Pages

แสดงบทความที่มีป้ายกำกับ Network แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ Network แสดงบทความทั้งหมด

วันอังคาร, สิงหาคม 27

Network Log มีความสำคัญอย่างไร

Network Log มีความสำคัญอย่างไร ?

เมื่อพูดถึง Log files หลายคนคงเข้าใจว่าต้องนำ Log จากเครื่องแม่ข่าย (Server) เพื่อโยนเข้ามาเก็บส่วนกลาง ผ่านเทคโนโลยี Centralized Log management ไม่ว่าเป็น Log ที่เกิดจากระบบ System ในเครื่อง หรือ Log ที่เกิดจาก Application
(Log files คือการเก็บบันทึกข้อมูลที่เกิดขึ้น)

ยกตัวอย่าง หากในองค์กรหนึ่งมีการตั้ง AD Server (Active Directory) เพื่อเป็น AAAและA
Authentication คือ การระบุตัวตน เพื่อใช้ยืนยันตัวตน ของผู้ใช้งานภายในองค์กร เช่น การ Login เข้าระบบเครือข่าย Login เพื่อยืนยันตัวตนในการเข้าถึงระบบงาน ยืนยันและระบุตัวตนสำหรับการใช้งานอินเทอร์เน็ต เป็นต้น

Authorization คือ การกำหนดสิทธิในการเข้าถึง Application เข้าถึงระบบ เข้าถึงไฟล์ และเข้าถึงข้อมูล เป็นต้น

Accounting คือ รายชื่อผู้ใช้งานที่มีการสร้างขึ้นจากผู้ดูแลระบบ ส่วนใหญ่เป็นรายชื่อพนักงานในองค์กร

และ A ตัวสุดท้ายคือ Auditing เป็นการตรวจสอบ Log ที่เกิดขึ้น ส่วนใหญ่แล้วก็จะเป็น Log ที่เกิดจาก Authentication, Authorization และ Accounting ของเครื่อง Active Directory Server นี้แหละ

และยังมี Application Log ที่สำคัญ อื่นๆ ที่นิยมนำมาเก็บ บน Log Management ก็เช่น Log Web Server, Log Mail Server, Log DHCP/DNS Server, Log จาก Files Sharing, Log ระบบที่สร้างขึ้นจากแอพลิเคชั่นในองค์กร เช่นระบบ ERP ระบบบัญชี เป็นต้น ซึ่งหากเก็บหมดนี้ก็ถือใช้พื้นที่ในการเก็บจำนวนมาก และหากเก็บหมดได้ นี้แหละคือ Big data ที่ทุกองค์กรมีอยู่ใกล้ตัวที่สุด เป็นข้อมูลภายในองค์กร ซึ่งรัฐบาลจากทำ Big data แต่ไม่รู้จะเริ่มอย่างไง อยากให้มาดูในส่วนนี้จะเริ่มต้นได้ (สำหรับหน่วยงานที่ไม่มีข้อสาธารณะจำนวนมากและต่อเนื่อง)


Big data ส่วนนี้มิใช่ข้อมูลที่แสดงต่อสาธารณะ แต่มีประโยชน์ต่อหน่วยงานมาก ช่วยให้รอดพ้นจากภัยไซเบอร์ได้ อันเนื่องมาจากการมองเห็น และรู้เท่าทันขึ้น จาก Log files

Log มาจากเครื่อง ส่งมาเก็บจะพบปัญหาได้หากเกิดความผิดพลาดในระบบเช่นไวรัสลงที่เครื่องแม่ข่าย (Server) ที่กล่าวมาทั้งหมดเหล่านี้ไม่ว่าจะเป็นเครื่อง AD Server, Files sharing server, และ Web Server การส่ง Log มาเก็บที่ Centralized Log management อาจจะมีความผิดพลาด เช่น ไวรัสคอมพิวเตอร์ บางชนิดอาจทำลาย Log ลบ Log ทำให้ไม่มี Log ส่งมาเก็บที่ส่วนกลาง ไม่สามารถหา ร่องรอยการโจมตีได้


ภาพ Log ที่เกิดจาก RDP ที่เกิดจาก Network Log เป็น GUI จาก SRAN LT 50 Hybrid

Log ที่มาจาก Network นั้นสำคัญ ?
หากเกิดกรณีดังกล่าว เช่นไวรัสเข้าไปลบ Log ในเครื่อง Server เราจะทำอย่างไร
ผมจึงจะขอเวลาเขียนบทความนี้เพื่อทำความเข้าใจ ดังนี้

Log Network ประกอบด้วย
1) Log ที่มาจากอุปกรณ์ Network เช่น Log Firewall, Log Router, Log Switch หลายองค์กรทำการส่ง Log เฉพาะ Log Firewall เพื่อ เข้า Centralized Log management เพราะตัวอื่นๆ จะมีปริมาณข้อมูลเยอะและมีเหตุการณ์ที่ซ้ำซ้อน ดังนั้นหากติดตั้ง Firewall แบบถูกวิธี Log Firewall ถือว่าเป็นประโยชน์มาก
แต่ด้วยว่า Firewall มีหลายระดับ ระดับที่ราคาแพง (หลักแสนขึ้นถึงหลักหลายล้าน) จะมีครบ

ส่วน Firewall ทั่วไป อย่างน้อยจะเห็น Log ที่ได้จะเห็น การสื่อสาร ต้นทาง (IP Source/ Source Port) และ ปลายทาง (IP Destination/ Destination Port) และ Protocol สถานะการเชื่อมต่อ

Firewall ที่เป็นระดับ Application Firewall ก็จะเพิ่มเติมการมองเห็น Application ที่ใช้งาน Bandwidth ที่ใช้งาน เช่น มองเห็น Protocol ที่สำคัญ เช่น HTTP, SMTP, DNS, DHCP, FTP, SSH เป็นต้น ซึ่งหากรู้จัก และ Application ที่สื่อสารบน Protocol เหล่านี้ เช่น Skyp, Facebook, Line, Gmail เป็นต้น แต่ไม่ได้หมายถึงว่าเห็นข้อความ เนื้อ content ผู้ส่งและผู้รับได้ เห็นเพียงรู้ว่าใช้ Application อะไร Bandwidth เท่าไหร่ ลักษณะการสื่อสารเท่านั้น

Firewall ในระดับ NextGen ก็จะป้องกันภัยคุกคามที่มาทางระบบเครือข่าย และ Application ได้ด้วย
แต่ทั้งนี้ Log ที่มาจาก Firewall ส่งมาเก็บ ก็ใช่ว่าจะสมบูรณ์ เพราะไม่สามารถมองเห็น Log Network ภายในองค์กรได้

Log Network ที่เกิดขึ้นในองค์กร การแชร์ไฟล์ map drive, Log ที่มากับกล้องวงจรปิด CCTV ที่ติดภายในอาคาร Log ที่เกิดจากการควบคุมเครื่องจักรในโรงงานอุตสาหกรรม, Log ที่เกิดจากแพร่ไวรัสภายในเครือข่าย LAN เป้นต้น

การที่ Firewall จะมองเห็นได้ทั้งหมดเป็นไปไม่ได้

ดังนั้นแบบที่ 2 ที่จะกล่าวถึงคือการสำเนาข้อมูลผ่านระบบเครือข่ายคอมพิวเตอร์ หรือเรียกว่า Mirror traffic จึงเกิดขึ้น สำหรับผมชอบวิธีนี้ที่สุดเพราะผลกระทบน้อยและ Log ที่ได้รับมามีประโยชน์ ไม่สามารถถูกแก้ไขจากไวรัสคอมพิวเตอร์ได้ เห็นอย่างไร บอกอย่างนั้น ตามที่เคยกล่าวว่า "Log files ไม่เคยโกหกเรา"

2) Log Network ที่ได้จากการสำเนาข้อมูล
(Mirror traffic)
หากระบบเครือข่ายในองค์กรของเรามีขนาดใหญ่ อาจมีการแบ่งโซนระบบเครือข่ายออกเป็น โซนสำหรับเครื่องแม่ข่ายสำคัญ โซนผู้ใช้งานภายในองค์กร โซน WiFi โซนตามแผนกงาน เป็นต้น ก็ทำการสำเนาข้อมูลแต่ละส่วนมาเพื่อเก็บบันทึกเป็น Log Network ได้
ด้วยวิธีนี้ มีหลายโปรแกรมที่มองเห็นและแกะ Protocol ที่สำคัญ เช่น
Log AD ที่เกิดจาก Kerberos สำหรับใช้ Active Directory จะได้ใกล้เคียงกับ Log ที่เก็บในเครื่อง AD Server สามารถมองเห็นทาง Network ได้เช่นกัน

Log Web Server มีความใกล้เคียง access.log หรือเทียบเท่ากัน จากที่มาจากเครื่องแม่ข่าย
Log Files share ที่ผ่าน Protocol Netbios และ SMB ก็เห็นเช่นเดียวกัน ใกล้เคียงจาก Log จากเครื่องแม่ข่ายส่งมา

Log Remote ไม่ว่าเป็น Remote Desktop, VPN, SSH, FTP ก็มองเห็น และใกล้เคียงกับ Log ที่มาจากเครื่องแม่ข่ายส่งมา ซึ่งไวรัสตัวใหม่ ที่พึ่งเกิดขึ้นก็ใช้ช่องโหว่ของ RDP โดยส่วนใหญ่แล้วหาได้น้อยมากที่ใครจะโยน Log RDP มาเก็บ ส่วนใหญ่จะได้จาก Network Log นี้แหละหากไม่มี Network Log อย่าหวังว่าจะได้ข้อมูลและลักษณะการติดต่อสื่อสาร


ภาพLog RDP เมื่อจัดทำสถิติ ผ่าน command line ที่มองเห็นผ่าน Network Log เช่นกัน

Log การระบุตัวตน ที่เกิดจาก Radius Protocol ก็มองเห็น และใกล้เคียงกับ Log ที่มาจากเครื่องแม่ข่ายส่งมา

ดังนั้นแบบที่ 2 ประหยัดงบกว่าแน่ และได้สิ่งที่เพียงพอแล้วสำหรับผู้ดูแลระบบเครือข่าย

ผมจึงอยากจะเขียนไว้เพื่อสร้างความเข้าใจ ซึ่งทั้งหมดที่เขียนมาล้วนมาจากประสบการณ์ทั้งสิ้น

"Log files ไม่เคยโกหกเรา"














Nontawatt Saraman

27/08/62
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

วันอาทิตย์, สิงหาคม 8

ปัจจัยทั้ง 4 แห่งการสืบสวนทางอินเทอร์เน็ต

บทความนี้เกิดขึ้นจากงานสัมมนาแนวทางการรับมือกับภัยไอซีที เมื่อวันที่ 13 กรกภาคม 2553 ที่ผ่านมา ซึ่งผมได้บรรยายในหัวข้อแนวทางการสืบสวนและป้องกันภัยคุกคามทาง อินเทอร์เน็ต จึงอยากนำบางส่วนในการบรรยายครั้งนั้นมาถ่ายทอดให้ผู้อ่านที่ไม่ได้ร่วมงาน สัมมนานี้ให้รับทราบกัน

เรื่องปัจจัยทั้ง 4 แห่งการสืบสวนทางอินเทอร์เน็ต นั้นเป็นกรอบแนวคิดเพื่อให้ผู้ปฏิบัติงานได้มีหลักในการวิเคราะห์ที่มาที่ไป ของภัยไอซีทีได้แบบเข้าใจง่าย และเชื่อมโยงความสัมพันธ์เหตุต่างๆที่เกิดขึ้นอย่างเป็นรูปธรรมได้โดยใช้ กรอบความคิดนี้

ถ้าหากเราเข้าใกล้ความจริงแล้ว เราจะพบว่าเหตุที่เกิดขึ้นในชีวิต ล้วนแล้วแต่เชื่อมโยงถึงกัน มีที่มาที่ไปทั้งสิ้น จะไม่มีอะไรเกิดขึ้นมาโดยไม่อาศัยสิ่งอื่น ยกตัวอย่างเช่น ข้อมูลขยะ (Spam) อยู่ๆ เกิดขึ้นเองไม่ได้ ต้องอาศัยคนที่สร้างเนื้อหาข้อมูลขยะนั้น ต้องอาศัยโปรแกรมที่ส่งข้อมูลขยะนั้น แล้วคนละอยู่ๆ จะสร้างข้อมูลขยะนั้นหรือไม่ ก็ต้องมีเหตุปัจจุจัยที่ทำให้คนนั้นสร้างข้อมูล ไม่ว่าเป็นเรื่องค่าจ้าง ความสนใจส่วนตัว หรือลึกลงไปกว่านั้นอาจพบว่ามี DNA จากกรรมพันธ์ุ ที่ทำให้คนคนนั้นมีนิสัยใจคอเป็นอย่างนั้น หรือ แม้แต่การเลี้ยงดูของพ่อแม่ การอาจทำให้การรับรู้ข้อมูลที่แตกต่างกัน, การรับรู้ข้อมูลนั้นอาจวัดได้จากประสบการณ์ชีวิต
ที่ทำให้คนคนนั้นส่งข้อมูลขยะได้ จะเห็นว่าผลลัพธ์เพียงอย่างเดียวแต่มีความสัมพันธ์เชื่อมโยงอาศัยกับสิ่งอื่นๆ ทั้งสิ้น

เมื่อเราเข้าใจแล้วว่าทุกๆอย่างมีความสัมพันธ์เชื่อมโยงถึงกันหมด เราก็นำความสัมพันธ์นั้นมาสร้างเป็นกรอบแนวคิด เพื่อที่จะทำให้เราเข้าใจถึงผลแห่งเหตุนั้นได้อย่างเป็นระบบ

ปัจจัยทั้ง 4 ที่กล่าวมานั้นประกอบด้วย
คน เครื่อง ระบบ และผลลัพธ์ ตามแผนภาพ
ภาพที่ 1 แสดงถึงปัจจัยทั้ง 4 และความเชื่อมโยง เวลา และสภาวะแวดล้อม

ส่วนประกอบที่ 1 คือ คน การกระทำของคนที่เกิดขึ้นจากคนเป็นการรับรู้ในสิ่งต่างๆ มีทั้งภายใน และภายนอก ตัวคน
1.1 ภายในเองก็ประกอบด้วย ตา หู จมูก ล้ิน กาย และใจ หากอธิบายในทางวิทยาศาสตร์ ในร่างกายของคนก็มีการติดต่อสื่อสารภายใน ในระดับเซลล์ ประจุไฟฟ้า อนุภาคที่มีขนาดเล็ก รวมเป็นเนื้อเยื่อ รวมเป็นระบบประสาทที่เชื่อมโยงสื่อสารภายในตัวคน มีการถ่ายทอดข้อมูลจากบรรพบุรุษผ่านระบบดีเอ็นเอ (DNS) ที่เป็นพิมพ์เขียวจากอดีตที่ตกถอดมาถึงเรา แม้กระทั่งสารเคมีต่างๆที่อยู่ภายในร่างกายของเราที่ทำงานตลอดเวลาจนกว่าเราจะหมดลมหายใจ
1.2 ภายนอก เป็น อารมณ์ ที่ทำได้จาก ตาเห็นรูป , หูได้ยินเสียง , จมูกได้กลิ่น , ลิ้นได้รส , กายได้สัมผัส และใจที่มีความคิดปรุงแต่งตามสภาวะชั่วขณะ ที่เกิดขึ้น ตั้งอยู่ และดับไป
ทุกสิ่งทุกอย่างเป็นไปตามกระแสของเหตุปัจจัย  หรือในพุทธศาสนาเรียกว่า "อิทัปปัจจยตา" บนห่วงโซ่เหตุการณ์ของการรับและส่งข้อมูล 3-in-3-out  ห่วงโซ่ที่เกิดขึ้นแล้วเกิดขึ้นอีกซ้ำไปซ้ำมา ตามหลักพุทธศาสนา เรียกว่า "ปฎิจจสมุปบาท"

ซึ่งทั้งหมดนี้จะทำให้คน คนนั้นทำกิจกรรมและมีพฤติกรรมการแสดงออกที่แตกต่างกันตามช่วงเวลา เกิด อยู่ ตั้งอยู่ และดับไป ไม่คงที่มีการเปลี่ยนแปลงอยู่ตลอด

ส่วนประกอบที่ 2 คือ เครื่อง หมายถึงเครื่องมือสื่อสาร ไม่ว่าจะเป็นเครื่องคอมพิวเตอร์ มือถือ หรืออื่นๆที่สามารถติดต่อสื่อสารได้ ทั้งฝั่งรับข้อมูล และ ฝั่งส่งข้อมูล ในที่นี้ผมขอเปรียบเทียบเป็นเหมือนยานพาหนะ

เครื่องเป็นพาหนะที่เกิดจากคนเป็นผู้ใช้งาน มุมมองในการพิจารณาก็มีทั้งภายในและภายนอก โดยใช้คนเป็นศูนย์กลางในการพิจารณา
2.1 ภายใน คือ คนใช้เครื่องโดยตรง
2.2 ภายนอก คือ คนถูกผู้อื่นใช้เครื่อง ทั้งที่เป็นเจตนา และไม่เจตนา บนความรู้เท่าไม่ถึงการณ์

ส่วนประกอบที่ 3 คือ ระบบ หมายถึงโครงข่ายข้อมูล (Network) ที่เป็นช่องทางในการสื่อสาร ไม่ว่าเป็นการสื่อสารผ่านอินเทอร์เน็ต มือถือ หรืออื่นๆ ในที่นี้ผมขอเปรียบเทียบเป็นเหมือนช่องถนนในการเดินทางของพาหนะ

