แสดงบทความที่มีป้ายกำกับ log แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ log แสดงบทความทั้งหมด
วันศุกร์, สิงหาคม 30
วันอังคาร, สิงหาคม 27
Network Log มีความสำคัญอย่างไร
Network Log มีความสำคัญอย่างไร ?
เมื่อพูดถึง Log files หลายคนคงเข้าใจว่าต้องนำ Log จากเครื่องแม่ข่าย (Server) เพื่อโยนเข้ามาเก็บส่วนกลาง ผ่านเทคโนโลยี Centralized Log management ไม่ว่าเป็น Log ที่เกิดจากระบบ System ในเครื่อง หรือ Log ที่เกิดจาก Application
(Log files คือการเก็บบันทึกข้อมูลที่เกิดขึ้น)
ยกตัวอย่าง หากในองค์กรหนึ่งมีการตั้ง AD Server (Active Directory) เพื่อเป็น AAAและA
Authentication คือ การระบุตัวตน เพื่อใช้ยืนยันตัวตน ของผู้ใช้งานภายในองค์กร เช่น การ Login เข้าระบบเครือข่าย Login เพื่อยืนยันตัวตนในการเข้าถึงระบบงาน ยืนยันและระบุตัวตนสำหรับการใช้งานอินเทอร์เน็ต เป็นต้น
Authorization คือ การกำหนดสิทธิในการเข้าถึง Application เข้าถึงระบบ เข้าถึงไฟล์ และเข้าถึงข้อมูล เป็นต้น
Accounting คือ รายชื่อผู้ใช้งานที่มีการสร้างขึ้นจากผู้ดูแลระบบ ส่วนใหญ่เป็นรายชื่อพนักงานในองค์กร
และ A ตัวสุดท้ายคือ Auditing เป็นการตรวจสอบ Log ที่เกิดขึ้น ส่วนใหญ่แล้วก็จะเป็น Log ที่เกิดจาก Authentication, Authorization และ Accounting ของเครื่อง Active Directory Server นี้แหละ
และยังมี Application Log ที่สำคัญ อื่นๆ ที่นิยมนำมาเก็บ บน Log Management ก็เช่น Log Web Server, Log Mail Server, Log DHCP/DNS Server, Log จาก Files Sharing, Log ระบบที่สร้างขึ้นจากแอพลิเคชั่นในองค์กร เช่นระบบ ERP ระบบบัญชี เป็นต้น ซึ่งหากเก็บหมดนี้ก็ถือใช้พื้นที่ในการเก็บจำนวนมาก และหากเก็บหมดได้ นี้แหละคือ Big data ที่ทุกองค์กรมีอยู่ใกล้ตัวที่สุด เป็นข้อมูลภายในองค์กร ซึ่งรัฐบาลจากทำ Big data แต่ไม่รู้จะเริ่มอย่างไง อยากให้มาดูในส่วนนี้จะเริ่มต้นได้ (สำหรับหน่วยงานที่ไม่มีข้อสาธารณะจำนวนมากและต่อเนื่อง)
Big data ส่วนนี้มิใช่ข้อมูลที่แสดงต่อสาธารณะ แต่มีประโยชน์ต่อหน่วยงานมาก ช่วยให้รอดพ้นจากภัยไซเบอร์ได้ อันเนื่องมาจากการมองเห็น และรู้เท่าทันขึ้น จาก Log files
Log มาจากเครื่อง ส่งมาเก็บจะพบปัญหาได้หากเกิดความผิดพลาดในระบบเช่นไวรัสลงที่เครื่องแม่ข่าย (Server) ที่กล่าวมาทั้งหมดเหล่านี้ไม่ว่าจะเป็นเครื่อง AD Server, Files sharing server, และ Web Server การส่ง Log มาเก็บที่ Centralized Log management อาจจะมีความผิดพลาด เช่น ไวรัสคอมพิวเตอร์ บางชนิดอาจทำลาย Log ลบ Log ทำให้ไม่มี Log ส่งมาเก็บที่ส่วนกลาง ไม่สามารถหา ร่องรอยการโจมตีได้
Log ที่มาจาก Network นั้นสำคัญ ?
หากเกิดกรณีดังกล่าว เช่นไวรัสเข้าไปลบ Log ในเครื่อง Server เราจะทำอย่างไร
ผมจึงจะขอเวลาเขียนบทความนี้เพื่อทำความเข้าใจ ดังนี้
Log Network ประกอบด้วย
1) Log ที่มาจากอุปกรณ์ Network เช่น Log Firewall, Log Router, Log Switch หลายองค์กรทำการส่ง Log เฉพาะ Log Firewall เพื่อ เข้า Centralized Log management เพราะตัวอื่นๆ จะมีปริมาณข้อมูลเยอะและมีเหตุการณ์ที่ซ้ำซ้อน ดังนั้นหากติดตั้ง Firewall แบบถูกวิธี Log Firewall ถือว่าเป็นประโยชน์มาก
แต่ด้วยว่า Firewall มีหลายระดับ ระดับที่ราคาแพง (หลักแสนขึ้นถึงหลักหลายล้าน) จะมีครบ
ส่วน Firewall ทั่วไป อย่างน้อยจะเห็น Log ที่ได้จะเห็น การสื่อสาร ต้นทาง (IP Source/ Source Port) และ ปลายทาง (IP Destination/ Destination Port) และ Protocol สถานะการเชื่อมต่อ
Firewall ที่เป็นระดับ Application Firewall ก็จะเพิ่มเติมการมองเห็น Application ที่ใช้งาน Bandwidth ที่ใช้งาน เช่น มองเห็น Protocol ที่สำคัญ เช่น HTTP, SMTP, DNS, DHCP, FTP, SSH เป็นต้น ซึ่งหากรู้จัก และ Application ที่สื่อสารบน Protocol เหล่านี้ เช่น Skyp, Facebook, Line, Gmail เป็นต้น แต่ไม่ได้หมายถึงว่าเห็นข้อความ เนื้อ content ผู้ส่งและผู้รับได้ เห็นเพียงรู้ว่าใช้ Application อะไร Bandwidth เท่าไหร่ ลักษณะการสื่อสารเท่านั้น
Firewall ในระดับ NextGen ก็จะป้องกันภัยคุกคามที่มาทางระบบเครือข่าย และ Application ได้ด้วย
แต่ทั้งนี้ Log ที่มาจาก Firewall ส่งมาเก็บ ก็ใช่ว่าจะสมบูรณ์ เพราะไม่สามารถมองเห็น Log Network ภายในองค์กรได้
Log Network ที่เกิดขึ้นในองค์กร การแชร์ไฟล์ map drive, Log ที่มากับกล้องวงจรปิด CCTV ที่ติดภายในอาคาร Log ที่เกิดจากการควบคุมเครื่องจักรในโรงงานอุตสาหกรรม, Log ที่เกิดจากแพร่ไวรัสภายในเครือข่าย LAN เป้นต้น
การที่ Firewall จะมองเห็นได้ทั้งหมดเป็นไปไม่ได้
ดังนั้นแบบที่ 2 ที่จะกล่าวถึงคือการสำเนาข้อมูลผ่านระบบเครือข่ายคอมพิวเตอร์ หรือเรียกว่า Mirror traffic จึงเกิดขึ้น สำหรับผมชอบวิธีนี้ที่สุดเพราะผลกระทบน้อยและ Log ที่ได้รับมามีประโยชน์ ไม่สามารถถูกแก้ไขจากไวรัสคอมพิวเตอร์ได้ เห็นอย่างไร บอกอย่างนั้น ตามที่เคยกล่าวว่า "Log files ไม่เคยโกหกเรา"
2) Log Network ที่ได้จากการสำเนาข้อมูล
(Mirror traffic)
หากระบบเครือข่ายในองค์กรของเรามีขนาดใหญ่ อาจมีการแบ่งโซนระบบเครือข่ายออกเป็น โซนสำหรับเครื่องแม่ข่ายสำคัญ โซนผู้ใช้งานภายในองค์กร โซน WiFi โซนตามแผนกงาน เป็นต้น ก็ทำการสำเนาข้อมูลแต่ละส่วนมาเพื่อเก็บบันทึกเป็น Log Network ได้
ด้วยวิธีนี้ มีหลายโปรแกรมที่มองเห็นและแกะ Protocol ที่สำคัญ เช่น
Log AD ที่เกิดจาก Kerberos สำหรับใช้ Active Directory จะได้ใกล้เคียงกับ Log ที่เก็บในเครื่อง AD Server สามารถมองเห็นทาง Network ได้เช่นกัน
Log Web Server มีความใกล้เคียง access.log หรือเทียบเท่ากัน จากที่มาจากเครื่องแม่ข่าย
Log Files share ที่ผ่าน Protocol Netbios และ SMB ก็เห็นเช่นเดียวกัน ใกล้เคียงจาก Log จากเครื่องแม่ข่ายส่งมา
Log Remote ไม่ว่าเป็น Remote Desktop, VPN, SSH, FTP ก็มองเห็น และใกล้เคียงกับ Log ที่มาจากเครื่องแม่ข่ายส่งมา ซึ่งไวรัสตัวใหม่ ที่พึ่งเกิดขึ้นก็ใช้ช่องโหว่ของ RDP โดยส่วนใหญ่แล้วหาได้น้อยมากที่ใครจะโยน Log RDP มาเก็บ ส่วนใหญ่จะได้จาก Network Log นี้แหละหากไม่มี Network Log อย่าหวังว่าจะได้ข้อมูลและลักษณะการติดต่อสื่อสาร
Log การระบุตัวตน ที่เกิดจาก Radius Protocol ก็มองเห็น และใกล้เคียงกับ Log ที่มาจากเครื่องแม่ข่ายส่งมา
ดังนั้นแบบที่ 2 ประหยัดงบกว่าแน่ และได้สิ่งที่เพียงพอแล้วสำหรับผู้ดูแลระบบเครือข่าย
ผมจึงอยากจะเขียนไว้เพื่อสร้างความเข้าใจ ซึ่งทั้งหมดที่เขียนมาล้วนมาจากประสบการณ์ทั้งสิ้น
"Log files ไม่เคยโกหกเรา"
Nontawatt Saraman
27/08/62
เมื่อพูดถึง Log files หลายคนคงเข้าใจว่าต้องนำ Log จากเครื่องแม่ข่าย (Server) เพื่อโยนเข้ามาเก็บส่วนกลาง ผ่านเทคโนโลยี Centralized Log management ไม่ว่าเป็น Log ที่เกิดจากระบบ System ในเครื่อง หรือ Log ที่เกิดจาก Application
(Log files คือการเก็บบันทึกข้อมูลที่เกิดขึ้น)
ยกตัวอย่าง หากในองค์กรหนึ่งมีการตั้ง AD Server (Active Directory) เพื่อเป็น AAAและA
Authentication คือ การระบุตัวตน เพื่อใช้ยืนยันตัวตน ของผู้ใช้งานภายในองค์กร เช่น การ Login เข้าระบบเครือข่าย Login เพื่อยืนยันตัวตนในการเข้าถึงระบบงาน ยืนยันและระบุตัวตนสำหรับการใช้งานอินเทอร์เน็ต เป็นต้น
Authorization คือ การกำหนดสิทธิในการเข้าถึง Application เข้าถึงระบบ เข้าถึงไฟล์ และเข้าถึงข้อมูล เป็นต้น
Accounting คือ รายชื่อผู้ใช้งานที่มีการสร้างขึ้นจากผู้ดูแลระบบ ส่วนใหญ่เป็นรายชื่อพนักงานในองค์กร
และ A ตัวสุดท้ายคือ Auditing เป็นการตรวจสอบ Log ที่เกิดขึ้น ส่วนใหญ่แล้วก็จะเป็น Log ที่เกิดจาก Authentication, Authorization และ Accounting ของเครื่อง Active Directory Server นี้แหละ
และยังมี Application Log ที่สำคัญ อื่นๆ ที่นิยมนำมาเก็บ บน Log Management ก็เช่น Log Web Server, Log Mail Server, Log DHCP/DNS Server, Log จาก Files Sharing, Log ระบบที่สร้างขึ้นจากแอพลิเคชั่นในองค์กร เช่นระบบ ERP ระบบบัญชี เป็นต้น ซึ่งหากเก็บหมดนี้ก็ถือใช้พื้นที่ในการเก็บจำนวนมาก และหากเก็บหมดได้ นี้แหละคือ Big data ที่ทุกองค์กรมีอยู่ใกล้ตัวที่สุด เป็นข้อมูลภายในองค์กร ซึ่งรัฐบาลจากทำ Big data แต่ไม่รู้จะเริ่มอย่างไง อยากให้มาดูในส่วนนี้จะเริ่มต้นได้ (สำหรับหน่วยงานที่ไม่มีข้อสาธารณะจำนวนมากและต่อเนื่อง)
Big data ส่วนนี้มิใช่ข้อมูลที่แสดงต่อสาธารณะ แต่มีประโยชน์ต่อหน่วยงานมาก ช่วยให้รอดพ้นจากภัยไซเบอร์ได้ อันเนื่องมาจากการมองเห็น และรู้เท่าทันขึ้น จาก Log files
Log มาจากเครื่อง ส่งมาเก็บจะพบปัญหาได้หากเกิดความผิดพลาดในระบบเช่นไวรัสลงที่เครื่องแม่ข่าย (Server) ที่กล่าวมาทั้งหมดเหล่านี้ไม่ว่าจะเป็นเครื่อง AD Server, Files sharing server, และ Web Server การส่ง Log มาเก็บที่ Centralized Log management อาจจะมีความผิดพลาด เช่น ไวรัสคอมพิวเตอร์ บางชนิดอาจทำลาย Log ลบ Log ทำให้ไม่มี Log ส่งมาเก็บที่ส่วนกลาง ไม่สามารถหา ร่องรอยการโจมตีได้
ภาพ Log ที่เกิดจาก RDP ที่เกิดจาก Network Log เป็น GUI จาก SRAN LT 50 Hybrid
Log ที่มาจาก Network นั้นสำคัญ ?
