตาม CVE
๖.๓ IPv6 checklist : การตรวจสอบค่า IPv6 โดยทำการส่งค่าตรวจสอบแบบ Broadcast เพื่อสำรวจเครือข่ายว่าอุปกรณ์ไหนที่รองรับค่า IPv6 และจัดทำรายงานการสำรวจ  





ภาพการรายงานผลการประเมินอุปกรณ์ภายในองค์กรที่รองรับ IPv6 ตามข้อกำหนดของกระทรวงเทคโนโลยีสารสนเทศและการสื่อสารที่ให้ภาครัฐตรวจสอบอุปกรณ์ที่รองรับค่า IPv6  จะทำให้หน่วยงานที่ใช้ SRAN จะได้คุณสมบัติในการตรวจสอบเป็นรายงานทำให้สะดวก และลดค่าใช้จ่ายภายในองค์กรโดยไม่จำเป็นต้องจ้างผู้เชี่ยวชาญเข้ามาประเมิน

๗. การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์และดูย้อนหลัง (Log Record and Archive)
๗.๑ การเก็บบันทึกข้อมูลแบบ Raw data การเก็บข้อมูลที่เป็นประโยชน์ในการสืบสวนสอบสวนและการหาผู้กระทำความผิด ด้วยการเก็บบันทึกที่สามารถทำได้แบบ Hybrid ซึ่ง SRAN เป็นต้นฉบับของการทำวิธีนี้ คือการรับข้อมูลจราจรคอมพิวเตอร์แบบ Passive mode และ รับค่าจากอุปกรณ์อื่นได้ 
๗.๒ รองรับค่า Log จาก  AD (Active Directory) , Router / Firewall / VPN ,Mail Server (Support Exchange , Lotus note) , DHCP , DNS, SNMP , Radius Wi-Fi Controller และทำการแยกแยะค่าการเก็บ Log โดยแบ่งเป็นหมวดให้ได้โดยอัตโนมัติ รองรับการเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ที่เกี่ยวข้องกับ Protocol ที่ใช้กับอุปกรณ์สื่อสารในโรงงานอุตสาหกรรม ประเภท Modern SCADA system รองรับ Protocol DNP3, Mobus (Modicon Communication Bus) เป็นต้น 
๗.๓ รองรับ SCP , sFTP และการ mount files log จากเครื่องอื่นมาเก็บแบบรวมศูนย์ (Centralization Log) และมีความสามารถใน Export Data ออกเพื่อใช้ในการพิสูจน์หาหลักฐาน การ Export ข้อมูลเรียงตามชั่วโมง วันและเดือนปี
๗.๔ การเก็บบันทึกข้อมูลสามารถเก็บได้ตามจำนวนวันที่กฎหมายกำหนด หรือกรณีที่ต้องการเก็บเพิ่มก็สามารถขยายพื้นที่ในการจัดเก็บได้ โดยมีซอฟต์แวร์ SRAN Logger Module ที่ผ่านมาตรฐาน   NECTEC มศอ.๔๐๐๓.๑ - ๒๕๕๒ (NECTEC STANDARD NTS 4003.1-2552) ระบบเก็บบันทึกข้อมูลจราจร ตาม พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ปี 2550 ให้มาด้วย
๗.๕ การเก็บบันทึกข้อมูลมีการยืนยันความถูกต้องข้อมูล Integrity hashing confidential files
หน้าแสดงค่า Log file ที่ถูกต้องตามมาตราฐาน มศอ และสามารถไปใช้ในชั้นศาลได้

๘. การเก็บบันทึกค่าสำหรับให้ IT Audit ในการตรวจสอบข้อมูลและใช้เป็นหลักฐาน (Log Audit)
๘.๑  การเก็บบันทึกค่า Active Directory Login active / Login fail
๘.๒ การเก็บบันทึกค่า SSH Login active / Login fail

ภาพการออกแบบอุปกรณ์ SRAN Light LT50 Hybrid

ภาพอุปกรณ์ฮาร์ดแวร์ระบบเฝ้าระวังภัยคุกคามข้อมูลสารสนเทศและการเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ ที่ได้รายชื่อบัญชีนวัตกรรมไทย จากสำนักงบประมาณ