ระบบนั้นก็มีมุมมองในการพิจารณา มีทั้งภายใน และ ภายนอก เช่นกัน โดยใช้คน และ เครื่อง เป็นศูนย์กลางในการพิจารณา

3.1 การพิจารณาโดยใช้คน และเครื่องเป็นศูนย์กลาง
- ภายใน คือ ช่องทางการติดต่อสื่อสารภายในเครือข่ายองค์กร (LAN Technology)
- ภายนอก คือ ช่องทางการติดต่อสื่อสารภายนอกเครือข่ายองค์กร (WAN Technology)
โดยทั้งคู่สามารถพิจารณาต่อลงไปถึงการไหลเวียนของข้อมูลที่เกิดขึ้นจากหลัก OSI 7 layer หรือจะเป็นฉบับย่อแบบ 3-in-3-out ที่ผมเคยเขียนในอดีตได้ต่อเนื่องอีก



ภาพที่ 2 แสดงการพิจารณามุมภายใน และ ภายนอก เมื่อเอาตัวคนเป็นศูนย์กลาง

หากเราใช้หลักพิจารณาภายในและภายนอก โดยใช้คนเป็นศูนย์กลางในการพิจารณาแล้ว จะเห็นว่าในระดับผู้ให้บริการ (ISP) นั้นจะกลายเป็นมุมภายนอกเสมอ ซึ่งในความเป็นจริงแล้วไม่ใช่ เนื่องจากผู้ให้บริการ (ISP) ก็จะมีระบบภาย (LAN) เช่นกัน ดังนั้นการพิจารณาในเรื่องนี้นอกจากเอาคนเป็นศูนย์กลางในการพิจารณาแล้วยังต้องอาศัยข้อมูลเป็นศูนย์กลางในการพิจารณาด้วย โดยข้อมูลจะแบ่งประเภทดังนี้

3.2 การพิจารณาโดยใช้ข้อมูลเป็นศูนย์กลาง ซึ่งในที่นี้จะหมายถึงข้อมูลนั้นเกิดจาก คน และเครื่อง ในประเทศไทย
- ข้อมูลที่รับและส่งภายในประเทศ (Link ภาพแผนที่อินเทอร์เน็ตภายในประเทศไทย) จะต้องผ่านช่องทางการติดต่อสื่อสาร ที่ผมเปรียบเทียบได้กับถนน ถนนที่เกิดจากผู้ให้บริการ (ISP) สร้างขนาดถนนที่แตกต่างกัน ขนาดของ Bandwidth ในการรับและส่งข้อมูลซึ่งผู้ให้บริการบางรายอาจเปรียบได้กับถนน 4 แลน บางรายอาจเปรียบได้กับ ถนน 2 แลน เป็นต้น การติดต่อสื่อสารภายในประเทศ ก็เหมือนกับถนนที่เชื่อมกันระหว่างผู้ให้บริการในประเทศ ยกตัวอย่างเช่น ผมเปิดเว็บไซต์ www.sran.org ซึ่งตัวเว็บไซต์นั้นตั้งอยู่ภายในประเทศไทย การติดต่อสื่อสารก็จะเกิดเฉพาะภายในประเทศไทย

- ข้อมูลที่รับส่งภายนอกประเทศ (Link ภาพแผนที่อินเทอร์เน็ตภายนอกประเทศ) เช่นกันจะต้องผ่านช่องทางการติดต่อสื่อสาร หรือ ถนนที่เกิดจากผู้ให้บริการ (ISP) ที่มีการสร้างขนาดถนนที่แตกต่างกัน เช่นเดียวกันกับการรับส่งข้อมูลภายในประเทศ ที่แตกต่างกันคือข้อมูลฝั่งปลายทางที่ติดต่อไปนั้นอยู่ต่างประเทศ ยกตัวอย่างเช่น ผมเปิดเว็บไซต์ www.blogger.com ซึ่งเมื่อทำการ whois ดูพบว่าตั้งอยู่ต่างประเทศ ที่ไม่ใช่ประเทศไทย การติดต่อสื่อสารก็เริ่มจากเครื่องผมที่อยู่ที่บ้าน ไปยังผู้ให้บริการที่ให้ผมได้ใช้อินเทอร์เน็ต ผู้ให้บริการก็เปิดช่องทางต่างประเทศให้ข้อมูลที่เรียกเว็บไซต์ www.blogger.com ไปถึงที่หมายปลายทาง เพียงช่วงพริบตา

ในเรื่องระบบ หัวข้อ 3 นี้เป็นเรื่องทางเทคนิคเสียส่วนใหญ่ จะขอยกตัวอย่างเป็นกรณีให้เห็นภาพขึ้นในโอกาสถัดไป

ส่วนประกอบที่ 4 คือ ผลลัพธ์ ผลลัพธ์มีทั้งเรื่องปกติ และเรื่องไม่ปกติ ซึ่งสามารถแยกแยะได้ดังนี้

4.1 ผลลัพธ์ทางเทคนิค ผลลัพธ์ ที่เป็น
4.1.1 เรื่องที่ปกติ เกิดจากการใช้งานคอมพิวเตอร์ ในการรับและส่งข้อมูลได้อย่างปกติที่เคยใช้ รับรู้ได้ด้วยตัวเอง
4.1.2 เรื่องที่ผิดปกติ เกิดจากการใช้งานคอมพิวเตอร์ ในการรับและส่งข้อมูลได้นั้นมีความผิดปกติ เกิดได้ดังนี้
- เกิดความการรั่วไหลของข้อมูลที่เป็นความลับ (ขาด C : Confidentiality)
- เกิดจากการแสดงข้อมูลที่ไม่ถูกต้องจากความเป็นจริง ( ขาด I : Integrity)
- เกิดจากความไม่คงที่ของข้อมูลทำให้ความเสถียรภาพข้อมูลนั้นสูญเสียไป (ขาด A : Availability)
ทั้งหมดนี้อาจจะสูญเสียอย่างใดอย่างหนึ่ง คือ เสียทั้ง C , I และ A หรือ สูญเสียอย่างใดอย่างหนึ่ง จนเป็นบ่อเกิดถึงความผิดปกติจากการใช้งานคอมพิวเตอร์ และการรับ-ส่งข้อมูล เกิดขึ้น
ซึ่งขอเรียกว่า ความผิดปกติ ที่เกิดขึ้นจากผลลัพธ์ทางเทคนิค ว่า "เหยื่อ" ความหมายถึง คน และ เครื่องมือในการติดต่อสื่อสารนั้น ตกเป็นเหยื่อทางเทคนิค บนความไม่รู้เท่าทัน

เหยื่อในทางเทคนิค ก็ได้แก่ การติดมัลแวร์ (Virus/worm , Trojan , Backdoor , rootkit และอื่นๆ) , การตกเป็นเครื่องมือให้นักโจมตีระบบใช้ทรัพยากรเครื่องของเราในการส่งข้อมูลขยะ (Spam) หรือ โจมตีระบบให้เกิดความเสียหาย (DDoS/DoS)

4.2 ผลลัพธ์ไม่ใช่ทางเทคนิค ผลลัพธ์ ที่เป็น
4.2.1 เรื่องปกติ ก็หมายถึง ข้อมูลที่เรารับรู้ที่ได้ปรากฏขึ้นนั้นสามารถยอมรับได้ด้วย กฏหมาย และ ศิลธรรม บนประเทศที่เราได้ทำการสื่อสารข้อมูลขึ้น ที่เขียนอย่างงี้ก็เนื่องจากแต่ละประเทศนั้นมีความแตกต่างด้าน กฏหมาย ดังนั้นก็ขึ้นกับว่าหากเอาตัวเรา และเครื่องคอมพิวเตอร์ ของเราเป็นศูนย์กลางต้องพิจารณาว่าเราใช้เครื่องคอมพิวเตอร์เรา รับ-ส่งข้อมูลที่ประเทศใด ถ้าเป็นประเทศไทย ก็ต้องดู กฏหมาย ในประเทศไทยเป็นหลัก ส่วนศิลธรรมนั้นมีโดยทั่วไปจะเรื่องที่ทั่วโลกมีความเห็นสอดคล้องกัน

4.2.2 เรื่องผิดปกติ ก็หมายถึง ข้อมูลที่เรารับรู้ที่ได้ปรากฏขึ้นนั้น เกิดจากความคิดเห็นที่แตกต่างกันในแต่ละบุคคล ซึ่งเรื่องไม่ปกตินั้น ควรดูกฏหมาย และ ศิลธรรม ของประเทศนั้นๆ ในการพิจารณาต่อ

จะขอเรียก ความผิดปกติที่เกิดจากผลลัพธ์ที่ไม่ใช่เทคนิคนี้ ว่า "เหยื่อ" ความหมายคือ คน และ เครื่องมือในการติดต่อสื่อสารนั้นตกเป็นเหยื่อ บนความไม่รู้เท่าทัน
ขยายความได้ว่า เนื่องจากข้อมูลที่เรา เรา ท่าน ท่าน ที่ได้รับข้อมูลมานั้น หากเราไม่มีสติ และความรู้เท่าทันภัย เราอาจกลายเป็นเหยื่อโดยที่เราไม่รู้ตัวได้เช่นกัน

เหยื่อที่เกิดขึ้นโดยไม่ใช่ทางเทคนิค ได้แก่
- การรับรู้ข้อมูลที่ทำให้เกิดความเข้าใจผิด ซึ่งความเข้าใจผิดอาจจะก่อให้เกิดความเชื่อ การยึดมั่นถือมั่นในสิ่งที่เข้าใจผิดไป และคิดว่าเป็นจริง หรือเรียกว่า สัญญาวิปลาศ เห็นกงจักรเป็นดอกบัว เป็นต้น

- การแสดงความเป็นห่วงโดยไม่มองให้รอบด้าน ในสื่อสารสมัยใหม่อาศัยคนเป็นเหยื่อชนิดนี้มากขึ้น ขอยกตัวอย่าง เช่น ในการแสดงความคิดเห็นในเว็บบอร์ด หรือ พวกเครือข่ายสังคมออนไลน์ (Social network) พบข้อมูลอันไม่เหมาะสม ตัวเราเองกลับเผยแพร่ให้ขยายวงการรับรู้มากขึ้น ด้วยความเป็นห่วงเห็นข้อมูลนี้ไม่เหมาะสม เผยแพร่จาก 1 คน เป็น 2 จาก 2 เป็น 4 มากขึ้นเรื่อยๆ ทำให้จากเดิมมีคนรู้ไม่กี่คนทำให้รู้มากขึ้น แบบนี้แสดงว่าผู้เผยแพร่นั้นกำลังตกเป็นเครื่องมือ หรือเป็นเหยื่ออยู่ เป็นต้น การตกเป็นเหยื่อในกรณี แก้ไขโดย หยุดทำการส่งข้อความ หรือ ข้อมูลต่อให้กับผู้อื่นที่เราควบคุมการเผยแพร่ข้อมูลไม่ได้ หากพบเรื่องไม่เหมาะสมต่อสถาบันหลักของประเทศ ก็ควรส่งให้กับหน่วยงานที่รับผิดชอบ หรือถ้าเป็นทางข้อมูลอินเทอร์เน็ตก็ส่งให้หน่วยงานในกระทวงเทคโนโลยีสารสนเทศ สายด่วน 1212 เป็นต้น




ภาพที่ 3 เราเป็นเหยื่อได้ทั้งทางเทคนิคและไม่ใช่เทคนิค




โดยมากผลลัพธ์ที่เป็นเรื่องปกติ คงไม่มีใครมาสืบหา แต่หากเป็นผลลัพธ์ที่เกิดจากเรื่องไม่ปกติ จำเป็นต้องมีหลักในการสืบหา โดยวิธีการ คือ ใช้เวลาจากสิ่งที่เกิดขึ้นแล้ว ไล่ย้อนหลังไป
จากผลลัพธ์ที่ทำให้มีผู้เสียหาย ย้อนไป ที่ระบบที่ก่อให้เกิดผลลัพธ์นั้น ย้อนไปที่ เครื่อง ที่ก่อให้เกิดผลลัพธ์นั้น ย้อนไปที่ คนที่สร้างให้เกิดผลลัพธ์นั้น โดย
มีเวลา และปัจจัยทั้ง 4 เป็นหลักในการพิจารณา

ในตอนหน้าหากมีเวลาเพียงพอผมจะขยายความในปัจจัยทั้ง 4 โดยยกเป็นตัวอย่างเพื่อสร้างความเข้าใจมากขึ้นสำหรับผู้ปฏิบัติงานด้านนี้ต่อไป


นนทวรรธนะ สาระมาน
03/08/53

บทความที่เกี่ยวข้อง
หลักการพิจารณาแบบ 3-in-3-out ในการสืบหาผู้กระทำความผิดจากการใช้งานอินเทอร์เน็ต
http://sran.it/rd
http://sran.it/re


เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

วันเสาร์, มีนาคม 22

ดู SRAN ผ่าน iPhone

ชายหาดที่เงียบสงบ "ได้ยินเสียงคลื่นกระทบฝั่ง ประกายแดดกระทบผิวน้ำทะเลเป็นระยิบระยับ หาดทรายขาวเม็ดละเอียดดูขาวสดใส กลุ่มก้อนเมฆก็สีขาว ตัดกับขอบฟ้าสีคราม เหนือท้องน้ำทะเล สาวน้อยในชุดบีกีนี่ก็ขาว โอ้ ชั่งมีความสุขแล้ว มนุษย์โลก" พัฒนึกในใจ ในวันพักผ่อนที่พัฒใช้สิทธิตนเอง ลาพักเหนื่อยในสถานที่ห่างไกล ผู้คนวุ่นวาย ไร้ความแออัดของยานพหนะ นายพัฒนั่งริมชายหาด บนเก้าอี้ขาว(อีก) และในมือที่ถืออยู่นั้นคือ iPhone พัฒฟังเพลงจาก iPhone โดยเเลือกเปิดเพลงที่เหมาะกับวันนี้ ชื่อเพลงว่า วันหนึ่งวันนั้น ของสุรสีห์ อิทธิกุล ในชุดกัลปาวสาน เป็นเพลงเก่าที่พึ่งหาพบกับเพื่อนนักสะสมเพลง นอกจากฟังเพลงแล้วซาบซึ้งกับบรรยายกาศชายทะเลอันแสนสุขแล้ว แต่ใจของพัฒก็ยังไม่ยุติความกังวล อาจเป็นเพราะมีจิตสำนึกในหน้าที่และมีความรับผิดชอบในสิ่งที่ตนเองได้รับมอบหมายงานมา นายพัฒจึงนั่งคิดถึงงานที่บริษัท เนื่องจากตนเองเป็นผู้ดูแลระบบเครือข่ายนี้เอง เป็นเรื่องที่ท้าทาย ว่าใครกันนะ ที่ทำให้บริษัทต้องถูกกล่าวหาว่าเป็นผูู้้โจมตีเว็บไซด์เว็บหนึ่ง หรือว่าจะเป็นเรื่องที่จัดฉากขึ้นจากฝีมือใครคนใดคนหนึ่งที่ไม่พึ่งประสงค์ดี
จะต้องทำอย่างไรอย่างหนึ่งเพื่อหาสาเหตุปัญหาเรื่องนี้ให้ได้
จึงทำการเปิด iPhone เพื่อที่จะเชื่อมต่ออินเตอร์เน็ต ที่เหลือแบตเตอรี่ไม่มาก ทำการค้นหาสัญญาณ Wireless LAN ไม่ช้าก็พบและทำการเกาะสัญญาณได้ พร้อมอุทานว่า "โชคดีแล้วเรา" พัฒไม่รอช้า ทำงานพร้อมเสียงเพลงที่ยังคงบรรเลงอยู่
ใกล้มือที่สุด คือ iPhone คลิกปุ่มเพื่อทำการ Slide unlock และคลิกเกาะ Wi-fi ที่ทางรีสอร์ทจัดให้
เมื่อทำการติดต่อระบบ Wi-fi ได้ก็ลองเปิดบราวเซอร์ดูว่ามีการเชื่อมต่ออินเตอร์เน็ตได้หรือไม่ เมื่อได้แล้วพัฒไม่รอช้า
จึงเข้าสู่ Web Application บนอุปกรณ์ SRAN ที่ทาง Firewall บริษัท XXX ได้ Forward port 443 ให้แล้ว

ทำการ Login และใส่ User / Password ในระดับนักวิเคราะห์ระบบ (Analysis) หรือระดับ Member บนอุปกรณ์ SRAN SR-L

เข้าสู่หน้าจอวิเคราะห์ผล พัฒคลิกหน้า Summary ของ SRAN เพื่อดูภาพรวมข้อมูลจราจรของบริษัท XXX จากนั้นจึงคลิกเพื่อดูย้อนหลังลักษณะการใช้งาน

ทำการคลิกเข้าสู่ Menu -->LAW และคลิกดูผลการทำ Data Archive เพื่อดูถึงการบันทึกข้อมูลจราจรภายในองค์กร