หากเกิดกรณีดังกล่าว เช่นไวรัสเข้าไปลบ Log ในเครื่อง Server เราจะทำอย่างไร
ผมจึงจะขอเวลาเขียนบทความนี้เพื่อทำความเข้าใจ ดังนี้
Log Network ประกอบด้วย
1) Log ที่มาจากอุปกรณ์ Network เช่น Log Firewall, Log Router, Log Switch หลายองค์กรทำการส่ง Log เฉพาะ Log Firewall เพื่อ เข้า Centralized Log management เพราะตัวอื่นๆ จะมีปริมาณข้อมูลเยอะและมีเหตุการณ์ที่ซ้ำซ้อน ดังนั้นหากติดตั้ง Firewall แบบถูกวิธี Log Firewall ถือว่าเป็นประโยชน์มาก
แต่ด้วยว่า Firewall มีหลายระดับ ระดับที่ราคาแพง (หลักแสนขึ้นถึงหลักหลายล้าน) จะมีครบ
ส่วน Firewall ทั่วไป อย่างน้อยจะเห็น Log ที่ได้จะเห็น การสื่อสาร ต้นทาง (IP Source/ Source Port) และ ปลายทาง (IP Destination/ Destination Port) และ Protocol สถานะการเชื่อมต่อ
Firewall ที่เป็นระดับ Application Firewall ก็จะเพิ่มเติมการมองเห็น Application ที่ใช้งาน Bandwidth ที่ใช้งาน เช่น มองเห็น Protocol ที่สำคัญ เช่น HTTP, SMTP, DNS, DHCP, FTP, SSH เป็นต้น ซึ่งหากรู้จัก และ Application ที่สื่อสารบน Protocol เหล่านี้ เช่น Skyp, Facebook, Line, Gmail เป็นต้น แต่ไม่ได้หมายถึงว่าเห็นข้อความ เนื้อ content ผู้ส่งและผู้รับได้ เห็นเพียงรู้ว่าใช้ Application อะไร Bandwidth เท่าไหร่ ลักษณะการสื่อสารเท่านั้น
Firewall ในระดับ NextGen ก็จะป้องกันภัยคุกคามที่มาทางระบบเครือข่าย และ Application ได้ด้วย
แต่ทั้งนี้ Log ที่มาจาก Firewall ส่งมาเก็บ ก็ใช่ว่าจะสมบูรณ์ เพราะไม่สามารถมองเห็น Log Network ภายในองค์กรได้
Log Network ที่เกิดขึ้นในองค์กร การแชร์ไฟล์ map drive, Log ที่มากับกล้องวงจรปิด CCTV ที่ติดภายในอาคาร Log ที่เกิดจากการควบคุมเครื่องจักรในโรงงานอุตสาหกรรม, Log ที่เกิดจากแพร่ไวรัสภายในเครือข่าย LAN เป้นต้น
การที่ Firewall จะมองเห็นได้ทั้งหมดเป็นไปไม่ได้
ดังนั้นแบบที่ 2 ที่จะกล่าวถึงคือการสำเนาข้อมูลผ่านระบบเครือข่ายคอมพิวเตอร์ หรือเรียกว่า Mirror traffic จึงเกิดขึ้น สำหรับผมชอบวิธีนี้ที่สุดเพราะผลกระทบน้อยและ Log ที่ได้รับมามีประโยชน์ ไม่สามารถถูกแก้ไขจากไวรัสคอมพิวเตอร์ได้ เห็นอย่างไร บอกอย่างนั้น ตามที่เคยกล่าวว่า "Log files ไม่เคยโกหกเรา"
2) Log Network ที่ได้จากการสำเนาข้อมูล
(Mirror traffic)
หากระบบเครือข่ายในองค์กรของเรามีขนาดใหญ่ อาจมีการแบ่งโซนระบบเครือข่ายออกเป็น โซนสำหรับเครื่องแม่ข่ายสำคัญ โซนผู้ใช้งานภายในองค์กร โซน WiFi โซนตามแผนกงาน เป็นต้น ก็ทำการสำเนาข้อมูลแต่ละส่วนมาเพื่อเก็บบันทึกเป็น Log Network ได้
ด้วยวิธีนี้ มีหลายโปรแกรมที่มองเห็นและแกะ Protocol ที่สำคัญ เช่น
Log AD ที่เกิดจาก Kerberos สำหรับใช้ Active Directory จะได้ใกล้เคียงกับ Log ที่เก็บในเครื่อง AD Server สามารถมองเห็นทาง Network ได้เช่นกัน
Log Web Server มีความใกล้เคียง access.log หรือเทียบเท่ากัน จากที่มาจากเครื่องแม่ข่าย
Log Files share ที่ผ่าน Protocol Netbios และ SMB ก็เห็นเช่นเดียวกัน ใกล้เคียงจาก Log จากเครื่องแม่ข่ายส่งมา
Log Remote ไม่ว่าเป็น Remote Desktop, VPN, SSH, FTP ก็มองเห็น และใกล้เคียงกับ Log ที่มาจากเครื่องแม่ข่ายส่งมา ซึ่งไวรัสตัวใหม่ ที่พึ่งเกิดขึ้นก็ใช้ช่องโหว่ของ RDP โดยส่วนใหญ่แล้วหาได้น้อยมากที่ใครจะโยน Log RDP มาเก็บ ส่วนใหญ่จะได้จาก Network Log นี้แหละหากไม่มี Network Log อย่าหวังว่าจะได้ข้อมูลและลักษณะการติดต่อสื่อสาร
ภาพLog RDP เมื่อจัดทำสถิติ ผ่าน command line ที่มองเห็นผ่าน Network Log เช่นกัน
ดังนั้นแบบที่ 2 ประหยัดงบกว่าแน่ และได้สิ่งที่เพียงพอแล้วสำหรับผู้ดูแลระบบเครือข่าย
ผมจึงอยากจะเขียนไว้เพื่อสร้างความเข้าใจ ซึ่งทั้งหมดที่เขียนมาล้วนมาจากประสบการณ์ทั้งสิ้น
"Log files ไม่เคยโกหกเรา"
Nontawatt Saraman
27/08/62
วันพุธ, กุมภาพันธ์ 8
การระบุตัวตนนักโจมตีเว็บไซต์ด้วย RealLog - Security Orchestration
ที่มา
เกิดจากการตั้งคำถามที่ว่าเราจะรู้เท่าทันการโจมตีทางไซเบอร์ได้อย่างไร ?
"หากเราไม่มี Log files เราหมดสิทธิรู้ได้ หากเราไม่มีระบบเฝ้าระวังภัยคุกคามทางไซเบอร์เราหมดสิทธิรู้ได้แน่นอน" ดังนั้นเริ่มต้นคือต้องมี Log ก่อน
องค์กรไหนมีตัวเก็บ Log files และได้เปิดค้นหาดูย้อนหลัง หรือดูในช่วงเวลานั้น ไม่ว่าประเภท Log นั้นจะเป็น Network Log หรือ Log ที่เกิดขึ้นจาก Application ของเครื่องแม่ข่ายโดยเฉพาะเป็น Public IP หรือไอพีจริง ด้วยแล้ว จะพบว่ามีการโจมตีทางไซเบอร์เกิดขึ้นตลอดเวลา
ไม่ว่าเป็นการโจมตีประเภท Brute Force รหัสผ่านผ่านช่องทาง Protocol SSH , การเจาะระบบผ่านโรบ็อตเพื่อเข้ายึดเครื่องแม่ข่ายผ่าน Web Application (Web Attack XSS , SQLi etc) หรือแม้กระทั่งถูกเปลี่ยนหน้าเว็บเพจ (Defacement) ซึ่งเหล่านี้เป็นเหตุการณ์ที่หลายหน่วยงานองค์กรประสบพบเจอแม้กระทั่งหนักสุดคือการโจมตีแบบ DDoS/DoS ที่เพียงชั่วพริบตาอาจทำให้ระบบหยุดชะงักตั้งแต่ต้นทางผู้ให้บริการ ISP ท่อเต็มจนไปถึงเว็บไซต์ที่เผยแพร่ข้อมูล
ในหลายหน่วยงานที่มีเครื่องไม้เครื่องพร้อมอาจจะรู้ทันและเห็นการโจมตีทางไซเบอร์ตลอดจนแก้ไขปัญหาฉุกเฉินได้อย่างทันเวลา (Incident Response) โดยส่วนใหญ่แล้วลงทุนในด้านนี้สูงหรือใช้งบประมาณหลายสิบล้านบาทถึงทำให้รู้เท่าทันภัยและการโจมตีทางไซเบอร์
แต่ยังมีอีกหลายองค์กรซึ่งเป็นส่วนใหญ่ของประเทศที่จะรู้ก็ต่อเมื่อโดนเจาะระบบไปแล้ว โดยเฉพาะเว็บไซต์หน่วยงานอันเป็นภาพลักษณ์ขององค์กร
เพื่อตอบคำถามดังนี้
(1) เราจะรู้ทันการโจมตีทางไซเบอร์ได้อย่างไร ?
(2) เมื่อเรารู้แล้วเราพร้อมที่รับมือและแก้ไขสถานการณ์ฉุกเฉินได้อย่างไร ?
(3) หลักฐานเราจะระบุตัวตนนักโจมตีระบบด้วยวิธีไหน ?
(4) ทั้ง 3 ข้อที่กล่าวมาทั้งหมดนี้อยู่บนงบประมาณที่ประหยัดและคุ้มค่าที่สุด
เราจะทำได้อย่างไร ? ซึ่งเป็นที่มาของ RealLog
แล้ว RealLog คืออะไร ?
RealLog เกิดขึ้นจากการพัฒนาของทีมงาน SRAN โดยตั้งข้อสังเกตว่าเนื่องจากการป้องกันภัยคุกคามทางไซเบอร์ไม่สามารถป้องกันได้ 100% จะดีกว่าไหม หากมีระบบที่สามารถรู้เท่าทันการโจมตีและระบุการกระทำผิดได้ โดยมีความละเอียดของข้อมูลสูงพอที่จะวิเคราะห์หรือแกะรอยหาต้นตอของผู้กระทำความผิดได้อย่างสะดวกและรวดเร็ว รวมถึงหาวิธีการแก้ไขปัญหาและสถานการณ์ฉุกเฉินได้อย่างมีประสิทธิภาพที่สุด
"เพราะการป้องกันแฮกไม่สามารถป้องกันได้ 100% แต่เรามีทางที่รู้ทันปัญหาและแก้ไขสถานะการณ์ที่เกิดขึ้นได้อย่างทันท่วงที ด้วย RealLog"
ในต่างประเทศเรียกระบบแบบนี้ว่า Security Orchestration คือการนำ Log files ที่มีคุณภาพที่เกิดจากการวิเคราะห์แล้วจากอุปกรณ์ SIEM (Security Information Event Management) หรือ เครื่องมืออื่นๆ อันเป็นกระบวนการกลั่นกรองข้อมูลจาก Log files ที่สมบูรณ์ โดยนำมาเทียบกับค่าดัชนีชี้วัดความเสี่ยงที่เรียกว่า IOC (Indicator of Compromise) ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ
RealLog is "Security Orchestration (for web server)"
หลักการทำงาน
หลักการทำงาน คือ การรับค่า Log จาก Access log คือ log ที่มีในเว็บไซต์ทั่วไปส่งเข้า IOC agent และค่าการประเมินความเสี่ยงแบบสังเกตการณ์ทำแบบต่อเนื่อง (Passive Vulnerability Assessment) ค่า Log ดังกล่าวส่งไปที่ IOC agent ส่วนสุดท้ายคือ Log จากระบบเฝ้าระวังภัยคุกคามทางเครือข่ายคอมพิวเตอร์ (Intrusion Detection System) log ส่วนนี้ก็จะถูกส่งไปที่ IOC agent จากนั้น IOC agent จะคัดกลั่นกรองข้อมูล โดยใช้เทคนิคทาบ Log เทียบเคียงจากค่าดัชนีความเสี่ยงเพื่อประมวลผลเป็น RealLog ในการเทียบค่า Log นี้เองจะทำให้ทราบถึงการโจมตีทางไซเบอร์ได้อย่างแม่นยำและถูกต้องมากขึ้น เมื่อทราบค่าที่ถูกต้องแม่นยำแล้วระบบจะทำการแจ้งเตือนและหยุดการยั้งการโจมตีที่เกิดขึ้นพร้อมซ่อมแซมส่วนที่ชำรุดเพื่อให้ระบบกลับมาใช้งานได้อย่างปกติ
RealLog เป็นระบบ Security Orchestration แบบหนึ่ง โดยทีมงาน SRAN ผู้พัฒนานั้นได้ออกแบบมาเพื่อการระบุตัวตนนักโจมตีระบบและการแก้ไขสถานะการณ์ฉุกเฉินจากการโจมตีเว็บไซต์เป็นหลัก
โดยมีคุณสมบัติดังนี้
องค์ประกอบที่ 1 เรื่องการวิเคราะห์ Log และการมองเห็น (Log Visibility and Analysis)
1. การรวมศูนย์วิเคราะห์ Log web server หรือ Farm server เพื่อการรู้เท่าทันการโจมตีทางไซเบอร์
2. การมองเห็นค่า SSL ที่เกิดขึ้นผ่านการโจมตีเว็บไซต์
3. การใช้งานปกติและข้อมูลที่มีความเสี่ยงเพื่อทำการเก็บบันทึกข้อมูลตามกฎหมาย
4. การออกรายงานสถิติและการวิเคราะห์ผ่านแผนที่ภูมิศาสตร์
5. การเห็นค่าไอพีที่แท้จริงหลัง IP NAT (Behind IP NAT / local address)
6. การเห็นค่าไอพีที่แท้จริงหลังการผ่าน Proxy/Anonymous (Behind IP Proxy/Anonymous)
7. การเห็นค่าซอฟต์แวร์ ชนิดของบราวเซอร์และระบบปฏิบัติการ
8. การเก็บบันทึกประวัติ Session cookie
9. การค้นหาข้อมูลและการเลือกดูย้อนหลัง
องค์ประกอบที่ 2 เรื่องการระบุตัวตนนักโจมตีระบบ (Identify Real Attacker)
1. การระบุตำแหน่ง IP Geo-location ที่ได้จากฐานข้อมูลกลาง และแสดงผลผ่านแผนที่ภูมิสารสนเทศ
2. การระบุตำแหน่งที่แท้จริง Real location access จากละติจูด (latitude) และลองติจูด (longitude)
3. การระบุค่า IP Address / ASN ชื่อหน่วยงานองค์กร ชื่อประเทศ และชื่อเมือง
องค์ประกอบที่ 3 การประเมินความเสี่ยงอย่างต่อเนื่องเพื่อวิเคราะห์หาปัญหาระบบอย่างแท้จริง
1. การนำ Log จากระบบ NIDS (Network Intrusion Detection System) เพื่อนำมาวิเคราะห์หาปัญหาที่เกิดขึ้น
2. การนำ Log จากการทำ Passive Vulnerability Assessment เพื่อนำมาวิเคราะห์หาปัญหาที่เกิดขึ้น
3. การตรวจจับลักษณะการโจมตีโดยใช้มาตรฐาน OWASP เป็นค่ากำหนด
4. การตรวจจับภัยคุกคามโดยการเปรียบเทียบค่า Log files จาก IOC (Indicator of Compromise)
5. การแจ้งเตือน (Notice) เพื่อระบุปัญหาที่เกิดขึ้นผ่านเว็บบริหารจัดการ (Web management gui)
6. ตรวจจับไอพีแอดเดรสที่ทำการใช้เครื่องการสแกนอันกระทบต่อระบบการใช้งานได้ (Scanner Tools Detection)
7. ตรวจจับการ Brute Force ระบบผ่านช่องทาง Protocol อื่นที่มีความสำคัญต่อระบบได้
8. ตรวจจับปริมาณ Session จากแหล่งที่มาต้นทางไอพีแอดเดรสอันส่งผลกระทบต่อระบบได้
องค์ประกอบที่ 4 การแจ้งไขปัญหาฉุกเฉิน (Incident Response) และการป้องกันภัยคุกคามจากการโจมตีทางไซเบอร์ (Cyber Protection)
1. เมื่อพบการแจ้งเตือน (Alerts) สามารถสั่งระงับการเข้าถึงนักโจมตีระบบได้
2. รายงานสำหรับการแจ้งเตือน และแจ้งสถานะการณ์ความเสี่ยงที่พบ
3. การตั้งค่าการปิดกั้นชุดไอพีอันตราย
4. การตั้งค่าปิดกั้นการเข้าถึงในการอำพรางตัวตน (Anonymous)
5. แสดงค่าสถานะการปิดกั้นและการป้องกันภัยคุกคามทางไซเบอร์ที่เกิดขึ้น
นนทวัตต์ สาระมาน
SRAN Dev Team
08/02/60
วันเสาร์, เมษายน 11
Log ที่มีคุณภาพนั้นเป็นอย่างไร ตอนที่2
จากความเดิมตอนที่แล้ว ซึ่งทิ้งช่วงนานมาก ... ถือโอกาสนี้มาสานต่อเขียนให้จบ
Log files มีความสำคัญในการทำ "Incident Response" หรือภาษาไทยแปลได้ว่าการรับมือเมื่อเกิดสถานการณ์ฉุกเฉิน ซึ่งถือได้ว่าเป็นกระบวนการที่สำคัญที่ทุกองค์กรควรมีไว้
ดังนั้น Log files จึงต้องเก็บอย่างมีเหมาะสม และตรวจหาเหตุการณ์ที่เกิดได้
ที่กล่าวมาในตอนที่แล้วผมขอสรุปเพื่อสร้างเข้าใจดังต่อไปนี้
(1) Log files ที่เกิดจาก Local Host server ที่สำคัญ เช่น Authentication Server (Radius , LDAP) หรือการ Remote Access (VPN, RDP , SSH, FTP) , Proxy Server , Web Server , Internal Mail Server , Files Server เป็นต้น เหล่านี้ เราสามารถเก็บ Log ได้อย่างสมบูรณ์ได้ ไม่ยากเย็น เนื่องจากมาจากแหล่งที่มาของ Server ที่ตั้งอยู่กับเราเอง
ส่วนใหญ่ทุกองค์กรที่มีความพร้อมสามารถเก็บในส่วนนี้ได้
ซึ่งองค์กรไหนให้ความสำคัญมีงบประมาณในส่วนนี้ก็จะจัดเก็บได้ครบถ้วน
แต่มีจุดอันตรายที่อาจตกในบางจุดได้ เช่น Proxy Server ในอดีต องค์กรที่มีความพร้อมด้าน ICT นั้น ใช้ Proxy Server ในการทำ Caching เพื่อเพิ่มความเร็วในการเข้าถึงข้อมูลผ่าน HTTP และป้องกันภัยคุกคามเช่นพวก files ที่อาจติดเชื้อไวรัส จนมีสินค้าเกี่ยวกับการป้องกันภัยโดยทำตัวเป็น Proxy Server มาขายดิบขายดีในช่วงเวลาหนึ่ง ปัจจุบันการทำ Caching มีบทบาทลดลง เนื่องจากความเร็วอินเทอร์เน็ตที่สูงขึ้น Web Portal ขนาดใหญ่ลงทุนทำ CDN เช่น google , facebook , line แม้กระทั่ง pantip ก็ยังทำ CDN หมดแล้ว และ เว็บสำคัญใหญ่ๆ ตอนนี้เป็น HTTPS หมดแล้ว ป้องกันการ Strip ด้วย protocol HSTS ด้วย ดังนั้น Proxy Server ในองค์กรจึงแทบหมดความหมายไป ที่ผมกล่าวเช่นนี้เพราะ HTTPS ที่องค์กรต้องเพิ่มค่าใช้จ่าย (Cost) ในการทำ caching และ การ interception เพื่อตรวจหาภัยคุกคาม และ ค่าใช้จ่ายส่วนนั้นมากกว่าที่คิดมากครับ จึงอาจมีหลายองค์กร (ที่มีความพร้อมด้าน ICT) อาจไม่ลงทุนในส่วนนี้ก็เป็นไปได้
(2) Log file ที่เกิดจากอุปกรณ์ระบบเครือข่าย และระบบรักษาความมั่นคงปลอดภัยในระบบเครือข่าย อันได้แก่ Firewall , NIDS , NAC , Vulnerability Assessment / Management เป็นต้น ซึ่ง หากเป็นอุปกรณ์ Appliance สมัยใหม่ ก็จะมีค่า syslog ซึ่ง System admin สามารถที่จะทำการโยน Log file นั้นไปสู่อุปกรณ์เก็บ Log ที่ส่วนกลางได้
(3) Log ที่เกิดจากพฤติกรรมการใช้งานพนักงานภายใน ซึ่งส่วนนี้จริงๆแล้วก็เกิดจาก Firewall log ได้ หรือ Proxy log ได้ แต่ที่ผมยกมาเป็นหัวข้อนั้น เนื่องจากส่วนนี้เป็นปัญหาที่สุด เนื่องจากภัยคุกคามสมัยใหม่ได้มีการพัฒนาตัวในการส่งข้อมูลแบบเข้ารหัส (Encryption) เพื่อหลบการตรวจจับจากอุปกรณ์ด้านการรักษาความมั่นคงปลอดภัยชนิดต่างๆ ทั้งที่เป็นการเข้ารหัสผ่าน Protocol HTTPS , หรือทำ Tunnel VPN หรือ Tunnel SSH ออกไปสู่ข้างนอก ผ่าน port มาตรฐานที่ทุกองค์กรต้องเปิดออก
และเรื่องสำคัญสำหรับองค์กรไหนที่จำเป็นต้องใช้ Social Network อันนี้แทบไม่มีการเก็บ Log ถึงพฤติกรรมได้เลย อันเนื่องจากผู้ให้บริการ ที่เรียกว่า Content Provider นั้นอยู่ต่างประเทศทั้งหมดไม่ว่าเป็น Facebook , Line , google การเก็บเกี่ยวกับพฤติกรรมเหล่านี้จึงทำได้ยากขึ้น
ดังนั้น Log ที่มีคุณภาพ สำหรับองค์กร ที่ยังต้องใช้งาน Social Network จำเป็นต้องมองเห็นพฤติกรรมภายในการรับส่งข้อมูล HTTPS หรือไม่ ?