ภาพช่องรับสัญญาณข้อมูลที่ผ่านระบบเครือข่ายคอมพิวเตอร์
มาตรฐานที่ได้รับจากฮาร์ดแวร์อุปกรณ์ SRAN  และขั้นตอนในผลิตภัณฑ์ (Certification)
1. มาตรฐาน มศอ. 4003.1-2552 ระบบเก็บรักษาข้อมูลจราจรคอมพิวเตอร์ตามกฎหมายเล่ม 1 ข้อกำหนดใช้ได้ถึง 8 เมษายน 2562
2. มาตรฐาน ศอ. 2001.2-2553 วิธีการประเมินสมรรถนะ สำหรับ บริภัณฑ์คอมพิวเตอร์และส่วนประกอบเชิงหน้าที่ เล่ม 2 ความร้อนใช้ได้ถึง 8 เมษายน 2562
3. มาตรฐาน ศอ. 2006.2.1-2555 วิธีการประเมินสมรรถนะ สำหรับบริภัณฑ์คอมพิวเตอร์และส่วนประกอบเชิงหน้าที่ เล่ม 2 ส่วนที่ 1 การใช้พลังงานในภาวะใช้กำลังไฟฟ้าต่ำ ใช้ได้ถึง 8 เมษายน 2562
4. มาตรฐาน ศอ. 2006.3-2556 วิธีการประเมินสมรรถนะ สำหรับบริภัณฑ์คอมพิวเตอร์ และส่วนประกอบเชิงหน้าที่ เล่ม 3  การคำนวณและประมวลผลข้อมูล ใช้ได้ถึง 8 เมษายน 2562
5. มาตรฐาน มอก. 1956-2548 บริภัณฑ์เทคโนโลยีสารสนเทศ เฉพาะด้านความปลอดภัยข้อกำหนดทั่วไป ใช้ได้ถึง 8 เมษายน 2562
6. มาตรฐาน มอก. 1956-2553 บริภัณฑ์เทคโนโลยีสารสนเทศ ขีดจำกัดสัญญาณรบกวนวิทยุ ใช้ได้ถึง 8 เมษายน 2562
7. มาตรฐาน มอก. 1448-2544 ความเข้ากันได้ทางแม่เหล็กไฟฟ้า เล่ม 3-2 : ขีดจำกัดสำหรับสิ่งที่ส่งออกมาซึ่งเป็นกระแสฮาร์โมนิก (กระแสไฟฟ้าเข้า 16 แอมแปร์ต่อเฟส) ใช้ได้ถึง 8 เมษายน 262
8. มาตรฐาน ISO 9001:2008 จาก SGS (Thailand) ให้กับการผลิตภัณฑ์ SRAN  ในการให้บริการด้านความมั่นคงปลอดดภัยข้อมูลสารนเทศภายใต้ผลิตภัณฑ์ ใช้ได้ถึง 14 กันยายน 2561

สิทธิประโยชน์ ผลิตภัณฑ์ SRAN ดังนี้
1. สิทธิประโยชน์มาตรการยกเว้นภาษีเงินได้นิติบุคคลสำหรับค่าใช้จ่ายด้านการวิจัย พัฒนา เทคโนโลยี และนวัตกรรม ร้อยละ 300
2. สิทธิประโยชน์ทางภาษีระบบ Self - Declaration
3. มาตรการทางภาษีสำหรับเงินบริจาคเข้ากองทุนเพื่อการวิจัย พัฒนาเทคโนโลยี และนวัตกรรม
4. การยกเว้นภาษีเงินได้แก่กิจการธุรกิจเงินร่วมลงทุนและนักลงทุนในกิจการธุรกิจร่วมลงทุนสำหรับเงินปันผลและกำไรจากการโอนหุ้น
5.  ได้รับการขึ้นทะเบียนนวัตกรรมไทย เป็นเวลาสูงสุด 4 ปี
6. ส่วนรายชการ รัฐวิสาหกิจ หน่วยงานตามกฎหมายว่าด้วยการบริหารราชการส่วนท้องถิ่น หน่วยงานอื่น ซึ่งมีกฎหมายบัญญัติให้มีฐานะเป็นราชการบริหารส่วนท้องถิ่น หรือหน่วยงานอื่นของรัฐ สามารถจัดซื้อจัดจ้างจากผู้ขายหรือผู้ให้บริการที่มีรายชื่อตามบัญชีนวัตกรรมไทย โดยวิธีกรณีพิเศษที่เรียกชื่ออย่างอื่นซึ่งมีวิธีการทำนองเดียวกันตามระเบียบว่าด้วยการพัสดุที่หน่วยงานนั้นๆ ถือปฎิบัติ
อ้างอิงสิทธิประโยชน์จาก เอกสาร บัญชีรายชื่อนวัตกรรมไทยฉบับเดือนมกราคม 2559   หน้าที่ 5

เอกสาร
เอกสารรายชื่อบัญชีนวัตกรรมไทย ประกาศจากสำนักงบประมาณ กระทรวงการคลัง ฉบับเพิ่มเติมเดือนกรกฎาคม 2559

วันศุกร์, กรกฎาคม 22

อบรม LAB Cyber Security ให้กับทาง SIPA ครั้งที่ 2

 โครงการเสริมสร้างความรู้และทักษะบุคลากร ที่ทาง SIPA ร่วมกับมหาวิทยาลัยศรีปทุม เป็นผู้จัดขึ้น ทางผมและทีม SRAN ได้เข้าร่วมเพื่อทำการจัดฝึกอบรมในหลักสูตร LAB Cyber Security จำนวน 5 วัน