เมื่อคลิกผลการบันทึกข้อมูลบนอุปกรณ์ SRAN ผ่านอินเตอร์เน็ทบนเครื่อง iPhone พบสิ่งผิดปกติคือ
มีลักษณะการบุกรุกที่เป็น DDoS เหมือนชนิดเครื่องภายในบริษัท XXX ติดเป็น Zombie อยู่ ซึ่งพัฒผ่านการอบรมจากทีมงาน SRAN ว่า Zombie คือเครื่องที่ติดโปรแกรมที่ไม่พึ่งประสงค์ (Malware) และ Zombie หลายตัว รวมเรียกว่า Botnet นั้นเอง แต่นี้เป็นเพียงขอสังเกตที่พัฒได้วินิฉัยเบื้องต้นเท่านั้น
(อ่านเพิ่มเติมได้ที่ กองทัพ Botnet คืออะไร)


เมื่อพัฒวิเคราะห์ถึงค่า Playload ของลักษณะการโจมตีนี้พบว่า เป็นการติดต่อ Ping Pong ซึ่งคล้ายๆกับ โปรแกรม Eggdrop หรือ TNT ที่เป็น Botnet ใน IRC และคงมีคนสั่งการผ่านทางอินเตอร์เน็ทให้ bot นี้ลักษณะนี้ ที่อยู่ในบริษัท XXX ยิงไปที่อื่นอยู่ พัฒเคยศึกษามาในบทความ Darkside of the Internet ของทีมงาน SRAN เขียนขึ้นเมื่อปี 2005 จากนั้นพัฒได้ดูประวัติ และพฤติกรรมการใช้งานของ IP ที่น่าสงสัยนี้ พบว่านอกจากเป็น Botnet แล้วยังพยายามยิง DoS ผ่านช่องโหว่ Web Dev อีกด้วยและพัฒได้จดบันทึกค่าที่ตนเองพบ ตามหลักการเก็บข้อมูล Chain of Event ทันที โดยพิจารณาจาก 5 คำถามคือ Who,What,Where,When,Why นั้นเอง


ตอนนี้ พัฒทราบสาเหตุเบื้องต้นแล้ว และรู้ทั้ง IP Source และ IP Destination จากที่ SRAN ได้บันทึกไว้แล้ว
สามารถอ่านตอนเชื่อมจากนี้ได้ที่ กรณีศึกษา Data Hashing ตอนที่ 2

ทำการปิดการเชื่อมต่อ SRAN ในหน้าจอบราวเซอร์ขึ้นข้อความดังรูป
พัฒจึงใช้เวลาไม่นานในการวิเคราะห์ผล เพราะอุปกรณ์ SRAN สามารถวิเคราะห์แทนได้ระดับหนึ่งแล้ว สิ่งที่ต้องทำต่อคือส่งข้อมูลที่ได้มาเพื่อชี้แจงกับผู้บริหารบริษัท XXX ต่อไป

เพลงวันหนึ่งวัน ก็จบลงพร้อมกับการวิเคราะห์เครือข่่ายโดยใช้ SRAN SR-L ผ่านมือถือ iPhone

บรรยากาศดีๆ ชายทะเล ในหน้าร้อน กับเพื่อนคู่ใจ iPhone ก็สำราญอารมณ์ได้ จริงไหม



นนทวรรธนะ สาระมาน
Nontawattana Saraman
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , , ,

วันศุกร์, มีนาคม 21

การสร้างเครือข่ายตื่นรู้ ตอนที่ 2


ก่อนหน้านี้ผมได้เขียนบทความการสร้างเครือข่ายตื่นรู้ ในตอนแรก การสร้างเครือข่ายตื่นรู้ (Energetic Network) ตอนที่ 1
และในบางส่วน ในนิตยสารไมโครคอมพิวเตอร์ ของสำนักพิมพ์ Se-ed ไปบางส่วนแล้ว
และเพื่อเป็นการสร้างความเข้าใจในเนื้อหามากขึ้้น ผมจึงอยากให้ศึกษาบทความผมเพิ่มเติ่มได้ เป็นบทเสริม ได้แก่ Log คืออะไร และ เทคนิคการเก็บ Log และอยากให้อ่านกรณีศึกษา การทำ Data Hashing ตอนที่ 1 และ ตอนที่ 2 จึงจะสามารถอ่านบทความนี้อย่างเข้าใจมากขึ้น

ต่อจากตอนที่แล้ว ..
4. องค์ประกอบ เครือข่ายตื่นรู้ (Energetic Network)
4.1 การจัดเก็บคลังข้อมูล (Inventory)
4.2 การระบุตัวตน (Identity)
4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)
4.4 การควบคุม (Control)
4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance)
สิ่งที่เราต้องทำ
4.1 การจัดเก็บคลังข้อมูล (Inventory) ประกอบด้วย
การจัดเก็บคลังข้อมูลบุคคลากร โครงสร้างองค์กร หรือ โครงสร้างบริษัท แผนก พนักงาน
การจัดเก็บคลังข้อมูลแผนผังเครือข่ายคอมพิวเตอร์ ได้แก่ Network Diagram , IP อุปกรณ์ Router , Switch , Firewall , NIDS/IPS เป็นต้น
การจัดเก็บคลังข้อมูลเกี่ยวกับคอมพิวเตอร์ ได้แก่ ระบบปฏิบัติการ (Operating System) , IP , MAC Address , ชื่อเครื่องคอมพิวเตอร์ , ชื่อผู้ใช้งานเครื่องคอมพิวเตอร์ และ ฮาร์ดแวร์ต่างๆ ที่อยู่บนเครื่องคอมพิวเตอร์ในองค์กร
การจัดเก็บคลังข้อมูลซอฟต์แวร์ และแอฟิเคชั่น ได้แก่ ซอฟต์แวร์ต่างๆ ที่ลงบนเครื่องคอมพิวเตอร์ ในองค์กร

4.2 การระบุตัวตน (Identity) มี 4 องค์ประกอบดังนี้
- การระบุตัวตนในการเข้าระบบ (Authentication)
- การระบุสิทธิในการใช้งาน (Authorization)
- การระบุตัวตนผู้ใช้งาน (Accounting)
- การระบุข้อมูลหลักฐานผู้ใช้งาน (Auditing)

4.2.1 การระบุตัวตนในการเข้าระบบ (Authentication) การระบุตัวตนนี้มีด้วยกัน 3 ทางเลือกได้แก่
สิ่งที่คุณมี (Some thing you have) ได้แก่ สมาทการ์ด บัตรพนักงาน หรือ Token เป็นต้น
สิ่งที่คุณรู้ (Some thing you know) ได้แก่ รหัสผ่าน
สิ่งที่คุณเป็น (Some thing you are) ได้แก่ อวัยวะในร่างกาย ม่านตา ลายนิ้วมือ เป็นต้น
เพื่อให้การระบุตัวตนในการเข้าระบบ ได้อย่างปลอดภัยและยืนยันตัวตนได้ค่อนข้างถูกต้อง ควรทำเป็นแบบ Two Factor Authentication คือมี 2 ใน 3 ทางเลือกสำหรับการระบุตัวตน ส่วนใหญ่ใช้เป็น สิ่งที่คุณมี และ สิ่งที่คุณรู้ เป็น 2 Authentication factor เพื่อป้องกันปัญหาการระบุตัวตนในองค์กร หากมีระบบ DHCP ที่สามารถดู Log ได้ หรือทำ NAC (Network Access Control) หรือสร้าง LDAP บน Domain Controller ก็ไม่สามารถระบุตัวตนที่แท้จริงได้ หากไม่ทำ 2 Authentication Factor วิธีนี้จะเหมาะสมและปลอดภัย
4.2.2 การระบุสิทธิในการใช้งาน (Authorization) เป็นการระบุถึงสิทธิ ระดับการใช้งานไม่ว่าเป็นการใช้งานบนระบบเครือข่าย (Network) การใช้งานตามแอฟเคชั่นคอมพิวเตอร์ การมีสิทธิใช้คอมพิวเตอร์ในองค์กร การกำหนดระดับ Bandwidth การใช้งาน ในแต่ละกลุ่ม แต่ละรายบุคคลเป็นต้น
4.2.3 การระบุตัวตนผู้ใช้งาน (Accounting) เป็นการระบุถึงรายชื่อผู้มีสิทธิในการใช้งาน
4.2.4 การระบุข้อมูลหลักฐานผู้ใช้งาน (Auditing) เป็นการบอกประวัติการใช้งาน ลักษณะการใช้งานคอมพิวเตอร์บนระบบเครือข่ายคอมพิวเตอร์

4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)
เป็นการเฝ้าสังเกตการพฤติกรรมการใช้งานบนระบบเครือข่าย แบ่งเป็น 3 องค์ประกอบได้ดังนี้
- การเฝ้าระวังข้อมูลที่ไม่ปกติ (Threat Data Traffic)
- การเฝ้าระวังข้อมูลที่ปกติ (Normal Data Traffic)
- การเก็บบันทึกข้อมูล (Recorder)
4.3.1 การเฝ้าระวังข้อมูลที่ไม่ปกติ (Threat Data Traffic) ซึ่งเป็นข้อมูลไม่พึ่งประสงค์ ได้แก่ ข้อมูลที่มีการติดเชื้อไวรัสคอมพิวเตอร์ ข้อมูลที่มีการระบาดของไวรัสคอมพิวเตอร์ หรือที่เรียกว่า Worm ข้อมูลที่มีผลกระทบกับธุรกิจ และการก่อการร้าย (Hacking) การโจรกรรมข้อมูลภายในองค์กร และภายนอกองค์กร การทำลายข้อมูล การดักข้อมูล หรือการแก้ไขข้อมูลให้มีความคลาดเคลื่อนจากความเป็นจริง ซึ่งทั้งหมดนี้ต้องมีระบบวิเคราะห์ภัยคุกคาม และออกรายงานผลให้รับทราบ เพื่อทำแผนรองรับเพื่อแก้ไขสถานะการณ์ฉุกเฉินดังกล่าว

4.3.2 การเฝ้าระวังการใช้อย่างปกติ (Normal Data Traffic) การใช้งานปกติสามารถแบ่งประเภทได้ดังนี้
4.3.2.1 การตรวจสภาวะการใช้งานอุปกรณ์ เครื่องแม่ข่าย แล้วมีการแสดงผลลัพธ์ที่บ่งบอกถึง ระดับการใช้ข้อมูลตาม Bandwidth , Protocol (HTTP , SMTP ,POP3 ,IMAP ,P2P ,IM เป็นอย่างน้อย)
การแจ้งผลเตือนระดับการใช้งาน เช่น แจ้งค่าตาม Flow Network / Collector จาก Protocol ICMP , SNMP ได้แก่ ค่า CPU , RAM และ Response Time
4.3.2.2 การใช้งานตาม Application Protocol ที่สำคัญ ได้แก่
การใช้งานอินเตอร์เน็ทโดยการเปิดเว็บบราวเซอร์ ผ่าน Protocol HTTP ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งานงาน รูปแบบการติดต่อว่าเป็นแบบ GET หรือ POST และ Path ที่เปิดเว็บนั้น
การใช้งานอินเตอร์เน็ทโดยการใช้บริการอีเมลล์ ผ่าน Protocol SMTP , POP3 , IMAP ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งาน รูปแบบการติดต่อว่าเป็นแบบ รับ หรือ ส่ง อีเมลล์ ชื่อหัวเรื่องอีเมลล์ ชื่อเอกสารไฟล์ที่แนบมากับอีเมลล์
การใช้งานอินเตอร์เน็ทโดยใช้บริการสนทนาออนไลท์ ผ่าน Protocol IM ชนิดต่างๆ ต้องมีระบบเฝ้าระวัง และวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain วันที่ เวลาที่ใช้งาน รูปแบบการติดต่อ จากโปรแกรมชนิดใด เช่น Yahoo , MSN , ICQ , IRC เป็นต้น
การใช้งานอินเตอร์เน็ทโดยใช้บริการอื่นๆ ได้แก่ ลักษณะการใช้ VoIP และ P2P ต้องมีระบบเฝ้าระวังและวิเคราะห์ เพื่อตรวจสอบลักษณะการใช้งาน ตาม Source / Destination IP หรือ Domain ระบุวันที่ เวลาที่ใช้ รูปแบบการติดต่อ จากโปรแกรมชนิดใด เช่น SkyP , P2P Program เป็นต้น

4.3.3 การเก็บบันทึกข้อมูล (Recorder) เพื่อเก็บบันทึกข้อมูลทั้งที่เป็นข้อมูลจราจรที่ปกติ (Normal Data Traffic) และ ข้อมูลจราจรที่ไม่ปกติ (Threat Data Traffic) ที่เป็นรูปของ Raw Data หรือลักษณะที่สามารถดูข้อมูลที่เก็บบันทึกได้ ผ่านทาง Data Base เทคโนโลยี หรือจะเป็น Text files ก็ได้ ในการเก็บบันทึกควรมีการแสดงค่ายืนยันว่ามีความถูกต้อง และแก้ไขไม่ได้นั้น มีกระบวนการเก็บผ่านนโยบายขององค์กร (Security Policy) วิธีปฏิบัติของผู้ปฏิบัติงาน (Operation Security) และมีค่ายืนยันความไม่เปลี่ยนเปลี่ยน (Check sum) เพื่อยืนยันว่า file นั้นไม่มีการแก้ไขหรือเปลี่ยนแปลงได้ (Integrity) ต่อไป

4.4 การควบคุมข้อมูล (Control Data Traffic) ประกอบด้วย 3 ส่วนดังนี้
4.4.1 การควบคุมป้องกันภัยคุกคามที่เกิดขึ้น (Threat Protection) เพื่อป้องกันภัยคุกคาม ต่างๆ ได้แก่ ไวรัสคอมพิวเตอร์ การโจมตีระบบ การเข้าถึงข้อมูลที่ไม่เหมาะสม การโจรกรรมข้อมูล สามารถมองการป้องกันนี้ได้เป็น 2 ส่วน คือ
4.4.1.1 การป้องกันระบบเครื่องคอมพิวเตอร์ (Host Base Protection) เป็นการสร้างระบบป้องกันภายในเครื่องเพื่อ ป้องกันไวรัส คอมพิวเตอร์ (Host Base Anti virus) และภัยคุกคามอื่นๆ (Anti Malware) สร้างความปลอดภัยให้กับเครื่องคอมพิวเตอร์ (Computer Hardening) ไม่ว่าเป็น เครื่องแม่ข่าย หรือ เครื่องลูกข่าย มีระบบตรวจสอบ Patch และการอัพเดทระบบปฏิบัติการเพื่อมิให้เกิดช่องโหว่ ซึ่งอาจมีผลต่อการเข้าถึงระบบได้ในอนาคต
4.4.1.2 การป้องกันระบบเครือข่ายคอมพิวเตอร์ (Network Base Protection) เป็นการสร้างระบบป้องกันภัยคุกคามทางเครือข่ายคอมพิวเตอร์ เทคโนโลยีป้องกันภัยในส่วนได้แก่ ระบบ Firewall , NIPS (Network Intrusion Prevention System) หรือ Proxy Filtering เป็นต้น
4.4.2 การควบคุมเพื่อจำกัดขอบเขตการใช้งานข้อมูลจราจร (Limitation Data Traffic) เพื่อเป็นการกำหนดข้อมูลจราจร ทั้งส่วนระบบเครือข่ายคอมพิวเตอร์ (Network Base) และ ระบบภายในเครื่องคอมพิวเตอร์ (Host Base) ในส่วนการจำกัดขอบเขตการใช้งานข้อมูลจราจรฝั่งระบบเครือข่ายคอมพิวเตอร์ จะพิจราณาการใช้งาน Bandwidth , และ Application ที่ได้มีการใช้งานอยู่เป็นประจำ ส่วนในฝั่ง Host Base หรือเครื่องคอมพิวเตอร์ ของผู้ใช้งานจะมีการจำกัดขอบเขตการใช้งานตามนโยบายความมั่นคงปลอดภัย เพื่อใช้งานตามความเหมาะสมตามบทบาทและหน้าที่ของผู้ปฏิบัติงาน
4.4.3 การควบคุมเพื่อกักสิ่งผิดปกติ (Jail Data) ไม่ให้เกิดความเสียหายแก่ระบบเครือข่ายและการปฏิบัติงานในปัจจุบัน
สำหรับการกักขังภัยคุกคาม สามารถแบ่งออกได้ ดังนี้
4.4.3.1 การกักข้อมูลที่ผิดปกติ หรือ ไม่เหมาะสม ผ่านทางระบบเครือข่ายคอมพิวเตอร์ โดยจะทำการควบคุมผ่าน Security Gateway เส้นทางลำเลียงข้อมูลในส่วนหลักขององค์กร ได้แก่ระบบ Firewall , NIPS หรือกำหนดผ่าน VLAN เพื่อแยกภัยคุกคามไม่เข้าสู่เส้นทางลำเลียงข้อมูลที่ปกติ
4.4.3.2 การกักข้อมูลที่ผิดปกติ หรือ ไม่เหมาะสม บนเครื่องคอมพิวเตอร์ กำหนดจากเทคโนโลยี Domain Controller และการกำหนดจาก NAC (Network Access Control) เพื่อแยกแยะเครื่องคอมพิวเตอร์ที่ผิดปกติ อยู่ในช่องทางที่ไม่สามารถแพร่เชื้อไวรัส หรือ ภัยคุกคามชนิดอื่นๆ ได้