คำตอบ คือ จำเป็น แล้วเราจะทำอย่างไง ถึงจะเก็บข้อมูลตรงส่วนนี้ได้
ระดับ Firewall แบบ NG Next Generation ทุกตัวทำได้หมด แต่ราคาแพงสุดขั้ว และ Log ที่เก็บบันทึกในตัว Firewall หรือ Proxy ระดับสูงเหล่านี้ เมื่อดูที่ค่า syslog ของอุปกรณ์ก็จะพบว่ามีแต่ Log ด้านภัยคุกคาม (Threat data traffic log) จะ log พฤติกรรมทั่วไป ก็หามีไม่ เนื่องจากปริมาณ Log จะเยอะมาก
ดังนั้นในมุมการเก็บ Log ของต่างประเทศคือดูภัยคุกคามจริงๆ เช่นการแฮก การโจมตี Cyber attack เพื่อเยียวยาได้ทันท่วงที
แต่ Log สำหรับคนไทย กับต้องคำนึงถึง ภัยที่เกิดจากการเนื้อหาที่ส่งข้อมูลกัน เนื้อหานี้แหละเป็นภัยคุกคามด้านความมั่นคงของประเทศไทย ทั้งการหมิ่นประมาท การส่งภาพ คลิปเสียง และวิดีโอ การส่งข้อความไม่เหมาะสม หมิ่นต่อสถาบันและความมั่นคงของชาติ เป็นต้น ซึ่งต่างประเทศมองในจุดนี้ว่าเป็นลักษณะการทำ Lawful interception มากกว่า Log ที่ Centralization log management ที่เป็นอยู่ที่เน้นไปด้าน การเกิด Cyber attack , internal Fraud ที่เกิดขึ้นทางเทคนิค
แต่อย่างไรนั้นหากจำเป็นต้องเก็บ Log การใช้งาน Social network ภายในองค์กรจริงๆ นั้นสามารถทำได้
ซึ่งปัจจุบันทีมงาน SRAN เราได้พัฒนาตัวเก็บ Log ประเภทนี้ขึ้นมาเรียกว่า "Net Approved" ซึ่งราคาเข้าถึงได้ และเก็บข้อมูล Social Network จากการถอดค่า HTTPS ออกเป็นข้อมูลที่อ่านออกได้
ปัจจุบันทางเราได้ทำอยู่รุ่นเดียว หากสนใจติดต่อได้ที่ info at gbtech.co.th ได้ตลอด
นนทวรรธนะ สาระมาน
Nontawattana Saraman
SRAN Dev Team
Log files มีความสำคัญในการทำ "Incident Response" หรือภาษาไทยแปลได้ว่าการรับมือเมื่อเกิดสถานการณ์ฉุกเฉิน ซึ่งถือได้ว่าเป็นกระบวนการที่สำคัญที่ทุกองค์กรควรมีไว้
ดังนั้น Log files จึงต้องเก็บอย่างมีเหมาะสม และตรวจหาเหตุการณ์ที่เกิดได้
ที่กล่าวมาในตอนที่แล้วผมขอสรุปเพื่อสร้างเข้าใจดังต่อไปนี้
(1) Log files ที่เกิดจาก Local Host server ที่สำคัญ เช่น Authentication Server (Radius , LDAP) หรือการ Remote Access (VPN, RDP , SSH, FTP) , Proxy Server , Web Server , Internal Mail Server , Files Server เป็นต้น เหล่านี้ เราสามารถเก็บ Log ได้อย่างสมบูรณ์ได้ ไม่ยากเย็น เนื่องจากมาจากแหล่งที่มาของ Server ที่ตั้งอยู่กับเราเอง
ส่วนใหญ่ทุกองค์กรที่มีความพร้อมสามารถเก็บในส่วนนี้ได้
ซึ่งองค์กรไหนให้ความสำคัญมีงบประมาณในส่วนนี้ก็จะจัดเก็บได้ครบถ้วน
แต่มีจุดอันตรายที่อาจตกในบางจุดได้ เช่น Proxy Server ในอดีต องค์กรที่มีความพร้อมด้าน ICT นั้น ใช้ Proxy Server ในการทำ Caching เพื่อเพิ่มความเร็วในการเข้าถึงข้อมูลผ่าน HTTP และป้องกันภัยคุกคามเช่นพวก files ที่อาจติดเชื้อไวรัส จนมีสินค้าเกี่ยวกับการป้องกันภัยโดยทำตัวเป็น Proxy Server มาขายดิบขายดีในช่วงเวลาหนึ่ง ปัจจุบันการทำ Caching มีบทบาทลดลง เนื่องจากความเร็วอินเทอร์เน็ตที่สูงขึ้น Web Portal ขนาดใหญ่ลงทุนทำ CDN เช่น google , facebook , line แม้กระทั่ง pantip ก็ยังทำ CDN หมดแล้ว และ เว็บสำคัญใหญ่ๆ ตอนนี้เป็น HTTPS หมดแล้ว ป้องกันการ Strip ด้วย protocol HSTS ด้วย ดังนั้น Proxy Server ในองค์กรจึงแทบหมดความหมายไป ที่ผมกล่าวเช่นนี้เพราะ HTTPS ที่องค์กรต้องเพิ่มค่าใช้จ่าย (Cost) ในการทำ caching และ การ interception เพื่อตรวจหาภัยคุกคาม และ ค่าใช้จ่ายส่วนนั้นมากกว่าที่คิดมากครับ จึงอาจมีหลายองค์กร (ที่มีความพร้อมด้าน ICT) อาจไม่ลงทุนในส่วนนี้ก็เป็นไปได้
(2) Log file ที่เกิดจากอุปกรณ์ระบบเครือข่าย และระบบรักษาความมั่นคงปลอดภัยในระบบเครือข่าย อันได้แก่ Firewall , NIDS , NAC , Vulnerability Assessment / Management เป็นต้น ซึ่ง หากเป็นอุปกรณ์ Appliance สมัยใหม่ ก็จะมีค่า syslog ซึ่ง System admin สามารถที่จะทำการโยน Log file นั้นไปสู่อุปกรณ์เก็บ Log ที่ส่วนกลางได้
(3) Log ที่เกิดจากพฤติกรรมการใช้งานพนักงานภายใน ซึ่งส่วนนี้จริงๆแล้วก็เกิดจาก Firewall log ได้ หรือ Proxy log ได้ แต่ที่ผมยกมาเป็นหัวข้อนั้น เนื่องจากส่วนนี้เป็นปัญหาที่สุด เนื่องจากภัยคุกคามสมัยใหม่ได้มีการพัฒนาตัวในการส่งข้อมูลแบบเข้ารหัส (Encryption) เพื่อหลบการตรวจจับจากอุปกรณ์ด้านการรักษาความมั่นคงปลอดภัยชนิดต่างๆ ทั้งที่เป็นการเข้ารหัสผ่าน Protocol HTTPS , หรือทำ Tunnel VPN หรือ Tunnel SSH ออกไปสู่ข้างนอก ผ่าน port มาตรฐานที่ทุกองค์กรต้องเปิดออก
และเรื่องสำคัญสำหรับองค์กรไหนที่จำเป็นต้องใช้ Social Network อันนี้แทบไม่มีการเก็บ Log ถึงพฤติกรรมได้เลย อันเนื่องจากผู้ให้บริการ ที่เรียกว่า Content Provider นั้นอยู่ต่างประเทศทั้งหมดไม่ว่าเป็น Facebook , Line , google การเก็บเกี่ยวกับพฤติกรรมเหล่านี้จึงทำได้ยากขึ้น
ดังนั้น Log ที่มีคุณภาพ สำหรับองค์กร ที่ยังต้องใช้งาน Social Network จำเป็นต้องมองเห็นพฤติกรรมภายในการรับส่งข้อมูล HTTPS หรือไม่ ?