ได้รับเกียรติจากมหาวิทยาลัยศรีปทุม และ SIPA ให้เป็นวิทยากรให้ความรู้ด้าน Cyber Security และการเก็บข้อมูลจราจรคอมพิวเตอร์ตาม พ.ร.บ.คอมพิวเตอร์ ต่อหน่วยงานรัฐ สถาบันการศึกษาและเอกชน โดยในรุ่นนี้มีผู้เข้าฝึกอบรมจำนวน 56 คน” จัดทำเป็นการสอนแบบ LAB ปฎิบัติจริงจำนวน 5 วัน รุ่นที่ 2 วันที่  25 – 30 กรกฎาคม 2559  โดยการฝึกปฏิบัตินี้ได้ทำให้ผู้อบรมได้รู้จัก Log files แต่ละประเภท ทั้งที่เป็น Network Log , Syslog จากอุปกรณ์ และเครื่องแม่ข่าย ตลอดจน Log จากการถอดค่า SSL (SSL Decrypt) และเสริมทักษะในการวิเคราะห์ Log แบบมืออาชีพ รวมทั้งการฝึกสังเกตการโจมตีทางไซเบอร์ (Cyber Attack) จากประสบการณ์จริง เพื่อให้ผู้เข้าร่วมอบรมได้นำความรู้ที่ได้เรียนรู้มานำไปปฏิบัติตัวได้อย่างมีประสิทธิภาพต่อองค์กรต่อไป

หลักสูตรวิเคราะห์ Log การโจมตีระบบทางระบบเครือข่ายคอมพิวเตอร์

 



หลักสูตรนี้ผมออกแบบให้เน้น “การมองเห็นบนระบบเครือข่าย (Network visibility)  และ เห็น Log แต่ละชนิดหน้าตาเป็นเช่นไร เพื่อเอาไปใช้ในการวิเคราะห์และการหาสิ่งผิดปกติที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์”

ตัวอย่าง LAB ที่ให้ผู้เข้าฝึกอบรม

 

นับว่าเป็นอีกการอบรมหนึ่งที่ผมประทับใจอีกครั้งหนึ่ง  เพราะ LAB ทั้งหมด Set มาจากประสบการณ์ของตนเอง สอนตามประสบการณ์  ในการอบรมในครั้งนี้ทั้งหมดนี้เป็นการเรียนฟรี  กิจกรรมดีๆ ของมหาวิทยาลัยศรีปทุม และทาง SIPA

บรรยากาศในห้องปฏิบัติการ

ฝึกอบรม LAB Cyber Security ให้กับทาง SIPA

 โครงการเสริมสร้างความรู้และทักษะบุคลากร ที่ทาง SIPA ร่วมกับมหาวิทยาลัยศรีปทุม เป็นผู้จัดขึ้น ทางผมและทีม SRAN ได้เข้าร่วมเพื่อทำการจัดฝึกอบรมในหลักสูตร LAB Cyber Security จำนวน 5 วัน


ได้รับเกียรติจากมหาวิทยาลัยศรีปทุม และ SIPA ให้เป็นวิทยากรให้ความรู้ด้าน Cyber Security และการเก็บข้อมูลจราจรคอมพิวเตอร์ตาม พ.ร.บ.คอมพิวเตอร์ ต่อหน่วยงานรัฐ สถาบันการศึกษาและเอกชน โดยในรุ่นนี้มีผู้เข้าฝึกอบรมจำนวน 56 คน” จัดทำเป็นการสอนแบบ LAB ปฎิบัติจริงจำนวน 5 วัน คือตั้งแต่วันที่ 24 – 28 พฤษภาคม 2559 นี้  และรุ่นที่ 2 วันที่  25 – 30 กรกฎาคม 2559  โดยการฝึกปฏิบัตินี้ได้ทำให้ผู้อบรมได้รู้จัก Log files แต่ละประเภท ทั้งที่เป็น Network Log , Syslog จากอุปกรณ์ และเครื่องแม่ข่าย ตลอดจน Log จากการถอดค่า SSL (SSL Decrypt) และเสริมทักษะในการวิเคราะห์ Log แบบมืออาชีพ รวมทั้งการฝึกสังเกตการโจมตีทางไซเบอร์ (Cyber Attack) จากประสบการณ์จริง เพื่อให้ผู้เข้าร่วมอบรมได้นำความรู้ที่ได้เรียนรู้มานำไปปฏิบัติตัวได้อย่างมีประสิทธิภาพต่อองค์กรต่อไป

ภาพความประทับใจในรุ่นที่ 1