4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance) แบ่งเป็น 2 ส่วนได้แก่
4.5.1 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐานสากล (Log Compliance) เกิดจากการรวบรวม ค่า syslog ที่เกิดขึ้นจากอุปกรณ์เครือข่าย เครื่องแม่ข่าย และระดับเครื่องลูกข่าย รวบรวมสู่ศูนย์กลาง หรือ จะใช้วิธี Flow Collector เพื่อตรวจจับข้อมูลจราจรที่ดูถึงลักษณะการใช้งานได้ บนระบบเครือข่าย และรับค่า Syslog ที่สำคัญมา เพื่อทำการแยกแยะข้อมูลและจับเปรียบเทียบข้อมูลหรือที่เรียกว่า Correlation Log เพื่อจัดหมวดหมู่มาตรฐาน 4 ประเภท ซึ่งผมจะได้ขอกล่าวต่อไปในตอนหน้า


นนทวรรธนะ สาระมาน
Nontawattana Saraman
SRAN Dev
21/03/2551
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

วันจันทร์, กุมภาพันธ์ 18

แนวทางการสร้างเครือข่ายตื่นรู้ Energetic Network ตอนที่ 1

เมื่อวันที่ 24 มกราคม 2550 ผมได้ร่วมสัมนากับทาง สำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ (SIPA) ในหัวข้อการใช้โอเพนซอร์สกับภาครัฐ ตัวผมได้บรรยายหัวข้อซอฟต์แวร์โอเพนซอร์สกับความมั่นคงปลอดภัยของข้อมูลในภาครัฐ ให้กับตัวแทนในแต่ละกระทรวงได้รับฟัง ซึ่งเป็นที่แรกที่ได้กล่าวถึงแนวคิดเครือข่ายตื่นรู้ หรือที่เรียกเป็นภาษาอังกฤษที่เรียกว่า Energetic Network หลังการบรรยายเสร็จสิ้นได้มี ผู้สนใจจำนวนมาก ผมจึงถือโอกาสนี้มาเรียบเรียงการบรรยายในครั้งนั้นเป็นการเขียนบทความในครั้งนี้ ซึ่งบางท่านคงได้รับอ่านบทคามนี้มาบ้างแล้วจากนิตยสารบางเล่มที่จำหน่ายในปัจจุบัน

1. สาระสำคัญของ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี พ.ศ. 2550
เมื่อมีการประกาศใช้ พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ขึ้น โดยการประกาศนี้มีโครงสร้างดังนี้

- คำนิยาม ชนิดการใช้งานคอมพิวเตอร์ ที่ใช้ใน พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ฯ

- หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์

- หมวดที่ 2 พนักงานเจ้าหน้าที่

ในส่วนคำนิยาม อยู่ใน มาตรา 3 ซึ่งให้ความหมายและคำจำกัดความ ระบบคอมพิวเตอร์ ข้อมูลคอมพิวเตอร์ ข้อมูลจราจรคอมพิวเตอร์ , ผู้ให้บริการ ซึ่งประกอบด้วย ผู้ให้บริการแก่ผู้อื่นในการเข้าสู่อินเตอร์เน็ท , ผู้ให้บริการเก็บรักษาคอมพิวเตอร์เพื่อประโยชน์กับบุคคลอื่น และ ผู้ใช้บริการ

หมวดที่ 1 ความผิดเกี่ยวกับคอมพิวเตอร์ ประกอบด้วยมาตรา 5 ,6,7,8,9,10,12 และ การใช้คอมพิวเตอร์ในการกระทำผิด ได้แก่ มาตรา 11,13,14,15,16

หมวดที่ 2 พนักงานเจ้าหน้าที่ ซึ่งในมาตรา 26 ผู้ให้บริการต้องเก็บข้อมูลจราจรทางคอมพิวเตอร์ (ที่ได้ระบุไว้ในมาตรา 3) ไว้ไม่น้อยกว่า 90 วัน ซึ่งชนิดของผู้ให้บริการประกอบด้วย 4 ประเภทได้แก่

- ผู้ประกอบกิจการโทรคมนาคม

- ผู้ให้บริการเข้าถึงระบบเครือข่ายคอมพิวเตอร์ ได้แก่ ISP , หน่วยงานราชการ , บริษัท , สถาบันการศึกษา , ผู้ให้บริการในการเข้าถึงระบบเครือข่ายในหอพัก , ร้านอาหาร , โรงแรม

- ผู้ให้บริการเช่าระบบคอมพิวเตอร์ หรือที่เรียกว่า Hosting Services Provider

- ผู้ให้บริการร้านอินเตอร์เน็ท

โดยมีประกาศกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร เรื่อง หลักเกณฑ์การเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ของผู้ให้บริการ ปี 2550 ซึ่งมีสาระสำคัญกล่าวว่า "ข้อมูลจราจรทางคอมพิวเตอร์นับเป็นพยานหลักฐานสำคัญในการดำเนินคดี อันเป็นประโยชน์อย่างยิ่งต่อการสืบสวน สอบสวน เพื่อนำตัวผู้กระทำความผิดมาลงโทษ จึงสมควรกำหนดให้ผู้ให้บริการมีหน้าที่ในการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ดังกล่าว" ซึ่งระบบเก็บรักษาความลับของข้อมูลที่จัดเก็บ มีการกำหนดชั้นความลับในการเข้าถึงข้อมูลดังกล่าว เพื่อรักษาความน่าเชื่อถือของข้อมูล และไม่ให้ผู้ดูแลระบบสามารถแก้ไขข้อมูลที่เก็บรักษาไว้ เช่น การเก็บไว้ใน Centralized Log Server หรือการทำ Data Archiving หรือ Data Hashing

แนวทางการสืบหาผู้กระทำผิด (Chain of Event) ตาม พ.ร.บ. คอมพิวเตอร์

1. Who ใคร

2. What ทำอะไร

3. Where ที่ไหน

4. When เวลาใด

5. Why อย่างไร

เนื่องจากรับส่งข้อมูลผ่านเครือข่ายคอมพิวเตอร์ เป็น Real Time ไม่สามารถดูย้อนหลังได้ การที่จะสามารถดูย้อนหลังได้ ต้องมีการเก็บบันทึกข้อมูล ที่เรียกว่า Log และเพื่อเก็บรักษาข้อมูลดังกล่าว

และป้องกันไม่ให้หลักฐานข้อมูลนั้นเปลี่ยนแปลงได้ จึงควรมีการทำ Chain of Custody คือเก็บบันทึกรักษาข้อมูลจราจรขึ้น และนี้เองคือสาระสำคัญของการออกกฏหมายฉบับนี้เพื่อป้องปราบ และเก็บบันทึกหลักฐาน เพื่อสืบสวนสอบสวน หาผู้กระทำผิดมาลงโทษ ดังนั้นการจัดหาเทคโนโลยีเพื่อเก็บรักษาหลักฐานข้อมูล เป็นเรื่องที่ซับซ้อน เราจึงมีแนวคิดเพื่อจัดหาเทคโนโลยีมาแก้ไขปัญหา และลดความซับซ้อนนี้ขึ้น เรียกว่า " การสร้างเครือข่ายตื่นรู้ "

2. คำนิยามการสร้างเครือข่ายตื่นรู้ องค์ประกอบสำคัญในด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ คือ เทคโนโลยี คน และ กระบวนการ สิ่งที่สามารถ ควบคุมได้ง่ายที่สุดคือ เรื่องเทคโนโลยี ถึงแม้จะไม่มีเทคโนโลยีใดทที่ทำงานแทนคนได้หมด และไม่มีเทคโนโลยีใดที่ป้องกันภัยคุกคามได้สมบูรณ์แบบ หากเราควบคุมเทคโนโลยีที่นำมาใช้ได้ และรู้ทันปัญหาที่เกิดขึ้น ประหยัดงบประมาณในการทุน ใช้ได้อย่างคุ้มค่า เราก็สามารถนำส่วนที่ต้องลงทุนทางเทคโนโลยีที่เหลือใช้ มาอบรมเจ้าหน้าที่พนักงานให้เกิดองค์ความรู้ และ จัดหากระบวนการเพื่อสร้างมาตรฐานด้านความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ ได้อย่างมีทิศทางมากขึ้น ดังนั้นในการสร้างเครือข่ายตื่นรู้จึงเป็นการ สรุปการจัดหาเทคโนโลยี มารองรับเครือข่ายคอมพิวเตอร์ เพื่อจัดหาเทคโนโลยีด้านความมั่นคงปลอดภัยทางข้อมูล สมบูรณ์แบบ ที่เราสามารถระบุตัวตนของผู้ใช้งาน ระบุลักษณะการใช้งาน และบันทึกข้อมูลการใช้งานตามความเหมาะสมที่เกิดขึ้น สามารถยืนยันหลักฐานเพื่อใช้ในการสืบสวนสอบสวนหาผู้กระทำผิดทางคอมพิวเตอร์ ทั้งในองค์กร และนอกองค์กรได้อย่างมีความสะดวกมากขึ้น มีประสิทธิภาพ และมีประสิทธิผลตามมา

3. จุดประสงค์การสร้างเครือข่ายตื่นรู้
3.1 ลดค่าใช้จ่ายในการนำเทคโนโลยีด้านความปลอดภัยข้อมูล มาใช้เพื่อรองรับกับ พ.ร.บ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์

3.2 เพื่อทราบถึงที่มาที่ไปของภัยคุกคามที่อาจเกิดขึ้นภายในองค์กร

3.3 เพื่อระบุตัวตนการใช้งาน และเก็บบันทึกประวัติพฤติกรรมการใช้งานบนเครือข่ายคอมพิวเตอร์

3.4 เพื่อจัดทำเป็นโครงสร้างในการออกแบบเครือข่ายให้ปลอดภัยอย่างยั้งยืน


4. องค์ประกอบ เครือข่ายตื่นรู้ (Energetic Network)

4.1 การจัดเก็บคลังข้อมูล (Inventory)

4.2 การระบุตัวตน (Identity)

4.3 การเฝ้าระวังและวิเคราะห์ผล (Monitoring & Analysis)

4.4 การควบคุม (Control)

4.5 การจัดเก็บเหตุการณ์เพื่อเปรียบเทียบตามมาตรฐาน (Compliance)

พบกันตอนหน้า จะอธิบายรายละเอียดในแ่ต่ละส่วน และแนวทางปฏิบัติ

นนทวรรธนะ สาระมาน
Nontawattana Saraman
หัวหน้าทีมพัฒนาวิจัยเทคโนโลยี SRAN
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , , ,

วันอังคาร, ตุลาคม 30

Network Time Machine ตอนที่ 1


... หากเราสามารถย้อนเวลาได้ เราจะทำอะไร? แน่นอนเราคงทำในสิ่งที่เราตัดสินใจผิดพลาดมาในอดีต แต่ในความเป็นจริงเราไม่สามารถย้อนเวลาได้ นอกจากจะยอมรับในการตัดสินใจของเราเอง ...

ในสมัยก่อนย้อนเวลาไป ในปี 1985 หรือ ปี พศ. 2528 เคยมีหนังเรื่องหนึ่งที่ผมชอบมาก คือ Back To The Future ภาค 1 นำแสดงโดย Michael J. Fox ตัวพระเอกในเรื่องเองสามารถย้อนเวลากลับไปได้ โดยใช้รถยนต์ ที่เรียกว่า เป็น Time Machine เป็นหนังตลก และสนุก มีสีสัน รวมถึงมีฉากที่สวยๆ น่ารัก สมควรแก่การสะสม

การสืบค้นร่องรอยเพื่อพิสูจน์หลักฐานทางข้อมูลสารสนเทศ นี้ ศัพ์ทางภาษาอังกฤษเรียกว่า Chain of Custody หรือ Chain of Evidence ที่มีความสอดคล้องกับสิ่งที่ต้องการรู้ เพื่อรับทราบถึงเหตุปัจจัย Network Time Machine คือศัพท์ที่เกี่ยวข้องกับวิธีการย้อนเวลาเพื่อสืบหาต้นเหตุของหลักฐาน โดยใช้เทคโนโลยีบนระบบเครือข่าย ผมจึงระบุศัพท์คำนี้ขึ้น โดยไม่ได้สนใจพจนานุกรมทางคอมพิวเตอร์ อีกแล้ว ..

ในโลกระบบเครือข่ายคอมพิวเตอร์แล้ว เมื่อเกิดเหตุการณ์ไม่คาดฝันขึ้น และเราต้องการทราบถึงที่มาที่ไป หรือที่เรียกว่า กระแสของเหตุปัจจัย หรือ อิทัปปัจจยตา สิ่งใดมีเพราะมีเหตุปัจจัยให้มี ส่ิงใดไม่มีเพราะไม่มีเหตุปัจจัยให้มี ไม่มีอะไรมีหรือไม่มีโดยตัวของมันเอง "สิ่งนี้เกิดสิ่งนี้จึงเกิด สิ่งนั้นไม่เกิดสิ่งนั้นจึงไม่เกิด"
เรามักจะนึกถึงการเก็บบันทึกข้อมูลจราจร หรือภาษาอังกฤษที่เรียกว่า Log จาก Data Traffic เราถึงจะวิเคราะห์ย้อนหลังไปได้ ว่ามีเหตุการณ์อะไรเกิดขึ้น ซึ่งเป็นที่มาของศาสตร์ที่เรียกว่า Network/Computer Forensics นั้นเอง แน่นอนการเก็บบันทึกเหตุการณ์เหล่านั้นเป็นไปตามเนื้อผ้า เก็บอย่างที่เห็นว่าควรจะเป็น หากไม่มีการแก้ไขข้อมูลจากผู้ไม่หวังดี เสียก่อน
บทความนี้ส่วนหนึ่ง ผมเขียนขึ้นเพื่อสร้างความเข้าใจถึงกรรมวิธีการเก็บข้อมูลจราจร (Data Traffic) อย่างน้อยคงได้ประโยชน์สำหรับการนำไปใช้ประยุกต์กับ การเก็บข้อมูลตาม พรบ. ว่าด้วยการกระทำผิดทางคอมพิวเตอร์ ที่ประกาศใช้ เมื่อไม่นานนี้
กรรมวิธีในการเก็บข้อมูลจราจร มีด้วยกัน 3 วิธี แบ่งได้ดังนี้
1. ข้อมูลที่เกิดขึ้นบนระดับเครื่อง (Local Host Log) ไม่ว่่าจะเป็นระดับเครื่องลูกข่าย (Client) หรือ เครื่องแม่ข่าย (Server) การเก็บในหัวข้อนี้เป็นเรื่องละเอียดอ่อน และมีคุณค่าในการทำ Computer Forensics หรือที่เรียกว่า การสืบหาหลักฐานทางคอมพิวเตอร์ เรามักจะเก็บ Log จาก System , Application และ User เป็นหลัก ในแต่ละเครื่องย่อมมี Application ที่แตกต่างกัน ส่วน User แล้วจะมีประโยชน์มากสำหรับเครื่องที่เป็นแม่ข่าย (server) การเก็บบันทึกข้อมูลจราจรขึ้นอยู่กับระบบปฏิบัติการ และมีซอฟต์แวร์ทุ่นแรงมาแล้วจากระบบปฏิบัติการ โดยเฉพาะระบบปฏิบัติการ Windows ซึ่งมี GUI ที่ดูแล้วสะดวกในการใช้งาน ทั้งหมดนี้ขึ้นตรงกับเวลา (Time) ที่เป็นตัวกำหนดชะตาบนเครื่องนั่นๆ ไม่ว่าเป็น
System มีความผิดปกติ จากอะไร ช่วงเวลาใด
Application ใดที่ใช้งาน บนเครื่องคอมพิวเตอร์ของเรา ก็ได้แก่ Web Browser Application ที่ใช้ก็ได้แก่ Firefox หรือ IE , Chat , Mail Client POP3 ไม่ว่าเป็น Outlook , Thunderbird เป็นต้น เราต้องพิจารณาการเก็บบันทึกเหตุการณ์ตาม ช่วงเวลาที่ใช้ Application ต่างๆ ที่กล่าวมา รวมถึงการติดต่อสื่อสารบน Application จากเครื่อง สู่ ระบบเครือข่าย (Network) ซึ่งอาจต้องกล่าวในขั้นตอนต่อไป เป็นความสัมพันธ์ ชนิด 3 in 3 out หากต้องพิสูจน์หาหลักฐาน ต้องพิจารณาการเชื่อมโยงเครือข่าย จะเข้าสู่แนวทางการปฏิบัติแบบ Network Forensics จากความสัมพันธ์ส่วนนี้เอง