คำตอบ คือ จำเป็น แล้วเราจะทำอย่างไง ถึงจะเก็บข้อมูลตรงส่วนนี้ได้
ระดับ Firewall แบบ NG Next Generation ทุกตัวทำได้หมด แต่ราคาแพงสุดขั้ว และ Log ที่เก็บบันทึกในตัว Firewall หรือ Proxy ระดับสูงเหล่านี้ เมื่อดูที่ค่า syslog ของอุปกรณ์ก็จะพบว่ามีแต่ Log ด้านภัยคุกคาม (Threat data traffic log) จะ log พฤติกรรมทั่วไป ก็หามีไม่ เนื่องจากปริมาณ Log จะเยอะมาก
ดังนั้นในมุมการเก็บ Log ของต่างประเทศคือดูภัยคุกคามจริงๆ เช่นการแฮก การโจมตี Cyber attack เพื่อเยียวยาได้ทันท่วงที
แต่ Log สำหรับคนไทย กับต้องคำนึงถึง ภัยที่เกิดจากการเนื้อหาที่ส่งข้อมูลกัน เนื้อหานี้แหละเป็นภัยคุกคามด้านความมั่นคงของประเทศไทย ทั้งการหมิ่นประมาท การส่งภาพ คลิปเสียง และวิดีโอ การส่งข้อความไม่เหมาะสม หมิ่นต่อสถาบันและความมั่นคงของชาติ เป็นต้น ซึ่งต่างประเทศมองในจุดนี้ว่าเป็นลักษณะการทำ Lawful interception มากกว่า Log ที่ Centralization log management ที่เป็นอยู่ที่เน้นไปด้าน การเกิด Cyber attack , internal Fraud ที่เกิดขึ้นทางเทคนิค
แต่อย่างไรนั้นหากจำเป็นต้องเก็บ Log การใช้งาน Social network ภายในองค์กรจริงๆ นั้นสามารถทำได้
ซึ่งปัจจุบันทีมงาน SRAN เราได้พัฒนาตัวเก็บ Log ประเภทนี้ขึ้นมาเรียกว่า "Net Approved" ซึ่งราคาเข้าถึงได้ และเก็บข้อมูล Social Network จากการถอดค่า HTTPS ออกเป็นข้อมูลที่อ่านออกได้
ปัจจุบันทางเราได้ทำอยู่รุ่นเดียว หากสนใจติดต่อได้ที่ info at gbtech.co.th ได้ตลอด
นนทวรรธนะ สาระมาน
Nontawattana Saraman
SRAN Dev Team
วันอาทิตย์, กุมภาพันธ์ 1
Log ที่มีคุณภาพนั้นเป็นอย่างไร ตอนที่ 1
ซึ่งไม่ต่างอะไรกับ กล้องวงจรปิด (CCTV) ในร้านค้า เช่นเซเว่น อีเลฟเว่น (7 eleven) ก็จะมีกล้องวงจรปิด เพื่อเก็บบันทึกหลักฐานหากพบเหตุการณ์อันไม่ปกติ จะทำการสืบค้นหา วันเวลา หรือช่วงเวลา ที่เกิดเหตุเพื่อใช้เป็นหลักฐานในการหาผู้ที่กระทำความผิดมาลงโทษ
เช่นเดียวกันในระบบคอมพิวเตอร์ก็มีการเก็บบันทึก ที่เรียกว่า Log Files
Log จะเฉลยสาเหตุ เมื่อเกิดปัญหากับระบบคอมพิวเตอร์ รวมถึงระบบเครือข่ายคอมพิวเตอร์ หรือในกฏหมายเรียกว่า "ข้อมูลจราจรคอมพิวเตอร์"
ยามใดที่เกิดอันไม่ปกติเกิดขึ้น เราจำเป็นต้องต้องใช้ Log files ในการสืบค้นเพื่อหาที่มาที่ไปเหตุการณ์จากอดีตอันเป็นสาเหตุของปัญหา ร่องรอยของการกระทำความผิด
(1) การกระทำความผิดที่เกิดจากพฤติกรรมมนุษย์ (Human Instinct) เช่น การหลอกลวง , การขโมยข้อมูลด้วยเจตนา (ตั้งใจกระทำ) , การดักรับข้อมูลด้วยเจตนา (ตั้งใจกระทำ) ด้วยอาการ รัก โลภ โกรธ หลง อันเป็นเกิดจากปัจเจกบุคคล เป็นต้น
(2) การการะทำความผิดที่เกิดจากโปรแกรมไม่พึ่งประสงค์ (Malicious Software) เช่น การติดเชื้อไวรัสคอมพิวเตอร์ ที่เกิดเป็น "Cyber Attack" จากเครื่องหนึ่งขยายไปยังระบบเครือข่าย และไปยันระดับประเทศได้ในชั่วข้ามคืน เป็นต้น
ทั้งหมดนี้จะนำมาสู่การวิเคราะห์ถึงสาเหตุการเกิดเหตุการณ์และการลำดับเรื่องราวที่มีการบันทึกลงหากมีการจัดเก็บที่ถูกต้องจะมีประโยชน์ต่อการปฏิบัติงานได้อย่างมาก จึงถือได้ว่า Log File เป็นสิ่งสำคัญ ที่ทุกๆองค์กรควรมีเก็บบันทึกไว้ ตามกำลังงบประมาณที่มี
"การเก็บ Log เป็นสิ่งจำเป็นที่ต้องมีทุกองค์กร"
การเก็บ Log ไม่ใช่เพื่อจับผิดใคร ไม่ว่าเป็น กล่องดำในเครื่องบิน หรือ กล้องวงจรปิดในร้านค้า จนมาถึง Log file ในระบบคอมพิวเตอร์ จุดประสงค์ล้วนเหมือนกัน นั้นคือเป็นการเก็บบันทึกเรื่องราว เพื่อว่าเมื่อเกิดเหตุการณ์ที่ไม่พึ่งประสงค์ (1)และ(2) จะสามารถสืบค้นหาความเชื่อมโยงและค้นพบสาเหตุที่ถูกต้องได้ คงไม่มีใครมานั่งดูเหตุการณ์เหล่านี้ได้ตลอดเวลา ซึ่งไม่ก่อให้เกิดประโยชน์อันใดกับเวลาที่ต้องสูญเสียไป
ภาพการแสดงผล SRAN รุ่น Hybrid เป็นค่า RAW log ที่ได้รับค่า syslog
จาก Network Devices
ในอดีตตัวนี้มีการวางจำหน่ายและใช้งานตั้งแต่ช่วงปี
2551เป็นต้นไป
ในปัจจุบันการเก็บข้อมูลจราจรทางคอมพิวเตอร์ ได้ถูกบังคับให้มีการเก็บเพื่อว่าหากมีเหตุการณ์ต่างๆที่ไม่คาดคิดและอาจจะสร้างความเสียหายต่อบุคคลและองค์กรทั้งด้านเศรษฐกิจและสังคมนั้นเป็นสิ่งที่ทุกหน่วยงานไม่ว่าภาครัฐและเอกชน จำเป็นเก็บข้อมูลจราจรทางคอมพิวเตอร์
เนื่องด้วยเทคโนโลยีมีการปรับเปลี่ยนแปลงปัญหาใหม่และทำให้การเก็บ Log ตาม พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี พ.ศ. 2550 และ ตัวฉบับร่างใหม่ ปี พ.ศ. 2558 นั้นก็คือการที่ไม่สามารถมองเห็นข้อมูลที่เข้ารหัสผ่าน Protocol HTTPS ได้ซึ่ง Protocol ดังกล่าวจะเห็นได้ว่าใช้กับพวก Content Provider รายใหญ่ไม่ว่าเป็น Google , Facebook , Line , Twitter และอื่นๆก็จะเข้ารหัสกันหมดแล้ว ซึ่งส่วนมาก Social Network ที่เป็นที่นิยมสำหรับคนไทย จะใช้ Protocol ที่ติดต่อสื่อสารแบบเข้ารหัสทั้งเส้นทางหมดทุกตัว ไม่ว่าเป็น Google , Facebook , Line , Twitter , Youtube ทำให้ไม่สามารถแกะดูถึงการการกระทำได้ด้วยวิธีปกติ
เป็นผลทำให้ในองค์กรที่ต้องใช้งานอินเทอร์เน็ตแล้วยังมีความจำเป็นในการติดต่อสื่อสารโดยใช้ Google , Facebook , Line , Twitter และ Youtube นั้นก็ต้องมีการจัดเก็บ Log File ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ไม่ว่าเป็นฉบับเก่าหรือฉบับใหม่ นั้นจำเป็นต้องมีการปรับตัวในบริษัทหรือหน่วยงานที่มีพนักงานมากกว่า 1 คนขึ้นไปจำเป็นต้องมีการเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์เพื่อแยกแยะได้ว่าใครเป็นใครใครคือผู้ใช้งาน เพื่อที่ให้ทราบถึงพฤติกรรมการใช้งานและการกระทำที่สามารถตรวจสอบได้และใช้เป็นหลักฐานประกอบการทำงานได้อย่างมีประสิทธิภาพ
เพื่อสร้างความเข้าใจถึงการเก็บ Log อย่างมีคุณภาพนั้นทำได้อย่างไรนั้น ซึ่งก่อนจะไปถึงจุดนั้นผมขอทำการอธิบายถึง ประเภทการเก็บ Log โดยแบ่งได้ดังนี้
1. การเก็บ Log สำหรับองค์กรขนาดใหญ่ ที่มีบริการสาธารณะ
2. การเก็บ Log สำหรับองค์กรขนาดกลาง ที่มีบริการสาธารณะ และไม่มีบริการสาธารณะ
3. การเก็บ Log สำหรับองค์กรขนาดเล็ก ที่มีบริการสาธารณะ และไม่มีบริการสาธารณะ
4. การเก็บ Log สำหรับผู้ให้บริการอินเทอร์เน็ต ISP
1. การเก็บ Log สำหรับองค์กรใหญ่ ที่มีบริการสาธารณะ (Public Access)
คำว่าบริการสาธารณะ นั้นคือ การที่ใครก็ได้ในโลกนี้สามารถเข้าถึงข้อมูลนี้ได้ผ่านช่องทางอินเทอร์เน็ต เช่น Web site ที่เป็น Public Domain , E-mail Server ที่เป็น Public Domain และอาจมีเช่นพวก File Server ที่เปิด Public Domain/IP , SSH , Remote Server อื่นๆที่สามารถเข้าถึงได้ผ่านช่องทางอินเทอร์เน็ต
องค์กรในระดับนี้ มีเกณฑ์วัดดังนี้
(1) มีอุปกรณ์ Network Devices ที่มากกว่า 1 จุดที่มีการเชื่อมต่ออินเทอร์เน็ต เช่นมี Public IP ในองค์กรมากกว่า 1 ค่า , มีสาขาในการ access ข้อมูล และมีการติดต่อสื่อสารผ่านอุปกรณ์หลายชนิด เช่น มี Router , Firewall , NIDS/IPS , Load Balancing เป็นต้น
(2) มีเครื่องแม่ข่าย (Server) ที่มีความสัมพันธ์กับการใช้งานของบุคคลากรในองค์กรมากกว่า 1 คนขึ้น และกระทบต่อธุรกิจเมื่อมีการหยุดชะงัก เช่น AD (Active Directory หรือ Domain Controller) , Proxy Server และ Files Server เป็นต้น
และ ที่มีการตั้งชุดค่า IP Public เพื่อเข้าถึงเครื่องแม่ข่าย เช่น Web Server , Mail Server ขององค์กรเอง
(3) เครื่องลูกข่ายที่ใช้งาน (Client) มีจำนวนเครื่องมากกว่า 200 เครื่องขึ้นไป เพื่อได้คำนวณถึง ค่า concurrent session , ปริมาณ Throughput , ปริมาณ Bandwidth ของการใช้งานได้เป็นอย่างน้อย
(เกณฑ์ในการวัดนี้ ผมประมาณจากประสบการณ์ส่วนตัว ไม่ได้อิงกับข้อมูลอื่นใด )
จะต้องมีการเก็บ Log อย่างน้อย 3 ส่วน ดังนี้
1.1 ส่วนที่เป็นการใช้งานภายในองค์กรเอง เนื่องจากองค์กรระดับนี้จะต้องมีเครือข่ายภายใน หรือเรียกว่า LAN โดยมีการเชื่อมต่ออินเทอร์เน็ตให้กับเครื่องคอมพิวเตอร์ทั้งที่เป็นพนักงานและเครื่องแม่ข่ายที่ใช้งานเช่น
- อุปกรณ์เครือข่าย (Network Device) เช่น Firewall , Router อุปกรณ์เสริมที่สร้างความปลอดภัยเช่น NIDS/IPS (Network Intrusion Detection and Prevention System)
- เครื่องแม่ข่ายที่สำคัญ (Server) เช่น Proxy Server , Radius Server หรือ Domain Controller , Anti-virus server , File Sharing , Print Server และระบบงาน ERP อื่นๆ เป็นต้น ที่ไม่เปิดให้ภายนอกองค์กรเข้าถึงข้อมูล
- เครื่องลูกข่าย (Client)
1.2 ส่วนที่เป็นการใช้งานภายนอกองค์กร และให้บริการสาธารณะ อันได้แก่ Web Site ที่เผยแพร่ข้อมูลข่าวสารองค์กร ไมว่าเป็นพวกที่จดโดเมน *.go.th , *.or.th , *.co.th , *.com , *.net หรือ *.org
1.3 ส่วนที่ใช้ Social Network ในการสื่อสารองค์กร ได้แก่ใช้ Line , Youtube , Google , Twitter , Instragram เป็นต้น
ซึ่ง Log ของพวกนี้ผมขอเรียกว่า Log จาก Content Provider ซึ่ง Log ส่วนนี้เราไม่สามารถนำมาได้เนื่องจากเป็นบริการจากต่างประเทศ (ส่วนนี้ยังเป็นปัญหาในการจัดเก็บเนื่องจากการติดต่อสื่อสารมีการเข้ารหัส)
การจัดเก็บ Log ต้องคำนึง ถึง 3 ส่วน
โดยส่วนใหญ่จะใช้ SIEM (Security Information Event Management) มาเก็บซึ่งราคาเริ่มต้น 7 หลัก
อันนี้ยังไม่รวมการติดตั้งการออกแบบ และการเก็บบันทึกข้อมูล ไฟล์ที่ต้องใช้เก็บจากอุปกรณ์ Storage ที่ออกแบบมาเพื่อการเก็บที่เหมาะสมตรงตามระยะเวลาตามกฎหมายกำหนดได้ ซึ่งในประเทศไทย ที่ทำแบบนี้จริงๆ และ Implement ถูกต้อง มีไม่มากเพราะต้องใช้ ทุนในการจัดซื้อมาก
ถึงมี หรือลงทุนไปแล้วก็ไม่ได้หมายว่า "Log ที่ได้เก็บบันทึกไว้นั้นจะมีคุณภาพ"
เพราะที่หลายคนเข้าใจที่คิดว่าการเก็บ Raw log ให้ครบนั้นจะเป็นการดี แต่ความเป็นจริงแล้ว เราต้องเผื่อเรื่องระบบจัดเก็บที่รองรับปริมาณข้อมูลของ Log จากอุปกรณ์ Devices , Server , Content อื่นๆ ที่ผมยกตัวอย่างมาในข้อ 1.1 - 1.3 ไป ได้ เอาเข้าจริงๆ ก็จะไปหยุดที่ต้องเพิ่ม Storage จนไม่สามารถทำให้ตัวอ่านข้อมูลทำงานได้อย่างเต็มประสิทธิภาพ สุดท้ายก็ไม่สามารถหาข้อมูลอะไรได้อย่างสะดวก ซึ่งดูแล้วอาจเป็นการลงทุนที่เกินความจำเป็น และไม่ได้ผลลัพธ์ตามต้องการ
ท่านลองหันไปดูว่าองค์กรของท่านถ้าเข้าข่ายเป็นองค์กรขนาดใหญ่ นั้นเมื่อเกิดเหตุการณ์ที่ต้องการค้นหา หรือ ต้องสงสัยที่เข้าข่ายการกระทำความผิดฯ ไม่ว่าเป็นการทุจริตของพนักงานในองค์กร หรือ การสร้างความเสียหายให้กับองค์กรโดยการโพสข้อมูลหมิ่นประมาท หรือเกิดภัยคุกคามทาง Cyber Attack หรือแม้กระทั่งติดเชื้อไวรัสในเครื่องคอมพิวเตอร์ และอื่นๆ ที่เมื่อเกิดเรื่องมักจะลงที่ Log เพื่อทำการค้นหา เมื่อค้นหาแล้วไม่เจอทั้งที่ได้ทำการลงทุนติดตั้งและซื้อเทคโนโลยีมากด้วยมูลค่าที่สูง
ซึ่งปัญหาเหล่านี้จะไม่เกิด หากเราเข้าใจการเก็บ Log อย่างมีคุณภาพ
ในตอนหน้าผมจะเริ่มการจัดเก็บ Log อย่างมีคุณภาพ นั้นทำได้อย่างไร ?
ให้เกิดประโยชน์สูงสุดกับองค์กรของเรา
โปรดติดตามตอนต่อไป ...
Nontawattana Saraman
นนทวรรธนะ สาระมาน
1 / 02 / 58
วันจันทร์, มกราคม 19
ในที่สุดเราก็มองเห็น HTTPS ด้วย SRAN {{ Net Approve }}
ก่อนหน้านี้ผมได้กล่าวไปแล้วเรากำลังอยู่ในยุคจุดจบ sniffer การดักรับข้อมูลทางระบบเครือข่าย จะไม่สามารถมองเห็นได้ง่ายอีกต่อไป เนื่องจากทุก Application ในอนาคตจะมีการเข้ารหัสผ่าน Protocol ที่ปลอดภัยมากขึ้น
จึงเป็นโจทย์ใหญ่ที่เราต้องเตรียมตัวรับมือ
- ไม่ว่าการเข้ารหัสของมัลแวร์บางชนิดที่ส่งข้อมูลผ่าน SSL หรือ HTTPS ออกไปนอกองค์กร
- การที่ไม่สามารถยืนยันการกระทำความผิดได้ภายในองค์กรและหน่วยงานที่ยังต้องใช้พวก Social Network ในการทำงาน อันเนื่องจากไม่สามารถส่ง ค่า syslog จาก Content Provider ในต่างประเทศส่งมาให้เราเก็บข้อมูลได้
- การไม่สามารถปิดกั้นเว็บเพจ URI ผ่าน HTTPS ได้
ผมและทีมงานได้ค้นคว้าและคิดว่าเราต้องทำอะไรสักอย่างเพื่อการมองเห็นสิ่งนี้
และการมองเห็นนี้จะไม่ได้ไปใช้ในทางที่ผิด แต่กลับเป็นประโยชน์กับหน่วยงาน องค์กร และบริษัท ที่จำเป็นต้องมองเห็นพฤติกรรมดังกล่าว
"HTTPS ควรมองเห็น" เพราะเราไม่มีทางได้ Log จากต่างประเทศได้ตลอดทุกกรณี มันเป็นเกมส์ด้านความมั่นคงระดับประเทศ แต่การมองเห็น HTTPS มันควรเกิดขึ้นกับองค์กร หรือบริษัท มิใช่ระดับประเทศเพราะนั้นมีคนอีกมากมายอาจได้รับผลกระทบทั้งที่เขาเสียค่าบริการ แต่อย่างไรก็ดีเสรีภาพก็ย่อมมาด้วยความรับผิดชอบ
ซึ่งผมชัดเจนว่า "ไม่ส่งเสริมให้ทำที่ Gateway ระดับประเทศนะครับ" แต่ควรจะทำในระดับองค์กรการเก็บ Log ที่ควรระบุตัวตนผู้ใช้งานที่แท้จริงได้ หรือไม่ก็ปิดกั้นการเข้าถึง Application ที่ไม่สามารถมองเห็นได้ไปเลย ซึ่งจะทำได้เฉพาะในระดับองค์กร ห้างร้าน โรงเรียน บริษัทขนาดเล็ก และขนาดกลาง หรือพื้นที่มีความเสี่ยงในการกระทำความผิด อันได้แก่ Free wifi ร้านอินเทอร์เน็ต เป็นต้น ส่วนองค์กรขนาดใหญ่ต้องมีการศึกษาและออกแบบระบบก่อนติดตั้งเครื่องมือ
จึงเป็นโจทย์ใหญ่ที่เราต้องเตรียมตัวรับมือ
- ไม่ว่าการเข้ารหัสของมัลแวร์บางชนิดที่ส่งข้อมูลผ่าน SSL หรือ HTTPS ออกไปนอกองค์กร
- การที่ไม่สามารถยืนยันการกระทำความผิดได้ภายในองค์กรและหน่วยงานที่ยังต้องใช้พวก Social Network ในการทำงาน อันเนื่องจากไม่สามารถส่ง ค่า syslog จาก Content Provider ในต่างประเทศส่งมาให้เราเก็บข้อมูลได้
- การไม่สามารถปิดกั้นเว็บเพจ URI ผ่าน HTTPS ได้
ผมและทีมงานได้ค้นคว้าและคิดว่าเราต้องทำอะไรสักอย่างเพื่อการมองเห็นสิ่งนี้
และการมองเห็นนี้จะไม่ได้ไปใช้ในทางที่ผิด แต่กลับเป็นประโยชน์กับหน่วยงาน องค์กร และบริษัท ที่จำเป็นต้องมองเห็นพฤติกรรมดังกล่าว
"HTTPS ควรมองเห็น" เพราะเราไม่มีทางได้ Log จากต่างประเทศได้ตลอดทุกกรณี มันเป็นเกมส์ด้านความมั่นคงระดับประเทศ แต่การมองเห็น HTTPS มันควรเกิดขึ้นกับองค์กร หรือบริษัท มิใช่ระดับประเทศเพราะนั้นมีคนอีกมากมายอาจได้รับผลกระทบทั้งที่เขาเสียค่าบริการ แต่อย่างไรก็ดีเสรีภาพก็ย่อมมาด้วยความรับผิดชอบ
ซึ่งผมชัดเจนว่า "ไม่ส่งเสริมให้ทำที่ Gateway ระดับประเทศนะครับ" แต่ควรจะทำในระดับองค์กรการเก็บ Log ที่ควรระบุตัวตนผู้ใช้งานที่แท้จริงได้ หรือไม่ก็ปิดกั้นการเข้าถึง Application ที่ไม่สามารถมองเห็นได้ไปเลย ซึ่งจะทำได้เฉพาะในระดับองค์กร ห้างร้าน โรงเรียน บริษัทขนาดเล็ก และขนาดกลาง หรือพื้นที่มีความเสี่ยงในการกระทำความผิด อันได้แก่ Free wifi ร้านอินเทอร์เน็ต เป็นต้น ส่วนองค์กรขนาดใหญ่ต้องมีการศึกษาและออกแบบระบบก่อนติดตั้งเครื่องมือ
"ระดับองค์กรทำได้เลย แต่ระดับประเทศยังไม่แนะนำ"
ภาพ ห้องปฎิบัติการ (LAB) เล็กๆจากงบประมาณจำกัดของเรา ที่ใช้ทำการทดสอบ SSL Capture บนระบบเครือข่าย
ภาพการติดตั้งยังคงเป็นแบบ Transparent โดยใช้อุปกรณ์เสริมเช่น อุปกรณ์ Net optics /Network TAP
เราพัฒนาบน SRAN รุ่น Hybrid แต่เราไม่ทำการรับ syslog มีการเปลี่ยน Function การทำงานให้มีการระบุตัวตนการใช้งานก่อนถึงจะเข้าถึงอินเทอร์เน็ตได้
เราตั้งชื่อตัวใหม่นี้ว่า "Net Approve" ผมตั้งใจเป็นชื่อนี้ เนื่องจากมันต้องยืนยันบางสิ่งบางอย่างก่อนได้รับการเข้าถึงข้อมูลหรือออนไลน์
โดยมีฟังชั่นการทำงานที่เพิ่มมา ดังนี้คือ
(1) การ Redirect traffic เพื่อการ Authentication โดยต้องมี accounting ในระบบและยืนยันการใช้งานโดย Data Owner ในองค์กร
(2) ตรวจความเคลื่อนไหวและเครื่องผิดปกติ (Rouge Detection) เครื่องแปลกปลอมในองค์กร
ทั้งนี้รวมถึงเครื่องที่มีโอกาสติดเชื้อมัลแวร์ (Malware) และ บอตเน็ต (Botnet) ด้วยเทคนิค "Passive Inventory"
(3) การมองเห็นข้อมูลจราจรแบบ SSL ที่ผ่าน HTTPS พร้อมการระบุตัวตน ด้วยเทคนิค "SSL Capture" โดยไม่ทำให้บราวเซอร์ของผู้ใช้งานมองเห็นว่าเป็นใบรับรองความปลอดภัยที่ถูกต้อง (หน้าจอ https เป็นสีเขียว)
(4) การเก็บบันทึกข้อมูลจราจรที่รองรับได้ตาม พรบ. คอมพิวเตอร์ ทั้งฉบับเก่าและฉบับร่างใหม่ พร้อมการยืนยันการเข้าถึงและสิทธิในการเข้าถึงชั้นข้อมูล
(5) การสรุปปริมาณ Application Traffic ที่ใช้ในองค์กร เป็นเมนูใหม่เรียกว่า "Application Monitoring" จะทำให้เราทราบถึงปริมาณ Bandwidth แต่ละ Application ที่ใช้ในองค์กรได้
ภาพฮาร์ดแวร์ต้นแบบ {{ Net Approve }}
ภาพหน้าแสดงข้อมูลของ SRAN : {{ Net Approve }} ผลิตภัณฑ์ใหม่ของกลุ่ม SRAN กับการมองเห็น HTTPS หรือ SSL ได้
จากภาพจะพบว่าตอบได้ครบถ้วน Who , What , Where , When Why (How)
ในบริษัทแห่งหนึ่งที่ต้องการเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ ตามกฎหมาย ไม่ว่าเป็นกฎหมายเก่าหรือที่จะเกิดขึ้นใหม่ สิ่งสำคัญก็คือการระบุตัวผู้กระทำได้ ไม่เช่นนั้นก็ไม่เกิดประโยชน์ในการหาหลักฐานเมื่อเกิดเหตุการณ์ที่ต้องการขอดู Log file ย้อนหลัง
บริษัท หรือ หน่วยงานต่างๆ ก็ถือได้ว่าเป็นผู้ให้บริการ (ที่หมายถึงผู้ให้บริการ ก็เนื่องจากมีผู้ใช้งานมากกว่า 1 คน) โดยมีพนักงาน หรือบุคลากรในองค์กรนั้น เป็นผู้ใช้บริการ IP ที่ได้รับจาก ISP นั้นเมื่อใช้งานต้องสามารถระบุได้ว่าใคร ทำอะไร ที่ไหน อย่างไร
ถึงเป็น Log file ที่มีคุณภาพ
Log files ที่ดีต้องระบุตัวตนผู้ใช้งานพร้อมทั้งทราบถึงการกระทำสิ่งใดอยู่ได้ หากเก็บเยอะ แถมยังลงทุนสูง แต่ระบุส่วนนี้ไม่ได้ จะไม่เกิดประโยชน์เลย ในการจัดทำเรื่องนี้ต้องคำนึงถึงส่วนนี้ให้มาก ไม่เช่นนั้นจะเป็นการลงทุนโดยไม่เกิดประโยชน์
"สำคัญที่สุดคือเมื่อเกิดเหตุอันไม่พึ่งประสงค์ ต้องรู้ให้ได้ว่าคือใคร เป็นผู้กระทำ"
ภาพหน้าจอผู้ใช้งานในองค์กรเมื่อเข้า facebook (เพจ https://www.facebook.com/Defamily.Router จะไม่พบความผิดปกติ
ภาพแสดงหน้าจอ Passive Inventory เทคนิคใหม่ที่เราไม่จำเป็นต้องใช้ Protocol ประเภท Network Management หรือ SNMP เราใช้แบบ Agent less คือไม่ต้องลงซอฟต์แวร์ใดๆ แต่สามารถเก็บข้อมูลบนระบบเครือข่ายได้
หน้าจอ Application Monitoring ที่สามารถบ่งบอกถึง Application ที่ผู้ใช้งานระบบสารสนเทศในองค์กรใช้ปริมาณ Bandwidth ซึ่งจะทำให้เราทราบถึงค่าการใช้งานที่เกินความจำเป็นได้
เราคาดว่า Net Approve จะพร้อมจำหน่ายในเดือนเมษายน ปีนี้
นนทวรรธนะ สาระมาน
Nontawattana Saraman
19/01/58
วันอาทิตย์, กุมภาพันธ์ 7
รู้ทัน sniffer
ผมตั้งใจที่จะเขียนบทความนี้ขึ้นต่อเนื่องจากบทควาที่แล้วเรื่องข้อเท็จจริงในการดักข้อมูล sniffer นั้นมีคนเข้ามาจนถึงเวลานี้ที่ผมเขียนบทความใหม่ถึง 480 ครั้ง (ผลลัพธ์จากระบบ SRAN Data Safehouse) ซึ่งมากกว่าที่คิดไว้มาก ประกอบกับเมื่อวันที่ 4 กุมภาพันธ์ที่ผ่านมาผมได้มีโอกาสได้ร่วมออกงาน Information Security Day ที่กระทรวงกลาโหมจัดขึ้น ในงานนี้ถึงแม้ผมไม่ได้บรรยายแต่ได้ร่วมตอบคำถาม ในวันนั้นมีผู้มีเกียรติหลายท่านได้ตั้งคำถามและตอบกันในช่วงบ่าย ผมยอมรับว่าทำหน้าที่ถ่ายทอดได้ไม่ดี เนื่องจากมีเวลาจำกัดในการตอบคำถาม จึงอยากแก้ตัวโดยเขียนอธิบายเพิ่มในบทความนี้ ในชื่อตอน "รู้ทัน sniffer"
หลายคนคงสงสัยกับคำว่า sniffer ไม่น้อย .. และอาจเกิดคำถามว่า sniffer คืออะไรกันแน่ เกี่ยวกับการดักข้อมูลอย่างไร ? sniffer นั้นมีคุณหรือโทษ? แล้วเราจะรู้ได้อย่างไรว่ามีคนดักข้อมูลเราอยู่ หรือเราจะรู้ได้อย่างไรว่ามีใครคอย sniff เราอยู่บ้าง ? วันนี้เรามาเรียนรู้ sniffer แบบถึงแก่นกันดีกว่าครับ
sniffer เป็นชื่อที่เป็นทางการ ซึ่งไม่ว่าจะคุยกันภาษาของชาติไหนๆ ก็มักจะเข้าใจคำนี้ เช่นเดียวกับคำว่า Hack ซึ่งถือว่าเป็น De facto หรือเป็นคำมาตราฐานที่สากลรู้จักกัน เป็นต้น
sniffer คือ โปรแกรมที่ใช้ในการวิเคราะห์กระแสข้อมูล แต่เรามักจะเข้าใจในทิศทางเดียวคือเป็นโปรแกรมที่ใช้ในการดักฟังข้อมูล โดยพฤติกรรมการนี้เรียกว่า "sniff" หรือภาษาไทยว่า "สนิฟ" หรือบางครั้งเราอาจได้ยินคำว่า snoop แทนพฤติกรรมในการวิเคราะห์กระแสข้อมูลก็ได้ ซึ่งโปรแกรมที่เขียนขึ้นโดยมนุษย์ใช้ทำการวิเคราะห์กระแสข้อมูลสารสนเทศที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ (หรือภาษาอังกฤษเรียกว่าการทำ Packet analyzer) ซึ่งอาจเรียกได้ว่าเป็น subset ของคำว่า Tap "แท็ป" และคำว่า Tap เป็นทั้งเทคโนโลยีและพฤติกรรมการใช้งาน เช่นคำว่า tap เพื่อดักฟังการสนทนาโทรศัพท์ เป็นต้น แสดงว่าคำว่า Tap ข้อมูล นั้นกินความไปนอกเหนือระบบ TCP/IP ก็ได้เช่น เป็นการดักฟังการสนทนาโทรศัพท์ที่กล่าวมาข้างต้น แต่หากทุกวันนี้การโทรศัพท์นั้นได้วิ่งผ่านระบบไอที บน TCP/IP หรือมีการรับส่งผ่านเครือข่ายคอมพิวเตอร์ (Network) ที่เรียกว่า VoIP แล้ว และมีการดักข้อมูลขึ้นอาจใช้คำว่า Tap หรือ sniff ก็ได้ โดยให้เข้าใจว่า sniff คือพฤติกรรมดักฟัง ส่วน sniffer เป็นชุดโปรแกรมที่ใช้ในการดักฟังข้อมูลบนระบบเครือข่ายคอมพิวเตอร์ โดยผ่านการรับส่งข้อมูลตาม OSI 7 layer เป็นหลัก ซึ่งการ sniff "สนิฟ" อาจจะเกิดขึ้นได้ตั้งแต่ Layer 1 ทางกายภาพ (สายโทรศัพท์ ) จนถึง Layer 7 บนระบบ Application Layer ได้ทั้งสิ้น ดังนั้นการ sniff จะเกิดขึ้นสมบูรณ์ ต้องเป็นการกระทำที่เกิดขึ้นมากกว่า 1 เครื่องขึ้นไป กล่าวคือมีเครื่องกระทำและถูกกระทำ ถึงจะเรียกว่าเป็นการ sniff "สนิฟ" และในบทความครั้งนี้จะกล่าวเฉพาะ sniffer บน TCP/IP เท่านั้น จะไม่ขอกล่าว sniffer ในทางกายภาพ