2. การบันทึกข้อมูลจราจรระดับเครือข่ายคอมพิวเตอร์ (Network Data Traffic) การเก็บบันทึกเหตุการณ์ส่วนนี้ มักดูจากอุปกรณ์เครือข่าย ไม่ว่าเป็นการอุปกรณ์ที่ใช้สำหรับวิเคราะห์ปัญหาเครือข่าย และอุปกรณ์ดักจับข้อมูลต่างๆ ได้แก่ อุปกรณ์ Sniffer หรือ IDS (Intrusion Detection System) ที่ปรับแต่งการตรวจจับให้รองรับข้อมูลจราจรบางสิ่งบางอย่าง อย่างจงใจ จากผู้ดูแลระบบ ซึ่งในส่วนนี้เป็นที่มาการสร้างระบบเฝ้าระวังภัยคุกคามทางความมั่นคงข้อมูลอย่าง SRAN (Security Revolution Analysis Network) ขึ้น ซึ่งการบันทึกข้อมูลจราจรจากระดับเครือข่าย นี้ไม่ละเอียดเหมือนกรรมวิธีที่หนึ่ง แต่จะเห็นภาพรวมเหตุการณ์ ที่มีการติดต่อสื่อสารกันได้แบบเชิงกว้าง ไม่ลึก แต่พอทราบถึงเหตุปัจจัยการเกิดเหตุ นั่นเอง ซึ่งวิธีการนี้ สามารถตรวจจับตาม Protocol Application ที่ใช้งานทั้งในเครือข่าย (LAN Technology) สู่ภายนอกเครือข่าย (WAN Technology) ได้ Protocol ที่สนใจก็ได้แก่
Routing Protocol เส้นทางการลำเลียงข้อมูล ผ่านจากตัวเครื่องคอมพิวเตอร์ ในระดับ Host ไปสู่ระดับเครือข่าย (Network) และ ระหว่างเครือข่ายกับเครือข่าย (Network to Network) ช่วงเวลาที่เกิดการลำเลียงข้อมูล ระหว่าง IP ต้นทาง (Source IP) และ IP ปลายทาง (Destination) , Time Date
ส่วน Application Protocol ใกล้เคียงกับ วิธีที่ 1 แต่แทนที่อยู่ในระดับเครื่องก็จะมองถึง ข้อมูลวิ่งผ่านเข้าออก บนระบบเครือข่ายแทน เช่น Web (HTTP) , Mail (SMTP, POP3 , IMAP) , IM (Chat) , P2P , FTP , Telnet เป็นต้น ช่วงเวลาที่บันทึก (Time Date) ส่วน Protocol ที่มีการเข้ารหัสไว้ เช่น SSL , SSH สามารถรู้ได้เฉพาะ IP ต้นทาง และ IP ปลายทางในการเชื่อมต่อ แต่ระหว่างเนื้อหาในการกระทำไม่สามารถรู้ได้ทั้งหมด ยกเว้นจะใช้เทคนิคพิเศษ ซึ่งทำตัวคล้ายๆ กับ Man in the Middle เป็นต้น ในที่นี้ผมไม่ขอกล่าวถึงการตรวจจับชนิดการเข้ารหัสผ่าน Application Protocol ดังกล่าว ซึ่งทั้งนี้เราก็สามารถรู้ถึงข้อมูล (Information) ที่วิ่งเข้าและออกบนเครือข่ายคอมพิวเตอร์ ได้ระดับหนึ่ง
ลักษณะการเก็บ เช่น Web บันทึก IP ที่ใช้งาน Web ปลายทาง และบันทึกตามเวลา , Mail IP ต้นทางที่ส่ง mail , ปลายทางรับ mail , หัวข้อ mail และ วันเวลาที่ใช้ Application นี้ เป็นต้น

3. การเก็บบันทึกข้อมูลจราจรทั้งหมด โดยเชื่อมต่อกับการเก็บบันทึกกลาง หรือที่เรียกว่าการทำ SIM (Security Information Management) คือ เก็บบันทึก Log จากหัวข้อที่ 1 ทั้งหมด ส่งเข้าสู่ศูนย์กลาง และหัวข้อที่ 2 แต่เปลี่ยนเป็นเก็บบันทึกตามอุปกรณ์เครือข่าย เช่น Router , Firewall , IDS/IPS , UTM (Unified Threat Management) เป็นต้น
ส่วนการเก็บบันทึกการใช้งานระดับ User เรามักมองหาเทคโนโลยี เช่น Radius คือระดับ WAN Technology ส่งออกไป และในระดับ LAN Technology ก็เป็นระบบ NAC (Network Access Control) เป็นต้น ซึ่งทั้งหมดนี้สามารถ ส่ง Log ที่เกิดขึ้นให้กับ SIM ได้ และ SIM จะใช้กลไกในการทำ Correlation Log การเปรียบเทียบความสัมพันธ์ของ Log แต่ละชนิดให้จัดระเบียบ รวบรวมตามหมวดหมู่สำหรับผู้ดูแลระบบต่อไป วิธีนี้เป็นวิธีที่ละเอียดที่สุด แต่ ในความเป็นจริงแล้วทำยากที่สุดเช่นกัน เพราะต้องอาศัย ผู้เชี่ยวชาญ ที่รู้จักชนิดการส่ง Log ในแต่ละอุปกรณ์ Application และความแตกต่างของรุ่น ยี่ห้อ ทั้งระดับ Host และ Devices อย่างชำนาญ ถึงจะส่ง Syslog มาที่ SIM บริหารจัดการได้ ในส่วนตัวผมแล้วคิดว่าระบบนี้ คงเป็นไปได้ยากในเมืองไทย เนื่องจากความมากด้วยบริษัท SI ที่ขาดความรู้ในเชิง Implement จริง ทำให้ผลกระทบว่าซื้อไปแล้ว อาจไม่คุ้มค่า ได้
ซึ่งทั้งหมดนี้จะเป็นการเก็บบันทึกข้อมูลจราจร ที่เกิดขึ้นจากการใช้งานคอมพิวเตอร์ ที่เรียกว่า "์Network Recorder" ซึ่งแน่นอนครับ ทั้งหมดนี้เวลาเป็นสิ่งสำคัญ Time Server จึงต้องเป็นเวลาที่เที่ยงตรงด้วยไม่เช่นนั้น เราจะทำการย้อนหลังเวลาที่บันทึกเหตุการณ์ โดยนั่ง Time Machine ทางเทคโนโลยี เพื่อสืบหาข้อมูลต่อไปไม่ได้

เมื่อทราบถึงการเก็บบันทึกข้อมูลจราจรแล้ว ต่อไป เราจะมาทราบถึงการย้อนเวลาเพื่อสืบค้นหา เหตุของปัจจั้ย สาเหตุต่างๆ ที่ค้นพบได้ ผ่านระบบเครือข่าย โดยการทำ Network Time Machine กันต่อไป
SRAN ที่คิดไว้ สามารถสร้างเป็น Network Time Machine จะบรรจบกันในโลกไซเบอร์ บนเวลาปัจจุบันที่เป็นจริงได้ ในตอนหน้าจะยกตัวอย่างให้เห็นภาพ

โปรดติดต่อตอนต่อไป ข้อแม้ว่่า จะมีตอนต่อไป ตามอารมณ์ผู้เขียน : )

นนทวรรธนะ สาระมาน
Nontawattana Saraman
27/10/50
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

วันพฤหัสบดี, สิงหาคม 23

Internet suffering

.. เพราะสิ่งนี้มีสิ่งนี้จึงมี เพราะสิ่งนี้ไม่มีสิ่งนี้จึงไม่มี ..

"สรรพสิ่งล้วนเปลี่ยนแปลงไปเพราะกระแสของเหตุปัจจัย หรือ อิทัปปัจจยตา สิ่งใดมีเพราะมีเหตุปัจจัยให้มี ส่ิงใดไม่มีเพราะไม่มีเหตุปัจจัยให้มี ไม่มีอะไรมีหรือไม่มีโดยตัวของมันเอง กระแสของเหตุปัจจัยหรือความเป็นเช่นนั้นเ่อง (ตถตา = ความเป็นเช่นนั้นเอง) คือความจริง การอยากให้มีหรืออยากให้ไม่มีตามใจเราไม่ใช่ความจริง .."

ความเป็นจริง ทางโลกความมั่นคง ข้อมูลสารสนเทศ ผมตั้งศัพท์ไว้ว่า Information Security Ontology นั้นก็คือ อิปัปปัจจยตา ในทางโลกของข้อมูลสารสนเทศ นั่นเอง
บทความใน blog นี้ ผมต้องการแสดงออกถึงความเป็นจริง อันเป็นเหตุของปัจจัยที่สร้างปัญหาทางการใช้เทคโนโลยีในภาษาที่เข้าใจง่าย สร้างเสริมความตระหนักในการใช้ข้อมูลสารสนเทศ และจริยธรรมอันดีให้กับผู้ใช้อินเตอร์เน็ตในประเทศไทย

บทหนึ่ง Internet Suffering

เรามานั่งนึกๆ ถึงเหตุปัจจัยจาก Spam (อีเมล์ขยะที่ไม่พึ่งต้องการ) ที่เราได้รับในแต่ละวันจำนวนมาก เหตุปัจจัยนี้เกิดจากสิ่งหนึ่ง มีผลกับสิ่งหนึ่งทำให้เกิดสิ่งนี้ ที่เรียกว่า Spam เป็นเหตุปัจจัย เกิดความทุกข์ รำคาญ และหงุดหงิดกับสิ่งที่ไม่ต้องการ เหตุปัจจัยดั่งกล่าวเชื่อมโยงกันเป็นปัญหาลูกโซ่บนระบบอินเตอร์เน็ตจนทำให้เกิดทุกข์ (Internet Suffering) นอกจาก Spam แล้วก็ยังมีอีกหลายๆ เหตุปัจจัยทำให้เกิดปัญหาบนโลกอินเตอร์เน็ตในการใช้งานคอมพิวเตอร์ในแต่ละวัน ไม่ว่าเป็น Hacker ,Virus/worm , Spyware , Trojan , Phishing อื่นๆ ที่พบได้



สาเหตุของปัญหา เกิดขึ้นจาก คน และไม่่ใช่คน บนเจตนา และไม่เจตนา โดยที่เหยื่อคือ คนที่รู้เท่าไม่ถึงการณ์

อันที่เป็นคน คือ ผู้ที่มีเจตนาไม่หวังดี หรือเรียกว่า (Hacker/Attacker)

อันที่ไม่ใช่คน คือ ซอฟต์แวร์ที่ผลิตขึ้นบนเจตนาที่ไม่หวังดี เรียกว่า malware ซึ่งอาศัยเครื่องคอมพิวเตอร์ของผู้อื่น เป็นผู้กระทำการใดการหนึ่งที่สร้างความเสียหายให้เกิดขึ้น โดยเครื่องที่ถูก Malware อาศัยอยู่ เรียกว่า zombie มักกระทำการโดยรับคำสั่งจากผู้ไม่หวังดี (hacker/attacker) โดยทำการใดการหนึ่งจากความไม่เจตนา เพื่อทำสิ่งใดสิ่งหนึ่งที่เป็นเหตุของปัจจัยทำให้เกิด Internet Suffering มักนิยมอาศัยบนเครื่องผู้อื่นที่ขาดความรู้เท่าไม่ถึงการณ์ เมื่อ zombie หลายๆเครื่องรวมกัน เรียกว่า botnet
และ botnet คือพาหนะที่ทำให้เกิด Internet Suffering หลากหลายปัญหาเกิดขึ้นจากสิ่งนี้

ตามหลักอิทัปปัจจยตา (ความจริงทางธรรมชาติ) แล้วเมื่อเราลำดับเหตุการณ์ของปัญหา Spam โฆษณายาลดความอ้วนยี่ห้อหนึ่งที่เข้าสู่ Mail box ของเราจะพบว่า
IP ที่ส่ง Spam โฆษณาตัวนี้ มาได้ 2 ทาง ประกอบด้วย
1. ทางตรง จากผู้ไม่ประสงค์ดี และส่ง Mail มาโดยตรงถึงเรา เมื่อเปิดอ่าน mail พบว่าเป็นสิ่งที่เราไม่ต้องการรับรู้ กลายเป็น Spam
2. ทางอ้อม จากผู้ไม่รู้ ที่เป็นเหยื่อ (zombie) ส่งมาถึงเรา
กระบวนการผู้ไม่รู้ หรือที่เป็นเหยื่อ (zombie) มักเกิดขึ้นได้ จากการใช้อินเตอร์เน็ต
ยกตัวอย่าง ผู้ไม่รู้ นามสมมุติ A ทำการเข้าอินเตอร์เน็ต และเปิดบราวเซอร์ เพื่อท่องเว็บ (www) แห่งหนึ่ง พบ โปรแกรมเสริม ที่ช่วยให้เล่นอินเตอร์เน็ต ได้ไว ขึ้น เพราะความอยากรู้ หรือ โลภ จึงทำการ Download เพื่อทำการลงโปรแกรมดังกล่าว ทั้งทีโปรแกรมนี้มีการฝั่ง Malware (ซอฟต์แวร์ที่มีเจตนาไม่พึ่งประสงค์จาก Hacker / Attacker) เมื่อทำการติดตั้งโปรแกรมสำเร็จแล้ว เครื่องคอมพิวเตอร์นาย A กับไม่ได้ท่องอินเตอร์เน็ตได้เร็วขึ้นแต่อย่างใด กับกลายเป็น Zombie ให้กับนาย B ผู้เขียนซอฟต์แวร์นี้ขึ้น
ทั้งนี้แล้วนาย A ก็ยังไม่รู้ตัว และทุกครั้ง ที่นาย A ท่องอินเตอร์เน็ต เครื่องนาย A จะทำการส่ง e-mail ไปยังเพื่อนๆ ในรายชื่อ mail บนเครื่องตนเอง เป็น โฆษณายาลดความอ้วนอยู่เสมอ ที่แย่กว่านั้น Malware ที่นาย B เขียนขึ้น ยังบังคับให้เครื่องคอมพิวเตอร์นาย A ส่ง Password ทั้งหมดในเครื่องมายังที่ตน เหตุการณ์ทั้งหมดที่เกิดขึ้นนาย A ไม่ได้มีเจตนาในการส่ง e-mail โฆษณา เลย เป็นเพราะความรู้เท่าไม่ถึงการณ์ที่ลงโปรแกรมเพิ่มความเร็วเท่านั้นเอง
นี้เป็นตัวอย่างหนึ่งของเหตุปัจจัยการทำให้เกิด Internet Suffering จำนวน Zombie หรือเครื่องที่ต้องเป็นเหยื่อ ที่ยังไม่รู้ตัวมีจำนวนมาก ตามขนาดการเจริญเติบโตอินเตอร์เน็ต จะมีผู้ใช้หน้าใหม่ และ ผู้ใช้ที่ไม่ระวังตกเป็นเหยื่อ ปริมาณของพฤติกรรมนี้เองทำให้เกิด Internet Suffering
แนวทางการป้องกันคือ เริ่มจากตนเองก่อน เครื่องคอมพิวเตอร์ของเราต้องปลอดภัยเสียก่อน เมื่อท่องอินเตอร์เน็ต สร้างเสริมพฤติกรรมใหม่ ให้มีสติ และพึ่งระวังการใช้งานในการท่องอินเตอร์เน็ต โดยพึ่งสังเกตเสมอว่า ทุกย่างก้าวของเราล้วนมีความเสี่ยง
ส่วนผู้ที่มีความรู้แล้ว ควรมีหิริโอตัปปะ คือความละอายต่่อบาป มีจริยธรรมในการใช้งานอินเตอร์เน็ต (ethical hacker)

"สรรพสิ่งทั้งหลายล้วนเป็นอนิจจัง คือเปลี่ยนแปลงไม่หยุดนิ่ง นั่นคือความจริง แต่เรามักติดอยู่ในความไม่จริง คือคิดว่าสิ่งต่างๆ เป็นนิจจัง"

นนทวรรธนะ สาระมาน
Nontawattana Saraman
23/08/50

อ้างอิงบางประโยคจาก หนังสือ ความจริง ความงาม ความดี โดย ศ.นพ. ประเวศ วะสี
บทความ ลมหายใจระบบเครือข่าย 3 in 3 out เขียนเมื่อ เดือนพฤษภาคม 2550
บทความ กองทัพ botnet คืออะไร เขียนเมื่อ เดือนกุมภาพันธ์ 2550
บทความ เหตุของปัญหาระบบเครือข่ายคอมพิวเตอร์ เขียนเมื่อ เดือนพฤศจิกายน 2549
งานบรรยาย http://nontawattalk.blogspot.com/2007/07/by-your-side.html
เขียนโดย ที่ 1 ความคิดเห็น:
ป้ายกำกับ: , ,

วันอาทิตย์, พฤษภาคม 27

ลมหายใจระบบเครือข่าย

หากลมหายใจของคนเรา มีการหายใจเข้า และ ออก รับออกซิเจนเพื่อการดำรงชีวิต ลมหายใจของระบบเครือข่าย ก็เป็นเช่นกันแต่แทนที่เป็นอากาศ กับกลายเป็นข้อมูลสารสนเทศ หรือที่เรียกว่า Information Data ที่เข้า และ ออก ตลอดเวลาในระบบเครือข่ายที่เราใช้งาน ...

ทุกครั้งที่ผมมีบรรยายเกี่ยวกับระบบ Network Security ผมมักจะกล่าวถึงหลักการของ 3 in 3 out เสมอ เป็นการพิจารณาจากความรู้สามัญทางด้านระบบเครือข่าย (Back to the Basic) เพื่อใช้ในการตัดสินใจวิเคราะห์ปัญหาระบบเครือข่าย และสถานะการณ์ที่เป็นอยู่จริงบนโลก IT เพื่อใช้ในการเชื่อมข้อมูลผ่านระบบอินเตอร์เน็ท (Information Technology Ontology)



3 in 3 out ออกเสียงว่า "ทรีอิน ทรีเอาต์" เป็นศัพท์ที่ผมตั้งขึ้นเอง ไม่มีในตำราเล่มใด
จุดประสงค์ที่เรียกศัพท์เช่นนี้ก็เพื่อ
1. ทำให้เข้าใจง่าย สำหรับการอธิบายความสัมพันธ์ การใช้งานบนระบบเครือข่ายในแต่ละชั้น
2. เพื่อใช้ในการวิเคราะห์ ถึงการไหลเวียนข้อมูลสารสนเทศ (Information) บนระบบเครือข่ายที่เป็นอยู่จริง
3. เพื่อใช้ในการวิเคราะห์ปัญหาระบบเครือข่าย และ เส้นทางลำเลียงข้อมูลสารสนเทศ ที่มีผลต่อภัยคุกคาม

3 in 3 out สามารถมองได้ 2 มุม คือ
มุมที่ 1 การไหลเวียนข้อมูลสารสนเทศที่เป็นอยู่จริง ตามกฏเกณฑ์ OSI 7 Layers และ TCP/IP
มุมที่ 2 ภัยคุกคามที่เกิดขึ้น ระหว่างการใช้งานข้อมูลสารสนเทศ ที่แบ่งได้เป็น ภัยจากภายนอกเข้าสู่ภายในระบบเครือข่าย (Intrusion) และ ภัยจากภายในออกสู่ภายนอกระบบเครือข่าย (Extrusion) เพื่อใช้ในการวิเคราะห์ สืบหาภัยคุกคามที่เกิดขึ้น

3 in 3 out คือการกำหนดลมหายใจ ของระบบเครือข่าย
เป็นเส้นทางลำเลียงข้อมูล เข้า และ ออก ไป บนการใช้งานจริงของเรา

ข้อมูล ที่เข้า และออก ในระดับ Internet เป็นข้อมูลจากโลกภายนอก ระดับ ISP (Internet Services Provider) หรือมองในระดับ WAN Technology ที่กำลังเข้าสู่ระบบเครือข่ายที่เราใช้งาน และ เป็นข้อมูลที่เราจะต้องทำการติดต่อออกไป จากภายในเครือข่ายที่เราใช้งาน เพื่อติดต่อออกไปตามเป้าหมายที่เราต้องการ ได้แก่ เราต้องการเปิด Web ไม่ว่าเป็นเว็บภายในประเทศ หรือ นอกประเทศ ก็เป็นการเชื่อมต่อแบบ HTTP port 80 ที่เป็นการติดต่อแบบ TCP การส่ง E-mail เชื่อมต่อแบบ SMTP port 25 ที่เป็น TCP เป็นต้น
ภายในระบบเครือข่ายของเรา ออกไปข้างนอก ต้องผ่านอุปกรณ์ Router จากฝั่งของเรา เพื่อไปยังจุดหมาย และเส้นทางลำเลียงข้อมูลสารสนเทศ จะดำเนินตามหลัก OSI 7 layer และ TCP/IP
พิจารณา Intrusion ภัยคุกคามทางข้อมูลที่ได้รับจากเส้นทางลำเลียงข้อมูลจาก ISP เข้าสู่ระบบเครือข่ายของเรา ส่วน Extrusion ภัยคุกคามทางข้อมูล ขา ออกเครือข่ายของเราไปยังโลกอินเตอร์เน็ท
อุปกรณ์ที่เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการทำสืบหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ (Network Forensics) ข้อมูลของ Log ที่เกิดขึ้นจากอุปกรณ์ Router ตามเส้นทางเดินทางของข้อมูล ทั้ง เข้า และ ออก ไปยังที่หมาย


ข้อมูล ที่เข้า และออกในระดับ Network เป็นข้อมูลจากเครือข่ายที่เราอยู่ ในระดับ LAN เราจะเริ่มพิจารณา ข้อมูล ที่เข้า และออกในระดับที่ ระดับชายแดนเครือข่าย (Perimeter Network) ตั้งแต่อุปกรณ์ Router ฝั่งเครือข่ายของเรา
พิจารณา Intrusion ภัยคุกคามทางข้อมูล ขา เข้าสู่ระบบเครือข่ายของเรา เป็นการเดินทางของข้อมูลจากอุปกรณ์ Router ฝั่งเครือข่ายของเรา ไปยัง Perimeter Network เข้าสู่วง LAN
พิจารณา Extrusion ภัยคุกคามทางข้อมูล ขา ออกจากระบบเครือข่ายของเรา จากวง LAN ไปสู่ Perimeter Network
ิอุปกรณ์ที่เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการสืบหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ (Network Forensics)
ทาง ขาเข้า คือ ข้อมูลของ Log ที่เกิดขึ้นจากอุปกรณ์ Internal Router , Network Firewall ,Core Switch , NIDS/IPS Access Switch , Proxy และ อุปกรณ์ Access Point (AP) เป็นต้น



ข้อมูล ที่เข้า และออกในระดับ Host เป็นข้อมูลจากเครื่องคอมพิวเตอร์ที่ใช้งาน ในระดับ End Point ได้แก่ เครื่องแม่ข่าย (Computer Server) , เครื่องลูกข่าย (Computer Client) , Note book , PDA เป็นต้น
ข้อมูลในระดับ Internet เข้าสู่วง LAN และไปสิ้นสุดที่ End Point
พิจารณา Intrusion ภัยคุกคาม ขา เข้าสู่เครื่องคอมพิวเตอร์ของเรา (Host) เป็นการเดินทางข้อมูลจากเครือข่ายของเรา (LAN) ในจุดต่างๆ เข้าสู่เครื่องคอมพิวเตอร์ ที่อาจเป็นเครื่องแม่ข่าย , เครื่องลูกข่าย หรืออื่นๆ และแสดงผลข้อมูลผ่านระบบคอมพิวเตอร์ปลายทางที่เรียกใช้ข้อมูล
การพิจารณา Extrusion ภัยคุกคาม ขา ออกจากเครื่องคอมพิวเตอร์ของเรา (Host) ผ่านไปยังระบบเครือข่ายของเรา (LAN) ออกสู่ Perimeter Network และเดินทางไปสู่โลกอินเตอร์เน็ท (Internet)
เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการสืบหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ ในส่วนนี้คือ Log ที่เกิดจากอุปกรณ์ End point ได้แก่ เครื่องแม่ข่าย (Server) , เครื่องลูกข่าย (Client) , อุปกรณ์มือถือที่เชื่อมต่อเครือข่ายคอมพิวเตอร์ภายใน ออกสู่อินเตอร์เน็ทได้

Ontology ของระบบเครือข่ายคอมพิวเตอร์ เริ่มบรรเลงขึ้นพร้อมกับภัยคุกคามที่แฝงมากับความรู้เท่าไม่ถึงการณ์ของผู้ใช้งานต่อไป ตราบเท่าที่ระบบสารสนเทศยังมีใช้งานอยู่

นนทวรรธนะ สาระมาน
Nontawattana Saraman

บทความเกี่ยวข้อง สมุทัย เหตุของปัญหาเครือข่ายคอมพิวเตอร์ (27/11/49)
เขียนโดย ที่ 3 ความคิดเห็น:
ป้ายกำกับ: ,

วันจันทร์, พฤษภาคม 21

Loopback


บทความ My Ontology ปล่อยให้ งง มาเกือบหนึ่งเดือนแล้ว วันนี้คงเฉลยให้ฟัง ว่าที่เขียนเพื่อต้องการสื่ออะไรกัน ....

Loopback คือช่องทางการสื่อสารที่มีจุดจบเพียงจุดเดียว ข้อความใดก็ตามที่ส่งผ่านทางช่องดังกล่าว
ช่องนั้นก็จะได้รับทันที Internet Protocol (IP) กำหนดรายละเอียดเกี่ยวกับ lookback network ภายใต้ IPv4 เครือข่ายนี้ควรเป็น
network 0 (เครือข่ายนี้) และ local loopback address ของโฮสต์ควรเป็น 0.0.0.0 (โฮสต์นี้ที่อยู่ในเครือข่ายนี้)
แต่เนื่องจากมีการใช้ address นี้ไปในทางที่ผิด (โดยเฉพาะการใช้ host address 0 เพื่อเป็น broadcast
address) จึงมีการเปลี่ยนมาใช้ 127.0.0.1 เป็น loopback address แทน
traffic ที่โปรแกรมคอมพิวเตอร์ส่งไปยัง loopback network จะส่งไปยังคอมพิวเตอร์เครื่องเดียวกัน IP address
ที่มักใช้ใน loopback network คือ 127.0.0.1 สำหรับ IPv4 และ ::1 สำหรับ IPv6 ชื่อโดเมนสำหรับ address
นี้คือ localhost, loopback interface เป็น IP address ที่เรียกว่า circuitless หรือ virtual IP address
เนื่องจาก IP address นี้ไม่เชื่อมโยงกับ interface (หรือวงจร) ใด ๆ ในโฮสต์หรือเราเตอร์
มีการใช้ loopback interface ในหลาย ๆ ทางด้วยกัน เช่น ซอฟท์แวร์ที่เป็น network client ในคอมพิวเตอร์
ใช้เพื่อสื่อสารกับซอฟท์แวร์ server ที่อยู่ในคอมพิวเตอร์เครื่องเดียวกัน ในคอมพิวเตอร์ที่ทำงานเป็น web server
เมื่อเปิดที่ URL http://127.0.0.1/ ก็สามารถเข้าถึงเวบไซต์ในคอมพิวเตอร์เครื่องนั้นได้ โดยไม่จำเป็นต้อง
เชื่อมโยงเข้ากับเครือข่ายใด ๆ จึงมีประโยชน์ในการทดสอบ services โดยไม่จำเป็นต้องให้เข้าถึงได้จาก
ระบบอื่นภายในเครือข่าย นอกจากนี้การ ping loopback interface ยังเป็นการทดสอบขั้นต้นว่า IP stack ได้ทำงานอย่างถูกต้องด้วย


จากรูปหมายเลข 1 และ 3 คือการ Loopback IP กับซอฟต์แวร์ที่ใช้ในเครื่องตัวเอง เพื่อรอการใช้งานจริง (LISTENING) หมายเลข 2 เครื่อง Loopback IP ซอฟต์แวร์ที่ทำงานเสร็จสิ้นแล้ว (ESTABLISHED)

เช่นกันบทความ My Ontology มีอาการ Loopback นั่นหมายความว่า จุดแรก และ จุดสุดท้าย เป็นสิ่งเดียวกัน ส่วนช่วงกลางคือภาพลวงตา บนความฝันที่เกิดขึ้น , My Ontology ผม มันคือความว่างเปล่า (อนัตตา) นั้นเอง

จากภาพข้างบนแสดงถึง ประโยคแรก ส่วนเริ่มต้นเนื้อเรื่อง และ ประโยคสุดท้าย กล่าวเหมือนกันว่า "Ontology ผมคงเปลี่ยนไป .."

เป็นความตั้งใจที่ผมต้องการที่จะเขียนบทความสักเรื่อง ที่มีเนื้อหา วนกลับมาที่เดิม ส่วนใครจะตั้งใจให้มีสาระ หรือไม่มีสาระ หรือ อ่านแล้วไม่เข้าใจ และพยายามจะเข้าใจ นั่นไม่ใช่ประเด็นที่ต้องการ สุดแล้วแต่จิตนาการของผู้อ่าน หากมองอย่างไม่ซับซ้อน มันก็เพียงแค่การเขียนบทความให้เกิดอาการ Loopback นั่นเอง : )

ผลกระทบเมื่อเกิด Loopback บนเครือข่ายคอมพิวเตอร์ (Network) โดยเฉพาะอุปกรณ์คอมพิวเตอร์ เช่น Switch , Router มักจะทำให้เครื่อง Clinet ที่อยู่ภายใต้การควบคุมอุปกรณ์นั้น ใช้งานไม่ได้
ผลกระทบกับผู้อ่านบทความ เมื่อเกิด Loopback หากตั้งความหวังไว้ จะอ่านไม่รู้เรื่อง และหากพยายามจะที่จะให้รู้เรื่อง ก็จะได้คำตอบเหมือนเดิมที่เคยอ่านครั้งแรก

** สำหรับผมแล้ว Loopback พบได้บ่อย และมันเป็นเรื่องปกติ อย่างนั้นเอง (ตถตา)
Ontology เป็นการศึกษาเกี่ยวกับการดำเนินชีวิตจริงตามธรรมชาติ เช่นเดียวกับ ขันธ์ทั้ง 5 ทางพุธศาสนา เป็นสิ่งที่มีอยู่จริงตามธรรมชาติ ที่คนทั่วไปมักยึดเอาขันธ์มาเป็นตัวตน จึงเกิดการยึดมั่นถือมั่น เอามาเป็นตัวตนของตน จนก็เกิดทุกข์ในที่สุด
ความจริงสูงสุดคือ "อย่างนั้นเอง" ไม่ยินดีหลงรัก ไม่ยินร้ายหลงเกลียด มีความรู้สึกที่จะรัก และไม่เสียใจกับความรัก "Love means never having to say you're sorry" เพราะมันก็อย่างนั้นเอง ธรรมชาติทุกอย่างมันก็อย่างนั้นเอง อย่านำมาเป็นตัวตนของตน

นนทวรรธนะ สาระมาน
Nontawattana Saraman
20/05/2550
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

วันอาทิตย์, กุมภาพันธ์ 25

กองทัพ Botnet คืออะไร

ธรรมชาติได้สร้างการมีชีวิต และองค์ประกอบของชีวิต คือ ดิน น้ำ ลม ไฟ และ อากาศ เกิดเป็นสิ่งมีชีวิตขึ้น ... ธรรมชาติ ได้สร้างเชื้อโรค ที่ทำให้ สิ่งมีชีวิตบางเผ่าพันธ์ เกิด ล้มเจ็บป่วย และเสียชีวิตได้ เชื้อโรคที่ว่า เรียกว่า "ไวรัส"
ในอีกทางหนึ่งมนุษย์ ซึ่งถือได้ว่าเป็นสิ่งมีชีวิต ที่ธรรมชาติสร้างสรรค์ขึ้น มนุษย์ต้องการชนะธรรมชาติ โดยการสร้างเทคโนโลยี ให้เหนือธรรมชาติ แต่ละด้าน ด้านหนึ่งเพื่อสร้างความเจริญทางอุตสาหกรรม เพื่อสร้างความบันเทิง และเพื่อการสื่อสาร อินเตอร์เน็ท ถือว่าเป็นเทคโนโลยี ที่มนุษย์สร้างสรรค์ขึ้น โยงใยความสัมพันธ์จากที่หนึ่งไปที่หนึ่ง โยงใยเป็นใยแมงมุมขนาดใหญ่ กระจายทั่วโลก ทุกคนสามารถสื่อสาร และรับข่าวสารได้อย่างทั่วถึง ผู้ที่ให้กำเนิด พบภัยคุกคาม เช่นกัน แต่เกิดบนโลกเสมือน ที่ธรรมชาติ ไม่ได้ลิขิตไว้ นั้นคือ ไวรัสคอมพิวเตอร์ แน่นอน ด้วยความหลากหลายพฤติกรรมการใช้งาน ไวรัสคอมพิวเตอร์ในยุคโบราณ พัฒนาความเก่งกาจ เหมือนปรับตัวให้ทันสมัย เพื่อยากแก่การป้องกัน ทำให้เกิดการแพร่กระจายพันธ์ไวรัสคอมพิวเตอร์ได้ ที่เรียกว่า worm หรือ หนอนคอมพิวเตอร์ ที่ความต้องการขโมยข้อมูล และ ความลับการใช้งาน เกิดเป็น spyware ที่ต้องการสร้างความสนใจ และแพร่กระจายข่าวสารที่เป็นขยะข้อมูล เรียกว่า Adware ทั้งหมดที่กล่าว ผมขอใช้ศัพท์ว่า Malware คือภาพรวมภัยคุกคามทางโปรแกรม
ผมเคยให้ความหมายของ Malware ในงานเปิดตัว Cyfence และงาน Netday ที่ มหาวิทยาลัยเกษตร ปีที่แล้ว ว่า
"Malware คือความไม่ปกติทางโปรแกรมมิ่ง ที่สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit"

โปรแกรม ที่มีความไม่ปกติ นี้ ต้องการตัวนำทาง เพื่อต่อยอดความเสียหาย และยากแก่การควบคุมมากขึ้น ตัวนำ ที่ว่า นั่นคือ Botnet นี้เอง
Botnet เกิดจาก เครื่องคอมพิวเตอร์ ที่ตกเป็นเหยื่อหลายๆ เครื่องเพื่อทำการใด การหนึ่ง ที่ก่อให้เกิดความเสียหายทางข้อมูล บนเครือข่ายคอมพิวเตอร์ได้ คอมพิวเตอร์ที่เป็นเหยือ เพียง เครื่องเดียว เรียกว่า Zombie ซึ่ง Zombie หลายตัว รวมกันเรียก Botnet

สะพานเชื่อมภัยคุกคามทางเครือข่ายคอมพิวเตอร์ คือ Botnet นั้นเอง
Botnet ทำให้เกิดภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง
ภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง ได้แก่ Spam (อีเมล์ขยะ) ,
DoS/DDoS (การโจมตีเพื่อทำให้เครื่องปลายทางหยุดการทำงานหรือสูญเสียความเสรียฐภาพ) ,
และ Phishing (การหลอกหลวงในโลก Cyber)