เทคนิคการ sniff "สนิฟ" นั้นคือการได้มาซึ่งข้อมูลโดยที่ไม่ทำให้ผู้อื่นล่วงรู้ได้ ดังนั้นในทางเทคนิคก็มักจะมองเป็นเทคนิคเดียวคือการแปลงร่างการ์ดแลนบนตัวเครื่องคอมพิวเตอร์เข้าสู่โหมดเงี่ยหูฟัง (promiscuous mode) แต่จริงแล้วหากเรามองว่าการได้มาซึ่งข้อมูลนั้นอาจทำตัวเองเป็น Gateway หรือได้จาก Caching ได้ดังนั้นเทคนิคอื่นก็อาจเข้าข่ายการดักฟังได้เช่นกันหรือ ?? ในบทความนี้จะมีคำตอบให้
ที่ผมบอกว่าเรามักจะมอง sniffer เพียงด้านเดียวคือเรามักจะมองเห็นว่าการ sniffer คือการดักฟังข้อมูล แต่แท้จริงแล้ว sniffer นั้นมียังทำคุณประโยชน์ได้เช่นกัน นั่นคือการวิเคราะห์หาปัญหาต่างๆ ที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ได้ และ sniffer นั้นก็สามารถสร้างโทษได้เช่นกัน ขึ้นอยู่เจตนาและการใช้งาน
โทษของการใช้ sniffer
1. หากข้อมูลเป็น Plain text (ข้อมูลที่ไม่ได้มีการเข้ารหัส) ไม่ว่าเป็นการสื่อสารผ่าน Protocol HTTP , SMTP , PoP3 , FTP , Telnet หรือแม้กระทั่ง Protocol ในการส่งค่า Log คือ syslog ที่ใช้การติดต่อแบบ UDP และเป็น Plain text อันนี้ก็มีความเสี่ยงต่อการถูกดักข้อมูลได้การดักข้อมูลเหล่านี้เกือบ 100% ส่วนใหญ่มักเกิดขึ้นในองค์กร (office) ของเราเองนี้เอง เรียกว่าภัยพวกนี้ว่า "Internal Threat" เช่น มีพนักงานที่เจตนาต้องการดักข้อมูลผู้บริหาร หรือ ผู้ดูแลระบบ ก็สามารถใช้ sniffer ดักข้อมูลใครๆก็ได้ หากมีเครื่องมือ แต่ .... มีรายละเอียดมากมาย โดยเฉพาะทำอย่างไรถึงจะได้ข้อมูลมา รวมถึงการติดตั้งและการใช้เทคนิคอยู่พอสมควร มิใช่ใครมีโปรแกรม sniffer ก็จะดักข้อมูลได้ง่ายๆ ตลอดไป
หลักๆ ที่นิยมดักข้อมูลและถือว่าเป็นภัยคุกคามที่ไม่อยากให้เกิดขึ้นกับตนเอง ได้แก่
- ข้อมูลความลับที่ไม่ต้องการให้เผยแพร่ ซึ่งอาจเป็นเรื่องส่วนบุคคล หรือ เป็นเรื่องของบริษัท เป็นต้น
- ข้อมูล User/password บน Application Protocol ที่ใช้งาน เช่น User / Password จาก Web Login , User / Password จาก FTP หรือ Telnet เป็นต้น 2 ข้อที่กล่าวมานี้เองทำให้การทำ sniffer เป็นเรื่องที่น่ากังวล
2. หากข้อมูลเป็นการเข้ารหัส (encryption) การใช้ sniffer อาจประสบปัญหากับการใช้งานนิดหน่อยแต่ไม่ถึงกับว่าพบทางตัน เพราะการเข้ารหัส (encryption) ก็สามารถถอดรหัสได้ด้วยวิธีการต่างๆ แต่ที่นิยมคือใช้ sniffer ไปทำการ ARP poison ไปยังเครื่องเป้าหมาย และปลอมค่ากับ Gateway ตัวจริงจึงจะสามารถใช้งานได้ อันนี้เองมีรายละเอียดอยู่ค่อนข้างมากจึงขอยกไปต่อในตอนหน้าจะกล่าวถึงเรื่องนี้อีกครั้ง ในเทคนิคที่เรียกว่า MITM (Man in The Minddle) หากอดใจไม่ไหวให้อ่านที่ http://nontawattalk.blogspot.com/2009/08/layer-7.html ที่เป็นบทความเก่าที่ผมเคยเขียนขึ้นไว้ ชื่อตอนว่าวิเคราะห์ภัยคุกคามตาม OSI 7 layer อ่านช่วง Layer 2
คุณประโยชน์ sniffer
1. ช่วยวิเคราะห์กระแสข้อมูลสารสนเทศ เพื่อวินิฉัยปัญหาที่เกิดขึ้นบนระบบเครือข่าย เช่น
- เครือข่ายคอมพิวเตอร์ เหตุใดถึงได้ช้าผิดปกติ ก็สามารถใช้ sniffer มาช่วยวิเคราะห์และวินิฉัยได้
- เครือข่ายคอมพิวเตอร์ มีอาการที่ผิดปกติ อันเนื่องมาจากการแพร่กระจายของไวรัส (สายพันธ์ใหม่ๆ ที่ระบบป้องกันไวรัสคอมพิวเตอร์ไม่รู้จัก หรือไม่มี signature บนอุปกรณ์ NIPS/IDS , UTM เป็นต้น)
ซึ่งจากประสบการณ์จริง sniffer ช่วยให้ผมหาเครื่องที่ติดไวรัสคอมพิวเตอร์ ในงานประชุม APEC ที่จัดขึ้นในประเทศไทยเมื่อปี 2003 ได้ หากย้อนเวลาไปในช่วงนั้น ผมและทีมงานได้มีโอกาสทำงานระดับประเทศคืองาน APEC 2003 โดยทำการประเมินความเสี่ยงระบบเครือข่ายคอมพิวเตอร์ (Vulnerability Assessment) ในคืนก่อนวันเปิดงาน APEC เราพบว่าเครือข่ายในศูนย์ประชุมนั้นรับส่งข้อมูลช้าผิดปกติ เราพยายามทุกวิถีทางจนพบว่าเครื่องที่ปล่อยไวรัสนั้นกับเป็นเครื่องโทรศัพท์ (สมัยนั้นคือเป็นเครื่องลักษณะโทรศัพท์หยอดเหรียญ แต่เล่นอินเตอร์เน็ตได้ผ่านระบบ wi-fi) เชื่อไหมว่าเวลาตี 4 พวกผมยังวิ่งรอบศูนย์ประชุมแห่งชาติสิริกิติริ์ โดยถือโน็ตบุ๊ตหาสัญญาณการรับส่งข้อมูลที่ผิดปกติบนระบบ wireless LAN กว่าจะหาไวรัสตัวร้ายเจอนั้นผมและทีมงานไม่ได้นอนทั้งคืนก็เพราะหาไวรัสจากเครื่องๆเดียว เราก็กำจัดได้และทำให้เครือข่ายคอมพิวเตอร์ในงานกลับมาสู่ภาวะปกติก่อนพิธีในงาน APEC จะเปิด ก็เพราะโปรแกรม sniffer นี้เอง
2. sniffer ยังทำให้เราทำนาย เพื่อการออกแบบบนเครื่องแม่ข่าย (Server) ถึงการรับส่งข้อมูลให้มีประสิทธิภาพมากขึ้นได้อีกด้วย เช่น การออกแบบ Web Server เพื่อให้รองรับข้อมูลได้อย่างเหมาะสม การออกแบบ Data Base Server เมื่อมีการ Query ข้อมูลได้อย่างเหมาะสม ทำให้เราสามารถออกแบบ (design) ระบบ Cluster หรือการออกแบบ Cloud computing ในอนาคตถึงปริมาณการใช้งานต่อไปได้เพื่อความเสรียฐภาพของระบบได้อีกด้วย
3. sniffer ใช้หาผู้ร้าย / ผู้ต้องสงสัย ได้ ในกรณีนี้จำเป็นต้องรู้สถานที่ หรือรู้เครือข่ายคอมพิวเตอร์ที่มีผู้ต้องสงสัยอยู่ จากนั้นการใช้วิธีการสะกดรอยทางไอทีผ่านการเฝ้าสังเกตการณ์ข้อมูลที่ผ่านระบบเครือข่าย ซึ่งหากจะทำได้ควรได้รับหมายศาล หรือเป็นกรณีด้านความมั่นคงของชาติจริงๆ ถึงสมควรทำ
ดังนั้นหากเรามองให้ดีจะเห็นว่า sniffer นั้นมีประโยชน์ อยู่ไม่น้อยทีเดียว ส่วนการใช้ sniffer ในทางที่ไม่เหมาะสมล่ะ อันนี้ขอบอกว่าขึ้นอยู่กับเจตนาผู้ใช้ เพราะ sniffer นั้นสามารถที่จะดักข้อมูลได้ทั้งหมด คำว่าข้อมูลทั้งหมดนั้น ขึ้นอยู่กับชนิดโปรแกรม sniffer ด้วยนะ โดยปกติแล้ว จะได้ตาม Protocol ที่สำคัญ เช่น Protocol ที่เกี่ยวข้องกับการใช้งาน Web , Mail ,Chat เป็นต้น หากเราทำการชำแหละ sniffer ผลลัพธ์ที่ sniffer หรืออาจกล่าวได้ค่าที่ sniffer อ่านออกมาได้คือ
1. ไอพีต้นทาง (Source IP)
2. ไอพีปลายทาง (Destination IP)
3. พอร์ตต้นทาง (Source Port)
4. พอร์ตปลายทาง (Destination Port)
5. Protocol ใน Layer 4 เช่น TCP หรือ UDP
6. เนื้อหา (Content) ซึ่งเนื้อหาข้อมูล นั้นคือคำว่า "Payload" ในระดับชั้นข้อมูลคือใน Layer ที่สูง 5 , 6 และ 7 ค่า "Payload" ที่ปรากฏขึ้นบนตัวโปรแกรม sniffer สามารถมองเห็นและแปลความหมายได้ (ในบางโปรแกรม) สองวิธี คือ
6.1 แบบธรรมดา ค่า payload มองเห็นตาม Layer 2 - Layer 7 แบบเดียวกับการแสดงผลจากโปรแกรมชื่อ wireshark เป็นต้น
6.2 แบบพิเศษ นำค่า Packet ที่ได้มาประกอบร่างใหม่เรียกว่า Reconstruction หรือเป็นการทำ "Traffic Decoder" จะทำให้เห็นมากขึ้น เช่น HTTP คือการเล่นเว็บไซต์ สามารถล่วงรู้ถึงการคลิก เปิดหน้าจอ หน้าเว็บ URI path หรือ เรียกดู clip video ได้ หรือหากเป็นการที่ผ่าน VoIP สามารถ เรียกดูย้อนหลังเป็นเสียงพูดสนทนาได้ เป็นต้น
ในการทำ Reconstruction นั้น มักจะใช้กับเทคโนโลยีในการทำ Law ful Interception โดยปกติแล้วมักมีในธนาคาร หรือโรงงานที่มีความเข้มงวดในการใช้ข้อมูล ที่ต้องเฝ้าสังเกตการทุจริตที่เกิดขึ้นจากการทำงานด้านไอที (ในเมืองไทยก็มีใช้ในบางธนาคาร) เปรียบเสมือนกล้องวงจรปิด ซึ่งการทำเทคนิค Reconstruction นั้นจำเป็นต้องใช้ storage มหาศาลเช่นกัน ดังนั้นการใช้เทคโนโลยีเหล่านี้ต้องเผื่องบประมาณไว้พอสมควร
7. เรื่องเวลา คือ วันเวลาที่เครื่องแม่ข่าย (Server) ที่ใช้จัดทำขึ้นเป็น sniffer Server เป็นต้น ซึ่งในข้อนี้ผมขอละไว้ว่าสมมุติทุกเครื่องตั้งค่าเวลาปกติถูกต้องแล้ว ก็แล้วกันนะครับ จึงไม่ขอกล่าวต่อไป
จากคุณสมบัติของ sniffer ที่กล่าวมาตั้งแต่ข้อ 1 - 7 แล้วนั้น ส่วนใดบ้างที่มีความอ่อนไหวถึงความรู้ผู้คนว่า sniffer เป็นเครื่องมือที่อันตราย
จากข้อ 1-5 นั้น มีผลลัพธ์ไม่ต่างกับ Log ที่เกิดขึ้นบนอุปกรณ์เครือข่าย เช่น Router Log , Switch Log , Firewall แบบ ACL (Access Control List)
แต่ข้อ 6 นี้เองที่ทำให้หลายท่านกังวล นั้นคือ การมองเห็นถึงเนื้อหาของข้อมูล (content)
แล้วเทคโนโลยีอะไร ที่มองเห็นเนื้อหาของข้อมูล (Content) นอกจาก sniffer แล้วมีอีกไหม
ผมขอยกตัวอย่างสัก 3 เทคโนโลยี ได้แก่
- NIDS/IPS (Network Intrusion Detection and Prevention System) และเทคโนโลยีประเภท Deep packet Monitoring/Analysis หรือแม้กระทั่ง NAC (Network Access Control ที่ทำตัวเป็นเหมือน Switch ตัวหนึ่งทีเดียว)
การติดตั้งสามารถติดตั้งตามจุดต่างๆ บนเครือข่ายคอมพิวเตอร์ได้ ไม่จำกัด ทั้งแบบ Inline ขวางระบบเครือข่าย , Passive โดยใช้ผ่านอุปกรณ์อื่นเช่น switch เป็นต้น
ซึ่งเทคโนโลยีจำพวกนี้ สามารถมองเห็นเนื้อหาของข้อมูล (content) และมองเห็นข้อมูลตามข้อ 1- 6 ที่กล่าวมาข้างต้น แต่จุดประสงค์เทคโนโลยี NIDS/IPS ถูกออกแบบมาเพื่อตรวจสอบข้อมูลที่ผิดปกติ เช่น การโจมตี DDoS/DoS ,การแพร่ระบาดไวรัส (virus/worm) , การรับส่งข้อมูลที่ไม่พึ่งประสงค์ (Spam) ,และ การป้องกันเว็บไซต์ หรือชื่อโดเมนที่หลอกหลวง (Phishing) , การกรองเว็บไซต์ที่ไม่เหมาะสม (Web Filtering) เป็นต้น ซึ่งที่กล่าวมานั้น เป็นการตรวจเฉพาะภัยคุกคามมากกว่าการตรวจทุกเนื้อหาข้อมูล (content)
ซึ่งส่วนนี้ได้ทั้งข้อ 1- 6 รวมถึง 6.1 ด้วยแต่ไม่ได้ข้อ 6.2
- Proxy Caching
การติดตั้ง ได้ทั้งเป็น gateway , transparent หรือแม้กระทั่งติดตั้งเป็นเพียงเครื่อง Server โดดก็ได้
หลายคนมองข้ามเทคโนโลยีตัวนี้ เนื่องจาก Proxy Caching มักมองในด้านการเพิ่มความเร็วแต่หากพิจารณาถึงข้อมูลบนตัวระบบ Proxy Caching ก็จะพบว่ามีคุณสมบัติตาม 1-6 ครบทุกข้อ คือได้เรื่องเนื้อหาข้อมูล (content) ด้วย เพื่อความเข้าใจมากขึ้น Proxy Caching มักใช้ทำเฉพาะ Protocol ใด Protocol หนึ่งมิใช่เปิดใช้ทั้งหมด หรือน้อยนักที่เปิดใช้ทั้งหมด Protocol ที่นิยมเปิดใช้คือ HTTP หรือการทำ Proxy Caching ส่วน Web นั่นเอง
ซึ่งส่วนนี้ได้ทั้งหมด 1-6 รวมถึงข้อ 6.1 และ 6.2 (เฉพาะ HTTP หากเป็น Protocol อื่นต้องเปิดให้ Proxy รองรับ Protocol อื่นด้วยซึ่งยังไม่เป็นที่นิยมและทำให้ Proxy ทำงานหนักเกินไป) ส่วนใหญ่เทคโนโลยีนี้ไม่ได้มีการเก็บบันทึกข้อมูลไว้ในตัวต้องหา storage มาเสริม
เทคโนโลยีสุดท้ายคือ UTM (Unified Threat Management)