ภัยคุกคามดังกล่าว ต้องอาศัย คน ที่อยู่เบื้องหลัง การก่อกวนในครั้งนี้ เป็นผู้บังคับ
เมื่อคนที่รู้เท่าไม่ถึงการณ์ ติด โปรแกรมที่ไม่ปกติ(Malware) จึงทำให้เกิด Zombie
คนรู้เท่าไม่ถึงการณ์ ที่ติด Malware จำนวนมาก กลายเป็น กองทัพ Botnet
ตอนนี้เราทราบถึง การกำเนิดของ กองทัพ Botnet แล้วล่ะ มีคำถามต่อไปว่า Botnet เหล่านี้ เมื่อเกิดขึ้นแล้ว จะสร้างความเสียหาย ได้อย่างไร
Botnet ต้องการที่อยู่อาศัย และที่อยู่อาศัย Botnet หายใจในอินเตอร์เน็ท บนเครือข่ายคอมพิวเตอร์ และรอคำสั่ง จากคนที่มีเจตนา เพื่อ สร้างภัยคุกคามให้เกิดขึ้น ตามจุดหมายที่ ตนต้องการ
แหล่งควบคุม Botnet ส่วนใหญ่เกิดใน IRC เหตุผลที่ส่วนใหญ่เป็น IRC ผมให้ข้อสังเกต ดังนี้ครับ
เหตุผลประการที่หนึ่ง เนื่องจาก Protocol ในการติดต่อ IRC เป็นการติดต่อแบบ UDP ซึ่งมีความเร็ว และไม่ต้องการความถูกต้องนักในการสื่อสาร ทำให้เครื่องที่เป็น Zombie แทบไม่รู้ตัวว่าตนเองได้เชื่อมต่อ Server IRC ที่อยู่ห่างไกล ได้เลย
เหตุผลประการที่สอง IRC เป็นการสื่อสาร ในยุคก่อน ที่ส่วนใหญ่ Hackers ในอดีตมักใช้เป็นแหล่งแลกเปลี่ยนเทคนิค และหลากหลายเรื่อง ที่อิสระมาก เนื่องจากเป็นแหล่งที่ยากในการควบคุม ทราบได้ยากในการค้นหาตัวตนที่แท้จริง
สำหรับมิตรรัก ที่รู้จักผมดี ก็ทราบว่า ตัวผมเองก็เริ่มชีวิตอินเตอร์เน็ท จาก IRC และมีบทความเกี่ยวกับ IRC มาก่อนเช่นกัน เพื่อนเก่า คนคุ้นเคย nickname SAMURAl อ่านว่า "ซามูไร" แต่ในความเป็นจริง ตัว i ตัวหลัง ใช้ตัว L ตัวเล็ก หลีกเลี่ยงพวกชอบ /whois เขียนชื่อผมผิดล่ะก็ whois ไม่เจอ : ) ปัจจุบันไม่มีแล้วครับ ผมไม่ได้เข้า IRC มาหลายปีแล้ว
IRC มีความน่าสนใจ ทั้งการใช้ชีวิต และภัยคุกคามบนโลกเสมือน จากอดีต จนถึงปัจจุบัน และในอนาคต
พื้นฐาน IRC (Internet relay chat) เป็น ติดต่อแบบ Client to Server เพื่อใช้ในการติดต่อสื่อสาร โดยผ่าน Protocol โดยผ่าน ช่วง port 6666 - 7000 อาจจะมากกว่านี้ หรือน้อยกว่า ได้ขึ้นอยู่ผู้ให้บริการตั้งตนเองเป็น IRC Server ส่วน IRC Client เป็นซอฟต์แวร์ที่ติดตั้งในเครื่องผู้ใช้งาน ที่ได้รับความนิยม ได้แก่ Pirch , Mirc , Xchat และอื่นๆ ภัยคุกคามทาง IRC มีมาโดยตลอดไม่ว่าเป็นการหลอกลวงจากคนด้วยกันเอง และ ภัยคุกคามทางเทคนิคชั้นสูง ที่ใช้ Zombie ไปผู้สร้างให้เกิดความเสียหาย
ลักษณะการใช้งาน IRC ประกอบด้วย
Channels หรือเรียกว่า ห้องสนทนา ที่เกิดจากการสร้างของ ผู้ลงทะเบียนสร้างห้อง เมื่อก่อน ก็คือ คนเข้าห้องและตั้งชื่อห้อง คนแรก Server ที่ยังคงอนุรักษณ์วิธีนี้คือ EFnet
และ Server ที่คนไทยนิยม อดีต ปัจจุบัน ได้แก่ dalnet , Webmaster และ Thai IRC เป็นต้น
Nickname ชื่อเสมือน ที่ผู้ใช้ ต้องการให้เป็น จะเป็นชื่ออะไรก็ได้ ตามอักขระ ที่โปรแกรม IRC Server รองรับ
Bot หุ่น คอมพิวเตอร์ Script ที่ใช้ในการเฝ้าห้อง ควบคุม Server แทนผู้ให้บริการ IRC Server หากเป็น Bot ที่มากับ IRC Server มักจะเกิดขึ้นตามคำสั่งที่เขียนไว้พร้อมกับการสร้าง IRC Server แต่หากเป็น Bot ที่เกิดจากสร้างผู้ใช้งานอื่น มักจะเขียนด้วยภาษา TCL/TK หรือ C และอื่นๆ ได้เช่นกัน สมัยก่อนมี Bot สำหรับเฝ้าห้องหลายยี่ห้อ ได้แก่ TNT , Eggdrop และอื่นๆ และกล่าวได้ว่าการสร้าง Eggdrop เมื่อก่อน เกิดเป็นแนวทางการสร้างเครื่องมือบังคับ Zombie ให้ทำตามคำสั่งที่ต้องการ ได้แก่ Agobot, GTBot, SDBot, Evilbot และอื่นๆ


ภาพการทำงาน Botnet เมื่อใช้ IRC Server เป็นช่องทางในการสร้างภัยคุกคาม

http://lockdowncorp.com/bots/a5.jpg
ภาพแสดงถึงการสั่งงาน Zombie ผ่าน IRC โดยผู้สั่งคือ Wh0r3 ซึ่งใช้ชื่อเป็นภาษา Jagon
ลักษณะการสั่ง Zombie ให้ทำการ DDoS ที่อื่นๆ
[###FOO###] <~nickname> .scanstop
[###FOO###] <~nickname> .ddos.syn 151.49.8.XXX 21 200
[###FOO###] <-[XP]-18330> [DDoS]: Flooding: (151.49.8.XXX:21) for 200 seconds
[...]
[###FOO###] <-[2K]-33820> [DDoS]: Done with flood (2573KB/sec).
[###FOO###] <-[XP]-86840> [DDoS]: Done with flood (351KB/sec).
[###FOO###] <-[XP]-62444> [DDoS]: Done with flood (1327KB/sec).
[###FOO###] <-[2K]-38291> [DDoS]: Done with flood (714KB/sec).
[...]
[###FOO###] <~nickname> .login 12345
[###FOO###] <~nickname> .ddos.syn 213.202.217.XXX 6667 200
[###FOO###] <-[XP]-18230> [DDoS]: Flooding: (213.202.217.XXX:6667) for 200 seconds.
[...]
[###FOO###] <-[XP]-18320> [DDoS]: Done with flood (0KB/sec).
[###FOO###] <-[2K]-33830> [DDoS]: Done with flood (2288KB/sec).
[###FOO###] <-[XP]-86870> [DDoS]: Done with flood (351KB/sec).
[###FOO###] <-[XP]-62644> [DDoS]: Done with flood (1341KB/sec).
[###FOO###] <-[2K]-34891> [DDoS]: Done with flood (709KB/sec).
[...]


ภาพโปรแกรม Agobot ที่ใช้สั่งงาน botnet
botnet มีความโปรดปรานเครื่องคอมพิวเตอร์ที่อ่อนแอ ภัยคุกคามสมัยใหม่ เรามักจะเข้าใจผิดว่าต้องป้องกันเครือข่ายชั้นนอกให้ปลอดภัย แต่ลืมว่าสิ่งสำคัญที่สุด คือเครื่องคอมพิวเตอร์ของคุณเอง หากอ่อนแอ และไม่ได้รับการเอาใจใส่ วันหนึ่งอาจกลายเป็น Zombie และเกิดเป็นส่วนหนึ่งของ กองทัพ Botnet ได้เช่นกัน
วิธีป้องกัน Botnet ที่ดีที่สุดคือการป้องกันเครื่องคอมพิวเตอร์ ที่ตนเองรับผิดชอบอยู่ให้ดีที่สุด มาถึงตรงนี้ ขอหยุดพักก่อน พรุ่งนี้เช้า มีบรรยายที่ กสท และจะกลับมาเล่า Botnet กันต่อ เพราะเรื่องยังไม่จบดี โปรดติดตามต่อไป

นนทวรรธนะ สาระมาน
Nontawattana Saraman

เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ:

วันอาทิตย์, กุมภาพันธ์ 18

Anonymity Network เครือข่ายไร้ตัวตน (2)


กาลามสูตร กล่าวว่า "อย่าเชื่อ จนกว่าจะได้พิสูจน์ด้วยตนเอง"
Nontawattalk กล่าวต่อว่า "อย่าเชื่อ ต่างชาติให้มากนัก.."

ตอนที่แล้วทิ้งท้ายไว้ว่า จะทำอย่างไร กับการประยุกต์ เครือข่าย Tor เพื่อใช้ในการค้นหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ ก่อนไปเรื่องสำคัญ ขอสรรภาพก่อนว่า พักหลังผมให้ความสนใจกับการป้องกันข้อมูลส่วนตัว (privacy and security on the Internet) มากขึ้น และเมื่ออ่านจนถึงบรรทัดสุดท้ายของบทความนี้ แล้ว จะเกิดคำถามตามมาว่า เราจะทำ Privacy Internet เพื่อใคร ? กันแน่

จากองค์ประกอบศัพท์ที่เกี่ยวข้องกับทุกเรื่องบนระบบความปลอดภัยข้อมูล 3 คำนี้
C = Confidentiality
I = Integrity
A = Availability

เครือข่ายที่มีการเข้ารหัสในการรับส่งข้อมูล มีการทำเรื่อง Confidentiality เป็นทางออกของการป้องกันความเป็นส่วนตัวของข้อมูล (privacy) ได้

Anonymity Network ทำให้เราระบุ ตัวตนที่แท้จริงในการเข้าเยี่ยมชม Website , IM , Mail ไม่ได้ และ Tor (The Onion Router) ทำให้เกิดการแชร์ Proxy ขนาดใหญ่ บนวิธีการ Routing ที่กำหนดจากโปรแกรม Tor ที่ลงบน Server เส้นทางการลำเรียงข้อมูล ที่มีการเปลี่ยนแปลงจากเทคนิคเดิมๆ กับเป็น ที่นิยมมากขึ้นเรื่อยๆ ผลที่ตามจากการวิเคราะห์ของตนเองแล้ว พบว่า Tor เกิด Anonymity Network ได้จริง

แต่ที่พบว่าอาจเกิดปัญหาได้ในอนาคต เนื่องจาก Tor อาศัย อาสาสมัคร เพื่อสร้าง Router Tor หรือบางทีเรียกว่า Tor Server จำนวนมาก ที่ไม่มีมาตรฐานในการระบุชื่อ ดูได้จาก Torstat และไม่มีมาตรการกลางที่ใช้ในการเก็บสร้าง Log ของ Router อาสาสมัคร ที่ใช้กันทั่วโลก (ไม่ใช่ ยุโรป และ อเมริกา เท่านั้นนะ)
คำถามว่า Anonymity Network หากได้รับความนิยมมากขึ้น เราจะค้นหาผู้กระทำผิดทางอาชญากรรมคอมพิวเตอร์ได้อย่างไร ?
เป็นเรื่องที่ท้าทายมากครับ สำหรับงานสืยหาผู้กระทำผิด ที่ต้องตรวจหาจากรอยเท้าบนเครือข่ายคอมพิวเตอร์ที่เชื่อมโยงบนโลกอินเตอร์เน็ท ยิ่งอยู่บน Anonymity Network แล้วล่ะก็ ย่อมมีความยากและซับซ้อนมากขึ้น
เมื่อต้นปี 2006 เราคงได้ทราบถึงศัพท์ที่เรียกว่า NSA Spy (National Security Agency spy) บน Code Name ที่ชื่อว่า "Echelon"
website NSA (http://www.nsa.gov)
Echelon มีประวัติเคยใช้ในสงครามเย็น ในยุคสมัยที่ 70s - 90s เพื่อใช้ในการเฝ้าติดตามชาวต่างประเทศที่เข้าประเทศอเมริกา ส่วน Echelon หรือ NSA Spy บนโลกอินเตอร์เน็ทแล้ว ได้รับการสนับสนุนจาก รัฐบาลอเมริกา และ ใช้เทคโนโลยี , ข้อมูล จากบริษัท AT&T และ EFF ผู้สนับสนุนการสร้าง Tor ซึ่งทั้งบริษัท AT&T และมูลนิธิ EFF ก็ยังมีปัญหาในคดีความเรื่องการดักข้อมูล จาก NSA กันอยู่เมื่อปลายปีที่แล้ว รัฐบาลสหรัฐอเมริกา ภายใต้ NSA ได้จัดทำโปรแกรมนี้ขึ้นเพื่อดักข้อมูลบนเครือข่ายคอมพิวเตอร์ เพื่อใช้ในการสืบหาการกระทำที่ผิดปกติที่อาจก่อให้เกิดอาชญากรรมคอมพิวเตอร์ โดยเฉพาะการก่อการร้ายข้ามชาติ ผ่านเครือข่ายคอมพิวเตอร์ (Cyber Crime / Terrorist)ตั้งแต่เหตุการณ์ 9 11 ผ่านไปทางรัฐบาลสหรัฐอเมริกา ให้ความสำคัญเรื่องนี้มาก จนถือได้ว่าเป็นวาระแห่งชาติไป เมื่อปลายปี 2004
การทำงาน NSA Spy Program จะจับข้อมูลที่เกี่ยวกับ e-mail , telephone calls (ข้อมูลบอกว่าใช้สำหรับ American citizens' phone เคยเกิดเป็นข่าวใหญ่เมื่อปีที่แล้ว ว่า NSA ได้แอบรวบรวมระเบียบการโทรศัพท์ของชาวอเมริกันหลายล้านคนอย่างลับ ๆ โดยใช้ข้อมูลที่ได้จาก AT&T, Verizon และ BellSouth จากนั้นจึงนำข้อมูลทีได้มาวิเคราะห์รูปแบบการโทรเพื่อตรวจหากิจกรรมการก่อการร้าย บุคคลที่ไม่เปิดเผยตัวคนหนึ่งเผยว่าฐานข้อมูลดังกล่าวเป็นฐานข้อมูลที่รวบรวมการใช้โทรศัพท์ทั้งหมดที่ใหญ่ที่สุดเท่าที่เคยมีมา ไม่ว่าจะเป็นการโทรข้ามเมือง ประเทศ ไปยังสมาชิกในครอบครัวเพื่อนร่วมงาน หรือคนอื่น ๆ ก็ตาม อ่านเรื่องเต็มได้จาก http://www.usatoday.com/news/washington/2006-05-10-nsa_x.htm ) และการระบุ IP จากผู้ให้บริการ (ISP)
เรื่องใกล้เคียงกัน กับ EFF ผู้สร้างสรรค์ผลงาน Tor
ข่าวจาก SRAN infosec เมื่อ 14 กค 2006 แปลจาก Networkingpipeline
กล่าวว่า "เอฟบีไอของสหรัฐ ฯ กำลังร่างกฏหมายที่บังคับให้ผู้ผลิตฮาร์ดแวร์ด้านเครือข่าย เช่น router และ switch จำเป็นต้องอัพเกรดอุปกรณ์ของตนให้สนุบสนุนการดักข้อมูลทางอินเทอร์เน็ตด้วย นอกจากนี้ผู้ให้บริการอินเทอร์เน็ตต้องยินยอมให้เอฟบีไอสามารถดักข้อมูลแอพพลิเคชั่นต่าง ๆ ได้ ไม่ว่าจะเป็น VoIP ไปจนถึง instant messaging
Brad Templeton ประธานของ Electronic Frontier Foundation (EFF) เปิดเผยว่า Cisco กำลังสร้าง backdoor ที่ใช้เพื่อดักข้อมูลตั้งแต่เดือนมกราคมของปี 2006 , Templeton ยังบอกด้วยว่าผู้ผลิตฮาร์ดแวร์รายอื่น ๆ เช่น Juniper, Acme Packet ก็กำลังสร้าง backdoor เข้าไปในผลิตภัณฑ์ของตนเช่นกัน"

อ่านแล้วลองไปคิดกันต่อเอง ครับ ...

ใครจะรู้ว่า NSA spy อยู่บน Anonymity Network จากการใช้ Tor

หากเป็นเช่นนี้ เรียกการกระทำนี้ว่า เป็น Honeynet แบบ Social Engineering ที่แนบเนียนที่สุดในโลกอินเตอร์เน็ทเลยทีเดียวนะ
เนื่องจาก Tor มันหอมหวนสำหรับ คนคิดไม่ดีนักเหลือเกินครับ แต่หารู้ไม่ว่ามีการดักข้อมูลอยู่บนเส้นทางเดินเครือข่ายนิรนามแห่งนี้เอง

ถ้าเป็นเช่นนี้เราควรใช้ Tor ต่อไปดีหรือไม่ ? คำตอบคือ ใช้ได้แต่ต้องระวังอย่าทำชั่ว เพราะทุกการกระทำที่ผิดจะบันทึกจาก NSA spy ที่สหรัฐอเมริกาเป็นผู้ทำขึ้น

สรุปแล้ว เห็นว่า Tor เป็นเทคโนโลยี ที่ดี เราควรสร้าง Tor แบบเดียวกันที่เป็นอยู่ แต่ใช้เฉพาะประเทศของเราดีไหม ? หากประเทศเรามีเหมือน NSA Spy และกำหนดการใช้งานทุก client ต้องผ่านการใช้ Tor บน Thailand Providers Network แล้ว ทุกการกระทำบนเครือข่ายคอมพิวเตอร์ ในประเทศของเราเอง จะสืบหาที่มาที่ไปได้หมด เชื่ออย่างผมหรือไม่ครับ

ข้อมูลสารสนเทศ คือแนวรบใหม่ ในยุคโลกาภิวัตน์ อย่างปฏิเสธมิได้
และประเทศของเรา จะแกร่งได้ ต้องสร้างภูมิต้านทานด้านเทคโนโลยีให้ทันต่อยุคสมัย พร้อมทั้งควบคุมมันให้ได้เอง โดยไม่พึ่งพาคนอื่น

The image “http://aura.zaadz.com/photos/1/9487/large/computer_Don_t_Spy_on_Me.gif?” cannot be displayed, because it contains errors.