การติดตั้ง เป็น gateway ขององค์กร
เทคโนโลยีนี้มาแรงในปัจจุบันเนื่องจากธุรกิจ SME นั้นมีมากขึ้นทำให้เลือกใช้ UTM มากขึ้น UTM หรือรวมทุกเทคโนโลยีด้านความมั่นคงปลอดภัยลงบรรจุในเครื่องเดียว คือ เป็นทั้ง Firewall , NIDS/IPS , Proxy จึงทำให้ Log ที่เกิดขึ้นบนเครื่อง UTM ได้ครบทั้ง 6 ข้อเช่นกัน คือได้เรื่องเนื้อหาข้อมูล (content) ด้วยเช่นเดียวกับ sniffer
ซึ่งส่วนนี้ได้ทั้งข้อ 1-6 รวมถึงข้อ 6.1 ยกเว้นข้อ 6.2 ส่วนใหญ่เทคโนโลยีนี้ไม่ได้มีการเก็บบันทึกข้อมูลไว้ในตัวต้องหา storage มาเสริม
ภาพการออกแบบ UTM บนเครือข่ายคอมพิวเตอร์ ซึ่งเป็น UTM ยี่ห้อดัง Fortigate ที่นิยมในประเทศไทย
แล้วพวก Log Management ล่ะ ? ได้ทั้งเนื้อหาข้อมูล (content) ด้วย ? คำตอบคือ Log Management ไม่สามารถทำงานได้เองโดยลำพัง ต้องได้รับข้อมูลจากอุปกรณ์ / เครื่องคอมพิวเตอร์อื่น ถึงสามารถทำงานได้ หากรับข้อมูลจาก อุปกรณ์ Router ก็จะได้เพียงข้อ 1 - 5
หากรับข้อมูลจาก อุปกรณ์ Switch ก็จะได้เพียงข้อ 1-5
หากรับข้อมูลจาก NIDS/IPS หรือ Proxy caching หรือ UTM ก็จะได้ข้อ 1-6 ตามที่อธิบายข้างต้น ส่วนจะได้ข้อ 6.2 หรือไม่นั้น NIDS/IPS , NAC , UTM ไม่สามารถได้ข้อ 6.2 ส่วน Proxy ต้องอาศัยเทคโนโลยีเสริม ดังที่กล่าวมาแล้วเป็นต้น
แล้วพวกเทคโนโลยีพวก Web Crawler ล่ะ ? เช่นพวก google , yahoo หรือ bing นี้ทำไมถึงรู้ keyword ที่เราต้องการค้นหาได้ด้วย
เทคโนโลยี Web crawler เสมือนเป็นสายลับให้ผู้สร้าง crawler หรืออาจเรียกได้ว่าเป็นพวก robot ที่วิ่งหาข้อมูลอยู่ตลอดเวลาทำงานแทนคนนั้นเอง ซึ่งหากพิจารณาแล้วพบว่า Web Crawler ได้เฉพาะข้อ 2 ,4, 5 และ 6 คือ
Web Crawler จะสามารถทราบถึง
- ในข้อ 2 Destination IP นั่นก็คือ เว็บไซต์ที่เปิดขึ้น เช่นค้นหาคำว่า "SRAN" พบว่า www.sran.net อยู่บรรทัดแรกของระบบ Search engine หากเราทำการเปิดเว็บไซต์ www.sran.net ก็แสดงว่า www.sran.net คือ Destination IP (ทำการ ping www.sran.net ได้ IP Address)
- ในข้อ 4 Port Destination นั่นคือ ได้ Port ปลายทางด้วย เช่น ค้นหาคำว่า "SRAN" พบว่า www.sran.net อยู่บรรทัดแรกของระบบ Search engine ข้อมูลทุกอย่างปรากฏผ่านบราวเซอร์ของเราผ่าน Protocol HTTP ก็แสดงว่า Destination port ก็คือ 80
- ในข้อ 5 Protocol ในการติดต่อสื่อสาร เป็น TCP เนื่องจากเป็นการสื่อสารผ่าน HTTP นั่นเอง
- ในข้อ 6 เนื้อหาข้อมูล ตาม Keyword ที่เราค้นหา โดยเทคนิค Web Crawler จำเป็นต้องดูดเนื้อหาในเว็บไซต์มาเก็บไว้ เรียกว่า Web site Copier ที่เครื่อง Crawler Server แน่นอนครับนำเอาเนื้อหา (Content) ที่เกิดขึ้นบนเว็บไซต์เข้ามาด้วย แต่เป็นเพียงเฉพาะ Protocol HTTP โดยส่วนใหญ่ ไม่ได้ทำเพื่อใช้ Crawler ไปกับ Protocol อื่นนัก และไม่ได้หมายความว่า crawler จะทำงานได้เฉพาะ HTTP นะครับเพราะมีบางโปรแกรมก็ใช้ crawler กับ Protocol ที่ใช้แชร์ไฟล์ ก็มีคือวิ่งบน SMB Protocol ก็มีเช่นกันแต่เป็นส่วนน้อยและ เทคโนโลยี Crawler ไม่จำเป็นทำตามข้อ 6.2 คือการทำ Reconstruction นั้นเนื่องจากเนื้อหาทั้งหมดอยู่ใน storage เครื่องที่ทำระบบ Crawler ที่ประมาณข้อมูลมหาศาลเรียบร้อยแล้ว จึงเป็นขอพิพากกันถึงการทำงานของ google ที่อาจเป็นการละเมิดข้อมูลผู้อื่นได้ เนื่องจาก google มี crawler จำนวนมาก มี Server ที่เก็บเกี่ยวข้อมูลจำนวนมากจึงทำให้หลายๆประเทศมองว่า google อาจเป็นภัยต่อความมั่นคงได้เช่นกัน
แต่ทั้งนี้แล้ว
** ระบบ Web Crawler ไม่มีทางที่ได้ค่า IP ต้นทางหรือ Source IP นอกเสียจากว่า IP ต้นทางดันไปปรากฏในเว็บกระทู้ (Web board) ที่เปิดเผย IP ทั้งหมด ซึ่งหากนับแล้วเว็บกระทู้ (Web board) น้อยนักที่เปิดเผย IP Address ผู้โพสเว็บทั้งหมด ดังนั้น Web Crawler หากได้ IP ต้นทางนั้นจำเป็นต้องอาศัยโชคด้วย จึงอาจกล่าวได้อีกครั้งว่าเทคนิค Web Crawler ได้เฉพาะข้อ 2,4,5 และ 6 ดังที่กล่าวมา
เทคโนโลยีทั้งหมดที่กล่าวมาผมยังไม่กล่าวถึงการเก็บข้อมูล (Storage) และการออกแบบอย่างไรถึงจะสามารถรองรับข้อมูลได้ ซึ่งหากให้เขียนทั้งหมดจะมีเนื้อหายากและยาวเกินไป เดี๋ยวจะไม่มีใครคิดจะอ่านต่อ ผมจึงขอหยุดการอธิบายส่วนเทคโนโลยีอื่นๆ ไว้เพียงแค่นี้ก่อน
กลับไปสู่เนื้อหาต่อ ..
จะพบว่าคำถามเรายังไม่หมด สำหรับความสงสัยของผู้คน ถ้าเป็นเช่นนี้ เราไม่ยุ่งหรือ ? หากอุปกรณ์ป้องกันภัยที่ทุกองค์กรที่ใช้อยู่ ก็สามารถมองเห็นเนื้อหาข้อมูล (content) ได้เช่นกัน
คำตอบคือ ก็ขึ้นอยู่กับการใช้งาน ... หากเราคิดเพียงว่าการมองเห็นเนื้อหาข้อมูล (content) ก็เป็นการ sniff "สนิฟ" ไปเสียหมด นี้ก็ไม่ต้องทำอะไรกันพอดี ไม่ต้องมีระบบป้องกันภัยคุกคามปล่อยให้เป็นไปตามเวรตามกรรมก็คงไม่ผิด หากเป็นเช่นนี้คงไม่ได้ ดังนั้น เราจึงควรสร้างความเข้าใจ ถึงเทคโนโลยีที่เราใช้อยู่อย่างมีเหตุและผลมากขึ้น
เรามาดูอีกด้านหนึ่งบ้าง คือ โทษของ sniffer ...
ลำพังด้วยโปรแกรมอย่างเดียวนั้นคงไม่มีโทษอะไร มันก็เป็นเพียงเครื่องมือหนึ่งของมนุษย์ เป็นโทษ หรือเป็นภัยนั้น คือผู้ใช้โปรแกรม sniffer นั่นเอง หากใช้ในเจตนาที่ไม่เหมาะสม เช่นการดักข้อมูลผู้อื่นโดยมิชอบนั้นแน่นอนครับผิด ทั้งผิดตามศิลธรรมแล้วยังผิดในมาตรา 8 ของพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย ทั้งนี้จะผิดกฏหมายได้ต้องดูที่เจตนาผู้ใช้ sniffer เป็นหลักนะครับ
ทีนี้เรามาดูกันว่า เราจะรู้ทัน sniffer กัน "เราจะรู้ได้อย่างไรว่ามีใครดักข้อมูลเราอยู่" กันดีกว่า
ตอนต่อไปผมจะกล่าวถึงวิธีรู้ทัน sniffer โดยจะพิจารณาตามลักษณะการรับส่งข้อมูลดังนี้
1. พิจารณาจากมุมมอง การใช้ข้อมูล หากเราเอาตัวเองเป็นศูนย์กลาง ตัวเรานั่งอยู่ที่ไหน ?
1.1 ที่ทำงาน (office ที่เราทำงานอยู่) --> ใครจะ sniff "สนิฟ" เราได้
1.2 ที่ไม่ใช่ที่ทำงาน เช่น บ้าน ร้านกาแฟ อื่นๆ --> ใครจะ sniff "สนิฟ" เราได้
และเราจะรู้ทันได้อย่างไร ?
ถ้าหากเราระแวง จนถึงขั้นว่าทุกการกระทำต้องเข้ารหัส (encryption) เพื่อป้องกันการดักข้อมูลนั้นจะช่วยป้องกันได้เพียงใด ?
2. การทะลุข้อมูลถึงแม้จะเข้ารหัส การสามารถอ่านข้อมูลได้โดยผ่านเทคนิคที่เรียกว่า Man in the Middle attack (MITM)
2.1 ที่ทำงาน (office ที่เราทำงานอยู่) ---> ใครจะ MITM เราได้
2.2 ที่ไม่ใช่ที่ทำงาน เช่น ที่บ้าน ร้านกาแฟ อื่นๆ --> ใครจะ MITM เราได้
และเราจะรู้ทันได้อย่างไร ?
ผมมีคำตอบให้ในตอนหน้า ครับ
เพื่อความแข็งแรงขึ้น และจะได้ลงลึกในรายละเอียดที่กล่าวในตอนหน้าต่อไป ให้กลับไปอ่านเรื่องมุมมองภัยคุกคามจาก
http://nontawattalk.blogspot.com/2009/04/blog-post.html
และ http://nontawattalk.blogspot.com/2009/10/3-in-3-out.html
และ บทความภัยคุกคามตาม Layer ทั้ง 7
http://nontawattalk.blogspot.com/2009/08/layer-7.html
http://nontawattalk.blogspot.com/2009/09/layer-7-2.html
http://nontawattalk.blogspot.com/2009/09/layer-7-3.html
นนทวรรธนะ สาระมาน
หลายคนคงสงสัยกับคำว่า sniffer ไม่น้อย .. และอาจเกิดคำถามว่า sniffer คืออะไรกันแน่ เกี่ยวกับการดักข้อมูลอย่างไร ? sniffer นั้นมีคุณหรือโทษ? แล้วเราจะรู้ได้อย่างไรว่ามีคนดักข้อมูลเราอยู่ หรือเราจะรู้ได้อย่างไรว่ามีใครคอย sniff เราอยู่บ้าง ? วันนี้เรามาเรียนรู้ sniffer แบบถึงแก่นกันดีกว่าครับ
sniffer เป็นชื่อที่เป็นทางการ ซึ่งไม่ว่าจะคุยกันภาษาของชาติไหนๆ ก็มักจะเข้าใจคำนี้ เช่นเดียวกับคำว่า Hack ซึ่งถือว่าเป็น De facto หรือเป็นคำมาตราฐานที่สากลรู้จักกัน เป็นต้น
sniffer คือ โปรแกรมที่ใช้ในการวิเคราะห์กระแสข้อมูล แต่เรามักจะเข้าใจในทิศทางเดียวคือเป็นโปรแกรมที่ใช้ในการดักฟังข้อมูล โดยพฤติกรรมการนี้เรียกว่า "sniff" หรือภาษาไทยว่า "สนิฟ" หรือบางครั้งเราอาจได้ยินคำว่า snoop แทนพฤติกรรมในการวิเคราะห์กระแสข้อมูลก็ได้ ซึ่งโปรแกรมที่เขียนขึ้นโดยมนุษย์ใช้ทำการวิเคราะห์กระแสข้อมูลสารสนเทศที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ (หรือภาษาอังกฤษเรียกว่าการทำ Packet analyzer) ซึ่งอาจเรียกได้ว่าเป็น subset ของคำว่า Tap "แท็ป" และคำว่า Tap เป็นทั้งเทคโนโลยีและพฤติกรรมการใช้งาน เช่นคำว่า tap เพื่อดักฟังการสนทนาโทรศัพท์ เป็นต้น แสดงว่าคำว่า Tap ข้อมูล นั้นกินความไปนอกเหนือระบบ TCP/IP ก็ได้เช่น เป็นการดักฟังการสนทนาโทรศัพท์ที่กล่าวมาข้างต้น แต่หากทุกวันนี้การโทรศัพท์นั้นได้วิ่งผ่านระบบไอที บน TCP/IP หรือมีการรับส่งผ่านเครือข่ายคอมพิวเตอร์ (Network) ที่เรียกว่า VoIP แล้ว และมีการดักข้อมูลขึ้นอาจใช้คำว่า Tap หรือ sniff ก็ได้ โดยให้เข้าใจว่า sniff คือพฤติกรรมดักฟัง ส่วน sniffer เป็นชุดโปรแกรมที่ใช้ในการดักฟังข้อมูลบนระบบเครือข่ายคอมพิวเตอร์ โดยผ่านการรับส่งข้อมูลตาม OSI 7 layer เป็นหลัก ซึ่งการ sniff "สนิฟ" อาจจะเกิดขึ้นได้ตั้งแต่ Layer 1 ทางกายภาพ (สายโทรศัพท์ ) จนถึง Layer 7 บนระบบ Application Layer ได้ทั้งสิ้น ดังนั้นการ sniff จะเกิดขึ้นสมบูรณ์ ต้องเป็นการกระทำที่เกิดขึ้นมากกว่า 1 เครื่องขึ้นไป กล่าวคือมีเครื่องกระทำและถูกกระทำ ถึงจะเรียกว่าเป็นการ sniff "สนิฟ" และในบทความครั้งนี้จะกล่าวเฉพาะ sniffer บน TCP/IP เท่านั้น จะไม่ขอกล่าว sniffer ในทางกายภาพ
เทคนิคการ sniff "สนิฟ" นั้นคือการได้มาซึ่งข้อมูลโดยที่ไม่ทำให้ผู้อื่นล่วงรู้ได้ ดังนั้นในทางเทคนิคก็มักจะมองเป็นเทคนิคเดียวคือการแปลงร่างการ์ดแลนบนตัวเครื่องคอมพิวเตอร์เข้าสู่โหมดเงี่ยหูฟัง (promiscuous mode) แต่จริงแล้วหากเรามองว่าการได้มาซึ่งข้อมูลนั้นอาจทำตัวเองเป็น Gateway หรือได้จาก Caching ได้ดังนั้นเทคนิคอื่นก็อาจเข้าข่ายการดักฟังได้เช่นกันหรือ ?? ในบทความนี้จะมีคำตอบให้
ภาพการสนิฟข้อมูลบนเครือข่ายคอมพิวเตอร์ แบบง่ายๆ
ที่ผมบอกว่าเรามักจะมอง sniffer เพียงด้านเดียวคือเรามักจะมองเห็นว่าการ sniffer คือการดักฟังข้อมูล แต่แท้จริงแล้ว sniffer นั้นมียังทำคุณประโยชน์ได้เช่นกัน นั่นคือการวิเคราะห์หาปัญหาต่างๆ ที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ได้ และ sniffer นั้นก็สามารถสร้างโทษได้เช่นกัน ขึ้นอยู่เจตนาและการใช้งาน
โทษของการใช้ sniffer