ผมคงไม่มองโลกในแง่ร้ายเกินไปนะ ทั้งหมดที่กล่าวมาเป็นเพียงการแสดงความคิดเห็นจากตัวผมนะครับ ไม่ได้สำคัญเพื่อสร้างความเข้าใจผิดกับการใช้ Anonymity Network แต่อย่างใด เพราะสิ่งนี้ ล้วนเป็นสิทธิ และเสรีภาพ การใช้สื่ออินเตอร์เน็ท ในชีวิตประจำวันของเราต่อไป
ขอบคุณ เจ๊วาส Radioactive เปิดเพลงได้มันส์ดี จนนอนไม่หลับมานั่งเขียนบทความนี้ได้เสร็จเสียที

นนทวรรธนะ สาระมาน
Nontawattana Saraman
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ:

Anonymity Network เครือข่ายไร้ตัวตน

พุทธศาสนา กล่าวถึง อนันตา ความว่างเปล่า ไม่มีตัวตน ไม่ยึดมั่นถือมั่น
ส่วน Anonymity Network ไม่เกี่ยวกับพุทธศาสนา แต่เป็นการสร้างเครือข่ายที่ไม่มีตัวตน ที่ไม่ว่างเปล่า บนโลกอินเตอร์เน็ท วันนี้เรามาเรียนรู้กันว่า Anonymity Network เป็นอย่างไร

ทุกวันนี้การติดต่อสื่อสารบนโลกอินเตอร์เน็ท เป็นแบบ "Store and Forward " คือ การเดินทางในการติดต่อสื่อสารเป็นแบบเส้นทางเดินของข้อมูล ที่ได้ปลายทางได้รับข้อมูล จากต้นทางที่ทำการส่งข้อมูล การลำเรียงข้อมูลแบบนี้ จะเกิดขึ้นเป็นทอดๆ ตามโครงข่ายในการรับส่งข้อมูล ตามจำนวน Hop ที่เกิดขึ้นจาก Router ไปยังปลายทางที่ต้องการส่งสารนั้นไปถึง ปัญหาที่อาจเกิดขึ้นได้คือ การดักจับข้อมูลในการรับและส่ง บนเครือข่ายคอมพิวเตอร์ได้เช่นกัน เนื่องจากข้อมูลที่ลำเรียงผ่าน Router ตาม hop นั้นอาจมีเครื่องมือในการดักจับข้อมูล อยู่ที่ใดที่หนึ่ง หรือบน ISP ผู้ให้บริการก็เป็นได้

อินเตอร์เน็ทเป็นโลกแห่งเสรี ด้วยความที่เป็น Freedom Content การปิดกั้นสื่อในการแสดงความคิดเห็นผ่านอินเตอร์เน็ท ในบางประเทศ ทำให้เกิดความคิดที่ว่า จะทำอย่างไร จึงจะสามารถเข้าถึงข้อมูลนั้นๆ ได้ทั้งที่ Gateway บางประเทศได้ปิดกั้นสื่อนั้น ไม่ว่าเป็น Website ที่มีการปิดกั้นในการเข้าถึง Protocol บาง Protocol และอื่นๆอีกมากกมายที่มีการปิดกั้นสื่อจากการเชื่อมต่ออินเตอร์เน็ท แนวคิดที่ว่า อินเตอร์เน็ทควรเป็นการสื่อสารที่มีความเป็นอิสระ และมีเสรีภาพสูง ทำให้มีกลุ่มคนที่พยายามหาทางออกให้ เข้าถึงข้อมูลที่ปิดกั้นขึ้น จึงเป็นที่มาของการทำ Anonymity Network หรือเครือข่ายไร้ตัวตน ขึ้น แนวคิดนี้เริ่มจากการ การรับและส่งข้อมูล ผ่านตัวกลาง (proxy ซึ่งอาจเป็น Server สาธารณะที่อยู่ต่างประเทศ หรือในประเทศ ) ก็จะยากในการตรวจหา ที่มาของการส่งข้อมูลได้ ในโลกความเป็นจริงการติดต่อสื่อสารเช่นนี้เป็นไปได้ ต้องใช้ Proxy Server ที่มีขนาดใหญ่และรองรับกับการรับส่งข้อมูลทั้งหมด จึงมีการทำแชร์เป็น Network Proxy ในสมัยก่อน Proxy Server มีจำนวนมาก แต่ไม่มีแชร์กัน ใครจะติดต่อสื่อสารโดยไม่ให้ทราบถึง IP ตนเองก็เลือกใช้ Proxy สาธารณะ , IP ที่ทำการติดต่อก็จะเป็น IP ที่ไม่ใช่ IP ของตัวเอง เมื่อ Proxy สาธารณะ ไม่ได้ให้บริการ ก็ต้องหาตัวใหม่ นี้เป็นแบบเมื่อก่อน จึงมีแนวคิดว่า หากนำ Public Proxy Server มาแชร์กัน และทำเรื่องของ Routing บนเครือข่ายเฉพาะกิจ ก็จะไม่ต้องค้นหา Proxy สาธารณะอีกต่อไป จึงเป็นที่มา Anonymity Network การติดต่อสื่อสารแบบนิรนามเกิดขึ้น พูดง่ายๆ คือการแชร์ข้อมูล บน Network Proxy ในการส่งสารข้อมูลเหล่านี้จึงต้องทำตัวเป็น Router ไปด้วย ต้นกำเนิดเทคนิคนี้ เรียกว่า "Onion Routing" เมื่อเกิดเป็น Onion Routing และมีการแชร์ข้อมูลที่รับส่งจนเป็น Network Proxy แล้ว มีการคิดต่อยอดมาเพื่อป้องกันในเรื่องความเป็นส่วนตัว (Privacy Information) ขึ้นโดยให้ เครือข่ายนิรนาม แห่งนี้ เกิดมีการเข้ารหัสในการรับส่งข้อมูลขึ้น และการประยุกต์เรื่องการเข้ารหัสข้อมูลบนเครือข่ายนิรนาม เราเรียกว่า TOR (The Onion Router) ซึ่งพัฒนาขึ้นภายใต้การสนับสนุนของมูลนิธิเล็กทรอนิกส์ฟรอนเทียร์ (Electronic Frontier Foundation)

เทคนิคในการเชื่อมต่อเครือข่าย Tor เป็นการติดต่อโดยใช้แบบ Forwards TCP Streams และเปิด SOCKS interface เพื่อใช้เชื่อมต่อกับ Tor Server ที่กระจายตัวอยู่ตามอาสาสมัคร Tor Server (The Onion Router Volunteer)
เริ่มจากการ Download Tor Software ที่ทำการสร้างเป็น Server
กำหนดที่ File: /etc/tor/torrc
## This is required, but you can choose the port
ORPort 9001
DirPort 9030

## Required: A unique handle for this server. Choose one.
Nickname YourNickName

## The IP or fqdn for this server. Leave commented out and Tor will guess.
## This may be required, if tor cannot guess your public IP.
Address 

OutboundBindAddress 

## To limit your bandwidth usage, define this. Note that BandwidthRate
## must be at least 20 KB.
BandwidthRate 20 KB        # Throttle traffic to 20KB/s (160Kbps)
BandwidthBurst 50 KB       # But allow bursts up to 50KB/s (400Kbps)

## If you don't want to run an Exit Node, add this
#ExitPolicy reject *:* # middleman only -- no exits allowed


การใช้งาน Tor เป็นการใช้งานโปรแกรมแบบ Client to Server จำเป็นต้องลงโปรแกรม Tor Client ซึ่งมีหลากหลายรูปแบบ และสามารถใช้ได้บนหลากหลาย OS (Operating System)

Tor Client ที่นิยม ได้แก่
1. Privoxy + Vidalia เป็นโปรแกรมที่ลงกับเครื่อง Client
2. Torpark เป็น Browser ที่มี Tor + Privoxy และ FireFox สามารถใช้ Torpark บน USB Drive ได้

ประโยชน์ของ Tor ประกอบด้วย
1. ทำให้เกิดความเป็นส่วนตัวในการเชื่อมต่อของข้อมูล เนื่องจากไม่สามารถหา IP ของผู้ใช้งานได้
2. ข้อมูลในการติดต่อสื่อสาร ยากแก่การดักข้อมูล (eavesdrop) เนื่องจากข้อมูลที่ส่งผ่าน เครือข่าย Tor มีการเข้ารหัส
3. ทำให้ระยะทางในการเชื่อมต่อไปถึงเป้าหมายในการติดต่อสื่อสาร อาจจะมีระยะทางที่สั้นลง เนื่องจากจำนวน Hop Router ได้มีระยะทางที่สั้นลง
4. กำหนด Babdwidt Rate จาก Tor Server และระบุ จำนวน Tor Server เพื่อการสืบค้น IP ที่ติดต่อบริการ ด้วยความร่วมมือจากอาสาสมัครที่ลงโปรแกรม Tor บน server ได้
ดูจำนวนการใช้งาน Tor Network ได้ที่
5. เข้าถึง Website และบาง Protocol ในการเชื่อมต่อ หากมีการปิดกั้นสื่อในประเทศนั้นๆ ได้



คำถามมีอยู่ว่า
แล้วผู้ใช้ Tor จะต้องทำอย่างไร ? และ Tor รองรับ Protocol อะไรบ้าง นี้เป็นคำถาม ที่ต้องหาคำตอบต่อไป

ผู้ใช้ Tor จำเป็นต้องมีโปรแกรม ที่ทำตัวเองเป็น Local Proxy ไว้กำหนดทิศทางการเดินทาง (routing) บนเครื่องคอมพิวเตอร์เราเพื่อออกสู่ อาสาสมัคร Onion Router Volunteer ที่นี้แนะนำใช้ Privoxy + Vidalia
Privoxy เป็นตัว Local Proxy ทำหน้าที่เปิด SOCKS Interface
Vidalia เป็นการหาทิศทาง TOR Volunteer

รูปที่ 1 Bob ติดต่อตรงกับ Server เป้าหมาย และไม่มีการเข้ารหัสข้อมูล หาก Bob เริ่มเปิดโปรแกรม Tor client, โปรแกรมเริ่มค้นหา Tor node แบบอัตโนมัติ

แน่นอน เมื่อเกิดแนวคิดเช่นนี้ เมื่อปลายเดือนตุลาคม ปี คศ 2003 จึงเกิดการแพร่กระจายตัว TOR node ตามประเทศต่างๆ เกิดขึ้นรวมปัจจุบันเกือบ 1250 node การรองรับ Protocol ในการสื่อสารโดยใช้ Tor มีได้มากกว่า HTTP , SMTP , IRC , VoIP และรองรับ Protocol ของ IM และ Protocol ของ P2P บางโปรแกรมได้ เห็นแล้วว่าดีกว่า Proxy รุ่นเก่าเป็นไหนๆ นะ

* กำหนดค่าเพิ่ม หรือ ลด Port Services บน Tor Server ได้จาก File: /etc/tor/torrc

ExitPolicy reject*:25
ExitPolicy reject*:119
ExitPolicy reject*:135-139
ExitPolicy reject*:445
ExitPolicy reject*:465
ExitPolicy reject*:587
ExitPolicy reject*:1214
ExitPolicy reject*:4661-4666
ExitPolicy reject*:6346-6429
ExitPolicy reject*:6699
ExitPolicy reject*:6881-6999
accept*:*



รูปที่ 2 Tor เริ่มลำเรียงข้อมูลเพื่อไปยังเป้าหมายที่ Bob ต้องการโดยข้อมูลมีการเข้ารหัสเรียบร้อย พร้อมทั้งไม่สามารถยืนยันว่า Bob ใช้ IP อะไรอยู่

รูปทั้ง 2 นำมาจาก whitedust net

ศึกษา Tor ได้จาก http://tor.eff.org/


ความน่าสนใจ ยังพึ่งเริ่มต้น เนื่องจาก Tor เป็นการสร้าง การเชื่อมต่อการสื่อสารแบบ Anonymity Network ซึ่งปิดบังความเป็นตัวตนของผู้ใช้อินเตอร์เน็ทได้ ปลอดภัยจากการดักจับข้อมูลบนเครือข่าย เนื่องจากเป็นเครือข่ายคอมพิวเตอร์ที่มีการเข้ารหัส แต่ตัวผมสนใจมากกว่านั้น เพราะ Tor คือกุญแจสำคัญในการตรวจหาผู้กระทำผิดทางอาชญากรรมคอมพิวเตอร์ได้ หากเรานำมาประยุกต์ใช้ และบทหน้า จะกล่าวกันต่อ สวัสดีวันตรุษจีนครับ

นนทวรรธนะ สาระมาน
Nontawattana Saraman

เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ:

วันจันทร์, พฤศจิกายน 27

เหตุของปัญหา(เครือข่ายคอมพิวเตอร)์

ในงานเปิดตัว Cyfence ของ CATTelecom และงาน Netday ที่ มหาวิทยาลัย เกษตรศาสตร์ บางเขน ได้มีการบรรยาย หัวข้อ Sufficient Network Security การสร้างเครือข่ายให้ปลอดภัย อย่างคุ้มค่าการลงทุน และพอเพียง โดยใช้ SRAN
ในงานได้กล่าวถึง การสร้างกรอบความคิด เพื่อแก้ไขปัญหาเครือข่ายคอมพิวเตอร์ อย่างเป็นระบบ โดยใช้หลักพุธศาสนา มาช่วย นั้นคือใช้หลักการแก้ไขปัญหาตาม อริยสัจ 4 ได้แก่
ทุกข์ = ปัญหาระบบเครือข่ายคอมพิวเตอร์
สมุทัย = เหตุของปัญหาระบบเครือข่ายคอมพิวเตอร์
นิโรจ = การแก้ไขปัญหา
มรรค = ทางออก และ สร้างความยั่งยืน

หลักการวิเคราะห์ปัญหาเครือข่าย ผมได้เสนอหลักการคิดแบบ 3 in 3 out พิจารณา ข้อมูล ที่วิ่งเข้าและออก ผ่าน จุดหลัก 3 จุด ได้แก่
Internet , Network , Host in / out


และปัญหาเหล่านี้ อาจจะเกิดจาก ทั้งที่เป็นคน และไม่ใช่คน ทั้งที่เจตนา และ ไม่เจตนา บนความรู้เท่าไม่ถึงการณ์
ที่เป็นคน ก็ได้แก่ พวกนักโจมตีระบบ (Hackers) โดยมีทั้งเจตนา และไม่เจตนา หากไม่เจตนา มักเป็น Script Kiddy ที่ทำการค้นหา Exploit ใหม่ๆ ใน Internet และทำการ scan เพื่อเข้าถึงระบบ แต่ตนเองอาจไม่รู้ตัวว่าได้เข้าถึงระบบไปแล้ว
ส่วนใหญ่ที่ไม่ใช่คน มักเรียกว่าพวก Robot หรือ Botnet โดยเกิดจาก Malware
ดังนั้นการรู้จัก Malware จึงเป็นเรื่องที่ควรศึกษา
ความหมายของ Malware ในแบบฉบับของผม คือ ความไม่ปกติ ที่ สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit


ซึ่งอาจจะเกิดจาก เจตนา ของ Hacker เพียงคนเดียว และส่งต่อความสูญเสียข้อมูลในรวบแบบต่างๆ โดยมีการสะพานเชื่อมต่อคือ Botnet
Botnet ทำให้เกิดภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง
ภัยคุกคามที่ไม่สามารถเกิดขึ้นเองได้ตามลำพัง ได้แก่ Spam (อีเมล์ขยะ) , DoS/DDoS (การโจมตีเพื่อทำให้เครื่องปลายทางหยุดการทำงานหรือสูญเสียความเสรียฐภาพ) , และ Phishing (การหลอกหลวงในโลก Cyber)


ภัยคุกคามที่ไม่สามารถเกิดขึ้นในเองตามลำพัง ต้องอาศัย Botnet ที่อาจรับคำสั่งจาก ผู้ที่เจตนา ใน IRC , IM หรือ การแนบ files ที่หวังผลใน e-mail ซึ่งหากต้องการอ่านข้อมูลเพิ่มเติม ผมเคยเขียนเรื่อง Dark side of Internet

และภัยคุกคามที่เกิดจาก ทั้งเจตนา และ ไม่เจตนา และทั้งที่เป็นคน และ ไม่ใช่คน ล้วนแต่สร้างความเสียหายให้กับเหยื่อ ที่ รู้เท่าไม่ถึงการณ์
เพราะความไม่รู้ เราจึงต้องสร้างความรู้ เพื่อสร้างภูมิต้านทางให้กับ คนอื่น เมื่อเขาได้อยู่บนโลก Online

ตัวอย่างบางตอนที่บรรยายในงาน





นนทวรรธนะ สาระมาน
Nontawattana Saraman
24 / 11 / 49
เขียนโดย ที่ 1 ความคิดเห็น:
ป้ายกำกับ:
สมัครสมาชิก: บทความ (Atom)