1. หากข้อมูลเป็น Plain text (ข้อมูลที่ไม่ได้มีการเข้ารหัส) ไม่ว่าเป็นการสื่อสารผ่าน Protocol HTTP , SMTP , PoP3 , FTP , Telnet หรือแม้กระทั่ง Protocol ในการส่งค่า Log คือ syslog ที่ใช้การติดต่อแบบ UDP และเป็น Plain text อันนี้ก็มีความเสี่ยงต่อการถูกดักข้อมูลได้การดักข้อมูลเหล่านี้เกือบ 100% ส่วนใหญ่มักเกิดขึ้นในองค์กร (office) ของเราเองนี้เอง เรียกว่าภัยพวกนี้ว่า "Internal Threat" เช่น มีพนักงานที่เจตนาต้องการดักข้อมูลผู้บริหาร หรือ ผู้ดูแลระบบ ก็สามารถใช้ sniffer ดักข้อมูลใครๆก็ได้ หากมีเครื่องมือ แต่ .... มีรายละเอียดมากมาย โดยเฉพาะทำอย่างไรถึงจะได้ข้อมูลมา รวมถึงการติดตั้งและการใช้เทคนิคอยู่พอสมควร มิใช่ใครมีโปรแกรม sniffer ก็จะดักข้อมูลได้ง่ายๆ ตลอดไป
หลักๆ ที่นิยมดักข้อมูลและถือว่าเป็นภัยคุกคามที่ไม่อยากให้เกิดขึ้นกับตนเอง ได้แก่
- ข้อมูลความลับที่ไม่ต้องการให้เผยแพร่ ซึ่งอาจเป็นเรื่องส่วนบุคคล หรือ เป็นเรื่องของบริษัท เป็นต้น
- ข้อมูล User/password บน Application Protocol ที่ใช้งาน เช่น User / Password จาก Web Login , User / Password จาก FTP หรือ Telnet เป็นต้น 2 ข้อที่กล่าวมานี้เองทำให้การทำ sniffer เป็นเรื่องที่น่ากังวล
2. หากข้อมูลเป็นการเข้ารหัส (encryption) การใช้ sniffer อาจประสบปัญหากับการใช้งานนิดหน่อยแต่ไม่ถึงกับว่าพบทางตัน เพราะการเข้ารหัส (encryption) ก็สามารถถอดรหัสได้ด้วยวิธีการต่างๆ แต่ที่นิยมคือใช้ sniffer ไปทำการ ARP poison ไปยังเครื่องเป้าหมาย และปลอมค่ากับ Gateway ตัวจริงจึงจะสามารถใช้งานได้ อันนี้เองมีรายละเอียดอยู่ค่อนข้างมากจึงขอยกไปต่อในตอนหน้าจะกล่าวถึงเรื่องนี้อีกครั้ง ในเทคนิคที่เรียกว่า MITM (Man in The Minddle) หากอดใจไม่ไหวให้อ่านที่ http://nontawattalk.blogspot.com/2009/08/layer-7.html ที่เป็นบทความเก่าที่ผมเคยเขียนขึ้นไว้ ชื่อตอนว่าวิเคราะห์ภัยคุกคามตาม OSI 7 layer อ่านช่วง Layer 2
คุณประโยชน์ sniffer
1. ช่วยวิเคราะห์กระแสข้อมูลสารสนเทศ เพื่อวินิฉัยปัญหาที่เกิดขึ้นบนระบบเครือข่าย เช่น
- เครือข่ายคอมพิวเตอร์ เหตุใดถึงได้ช้าผิดปกติ ก็สามารถใช้ sniffer มาช่วยวิเคราะห์และวินิฉัยได้
- เครือข่ายคอมพิวเตอร์ มีอาการที่ผิดปกติ อันเนื่องมาจากการแพร่กระจายของไวรัส (สายพันธ์ใหม่ๆ ที่ระบบป้องกันไวรัสคอมพิวเตอร์ไม่รู้จัก หรือไม่มี signature บนอุปกรณ์ NIPS/IDS , UTM เป็นต้น)
ซึ่งจากประสบการณ์จริง sniffer ช่วยให้ผมหาเครื่องที่ติดไวรัสคอมพิวเตอร์ ในงานประชุม APEC ที่จัดขึ้นในประเทศไทยเมื่อปี 2003 ได้ หากย้อนเวลาไปในช่วงนั้น ผมและทีมงานได้มีโอกาสทำงานระดับประเทศคืองาน APEC 2003 โดยทำการประเมินความเสี่ยงระบบเครือข่ายคอมพิวเตอร์ (Vulnerability Assessment) ในคืนก่อนวันเปิดงาน APEC เราพบว่าเครือข่ายในศูนย์ประชุมนั้นรับส่งข้อมูลช้าผิดปกติ เราพยายามทุกวิถีทางจนพบว่าเครื่องที่ปล่อยไวรัสนั้นกับเป็นเครื่องโทรศัพท์ (สมัยนั้นคือเป็นเครื่องลักษณะโทรศัพท์หยอดเหรียญ แต่เล่นอินเตอร์เน็ตได้ผ่านระบบ wi-fi) เชื่อไหมว่าเวลาตี 4 พวกผมยังวิ่งรอบศูนย์ประชุมแห่งชาติสิริกิติริ์ โดยถือโน็ตบุ๊ตหาสัญญาณการรับส่งข้อมูลที่ผิดปกติบนระบบ wireless LAN กว่าจะหาไวรัสตัวร้ายเจอนั้นผมและทีมงานไม่ได้นอนทั้งคืนก็เพราะหาไวรัสจากเครื่องๆเดียว เราก็กำจัดได้และทำให้เครือข่ายคอมพิวเตอร์ในงานกลับมาสู่ภาวะปกติก่อนพิธีในงาน APEC จะเปิด ก็เพราะโปรแกรม sniffer นี้เอง
2. sniffer ยังทำให้เราทำนาย เพื่อการออกแบบบนเครื่องแม่ข่าย (Server) ถึงการรับส่งข้อมูลให้มีประสิทธิภาพมากขึ้นได้อีกด้วย เช่น การออกแบบ Web Server เพื่อให้รองรับข้อมูลได้อย่างเหมาะสม การออกแบบ Data Base Server เมื่อมีการ Query ข้อมูลได้อย่างเหมาะสม ทำให้เราสามารถออกแบบ (design) ระบบ Cluster หรือการออกแบบ Cloud computing ในอนาคตถึงปริมาณการใช้งานต่อไปได้เพื่อความเสรียฐภาพของระบบได้อีกด้วย
3. sniffer ใช้หาผู้ร้าย / ผู้ต้องสงสัย ได้ ในกรณีนี้จำเป็นต้องรู้สถานที่ หรือรู้เครือข่ายคอมพิวเตอร์ที่มีผู้ต้องสงสัยอยู่ จากนั้นการใช้วิธีการสะกดรอยทางไอทีผ่านการเฝ้าสังเกตการณ์ข้อมูลที่ผ่านระบบเครือข่าย ซึ่งหากจะทำได้ควรได้รับหมายศาล หรือเป็นกรณีด้านความมั่นคงของชาติจริงๆ ถึงสมควรทำ
ดังนั้นหากเรามองให้ดีจะเห็นว่า sniffer นั้นมีประโยชน์ อยู่ไม่น้อยทีเดียว ส่วนการใช้ sniffer ในทางที่ไม่เหมาะสมล่ะ อันนี้ขอบอกว่าขึ้นอยู่กับเจตนาผู้ใช้ เพราะ sniffer นั้นสามารถที่จะดักข้อมูลได้ทั้งหมด คำว่าข้อมูลทั้งหมดนั้น ขึ้นอยู่กับชนิดโปรแกรม sniffer ด้วยนะ โดยปกติแล้ว จะได้ตาม Protocol ที่สำคัญ เช่น Protocol ที่เกี่ยวข้องกับการใช้งาน Web , Mail ,Chat เป็นต้น หากเราทำการชำแหละ sniffer ผลลัพธ์ที่ sniffer หรืออาจกล่าวได้ค่าที่ sniffer อ่านออกมาได้คือ
1. ไอพีต้นทาง (Source IP)
2. ไอพีปลายทาง (Destination IP)
3. พอร์ตต้นทาง (Source Port)
4. พอร์ตปลายทาง (Destination Port)
5. Protocol ใน Layer 4 เช่น TCP หรือ UDP
6. เนื้อหา (Content) ซึ่งเนื้อหาข้อมูล นั้นคือคำว่า "Payload" ในระดับชั้นข้อมูลคือใน Layer ที่สูง 5 , 6 และ 7 ค่า "Payload" ที่ปรากฏขึ้นบนตัวโปรแกรม sniffer สามารถมองเห็นและแปลความหมายได้ (ในบางโปรแกรม) สองวิธี คือ
6.1 แบบธรรมดา ค่า payload มองเห็นตาม Layer 2 - Layer 7 แบบเดียวกับการแสดงผลจากโปรแกรมชื่อ wireshark เป็นต้น
6.2 แบบพิเศษ นำค่า Packet ที่ได้มาประกอบร่างใหม่เรียกว่า Reconstruction หรือเป็นการทำ "Traffic Decoder" จะทำให้เห็นมากขึ้น เช่น HTTP คือการเล่นเว็บไซต์ สามารถล่วงรู้ถึงการคลิก เปิดหน้าจอ หน้าเว็บ URI path หรือ เรียกดู clip video ได้ หรือหากเป็นการที่ผ่าน VoIP สามารถ เรียกดูย้อนหลังเป็นเสียงพูดสนทนาได้ เป็นต้น
ในการทำ Reconstruction นั้น มักจะใช้กับเทคโนโลยีในการทำ Law ful Interception โดยปกติแล้วมักมีในธนาคาร หรือโรงงานที่มีความเข้มงวดในการใช้ข้อมูล ที่ต้องเฝ้าสังเกตการทุจริตที่เกิดขึ้นจากการทำงานด้านไอที (ในเมืองไทยก็มีใช้ในบางธนาคาร) เปรียบเสมือนกล้องวงจรปิด ซึ่งการทำเทคนิค Reconstruction นั้นจำเป็นต้องใช้ storage มหาศาลเช่นกัน ดังนั้นการใช้เทคโนโลยีเหล่านี้ต้องเผื่องบประมาณไว้พอสมควร
7. เรื่องเวลา คือ วันเวลาที่เครื่องแม่ข่าย (Server) ที่ใช้จัดทำขึ้นเป็น sniffer Server เป็นต้น ซึ่งในข้อนี้ผมขอละไว้ว่าสมมุติทุกเครื่องตั้งค่าเวลาปกติถูกต้องแล้ว ก็แล้วกันนะครับ จึงไม่ขอกล่าวต่อไป
จากคุณสมบัติของ sniffer ที่กล่าวมาตั้งแต่ข้อ 1 - 7 แล้วนั้น ส่วนใดบ้างที่มีความอ่อนไหวถึงความรู้ผู้คนว่า sniffer เป็นเครื่องมือที่อันตราย
จากข้อ 1-5 นั้น มีผลลัพธ์ไม่ต่างกับ Log ที่เกิดขึ้นบนอุปกรณ์เครือข่าย เช่น Router Log , Switch Log , Firewall แบบ ACL (Access Control List)
แต่ข้อ 6 นี้เองที่ทำให้หลายท่านกังวล นั้นคือ การมองเห็นถึงเนื้อหาของข้อมูล (content)
แล้วเทคโนโลยีอะไร ที่มองเห็นเนื้อหาของข้อมูล (Content) นอกจาก sniffer แล้วมีอีกไหม
ผมขอยกตัวอย่างสัก 3 เทคโนโลยี ได้แก่
- NIDS/IPS (Network Intrusion Detection and Prevention System) และเทคโนโลยีประเภท Deep packet Monitoring/Analysis หรือแม้กระทั่ง NAC (Network Access Control ที่ทำตัวเป็นเหมือน Switch ตัวหนึ่งทีเดียว)
การติดตั้งสามารถติดตั้งตามจุดต่างๆ บนเครือข่ายคอมพิวเตอร์ได้ ไม่จำกัด ทั้งแบบ Inline ขวางระบบเครือข่าย , Passive โดยใช้ผ่านอุปกรณ์อื่นเช่น switch เป็นต้น
ซึ่งเทคโนโลยีจำพวกนี้ สามารถมองเห็นเนื้อหาของข้อมูล (content) และมองเห็นข้อมูลตามข้อ 1- 6 ที่กล่าวมาข้างต้น แต่จุดประสงค์เทคโนโลยี NIDS/IPS ถูกออกแบบมาเพื่อตรวจสอบข้อมูลที่ผิดปกติ เช่น การโจมตี DDoS/DoS ,การแพร่ระบาดไวรัส (virus/worm) , การรับส่งข้อมูลที่ไม่พึ่งประสงค์ (Spam) ,และ การป้องกันเว็บไซต์ หรือชื่อโดเมนที่หลอกหลวง (Phishing) , การกรองเว็บไซต์ที่ไม่เหมาะสม (Web Filtering) เป็นต้น ซึ่งที่กล่าวมานั้น เป็นการตรวจเฉพาะภัยคุกคามมากกว่าการตรวจทุกเนื้อหาข้อมูล (content)
ซึ่งส่วนนี้ได้ทั้งข้อ 1- 6 รวมถึง 6.1 ด้วยแต่ไม่ได้ข้อ 6.2
ภาพติดตั้ง NIDS/IPS และ Proxy ซึ่งการติดตั้งในรูปเป็นแบบ In-line หรือ Transparent ซึ่งทำให้ข้อมูลผ่านที่ตัวอุปกรณ์ได้ เหมาะสำหรับเครือข่ายคอมพิวเตอร์ขนาดเล็กและขนาดกลาง
- Proxy Caching
การติดตั้ง ได้ทั้งเป็น gateway , transparent หรือแม้กระทั่งติดตั้งเป็นเพียงเครื่อง Server โดดก็ได้
หลายคนมองข้ามเทคโนโลยีตัวนี้ เนื่องจาก Proxy Caching มักมองในด้านการเพิ่มความเร็วแต่หากพิจารณาถึงข้อมูลบนตัวระบบ Proxy Caching ก็จะพบว่ามีคุณสมบัติตาม 1-6 ครบทุกข้อ คือได้เรื่องเนื้อหาข้อมูล (content) ด้วย เพื่อความเข้าใจมากขึ้น Proxy Caching มักใช้ทำเฉพาะ Protocol ใด Protocol หนึ่งมิใช่เปิดใช้ทั้งหมด หรือน้อยนักที่เปิดใช้ทั้งหมด Protocol ที่นิยมเปิดใช้คือ HTTP หรือการทำ Proxy Caching ส่วน Web นั่นเอง
ซึ่งส่วนนี้ได้ทั้งหมด 1-6 รวมถึงข้อ 6.1 และ 6.2 (เฉพาะ HTTP หากเป็น Protocol อื่นต้องเปิดให้ Proxy รองรับ Protocol อื่นด้วยซึ่งยังไม่เป็นที่นิยมและทำให้ Proxy ทำงานหนักเกินไป) ส่วนใหญ่เทคโนโลยีนี้ไม่ได้มีการเก็บบันทึกข้อมูลไว้ในตัวต้องหา storage มาเสริม
เทคโนโลยีสุดท้ายคือ UTM (Unified Threat Management)
การติดตั้ง เป็น gateway ขององค์กร
เทคโนโลยีนี้มาแรงในปัจจุบันเนื่องจากธุรกิจ SME นั้นมีมากขึ้นทำให้เลือกใช้ UTM มากขึ้น UTM หรือรวมทุกเทคโนโลยีด้านความมั่นคงปลอดภัยลงบรรจุในเครื่องเดียว คือ เป็นทั้ง Firewall , NIDS/IPS , Proxy จึงทำให้ Log ที่เกิดขึ้นบนเครื่อง UTM ได้ครบทั้ง 6 ข้อเช่นกัน คือได้เรื่องเนื้อหาข้อมูล (content) ด้วยเช่นเดียวกับ sniffer
ซึ่งส่วนนี้ได้ทั้งข้อ 1-6 รวมถึงข้อ 6.1 ยกเว้นข้อ 6.2 ส่วนใหญ่เทคโนโลยีนี้ไม่ได้มีการเก็บบันทึกข้อมูลไว้ในตัวต้องหา storage มาเสริม
ภาพการออกแบบ UTM บนเครือข่ายคอมพิวเตอร์ ซึ่งเป็น UTM ยี่ห้อดัง Fortigate ที่นิยมในประเทศไทย
แล้วพวก Log Management ล่ะ ? ได้ทั้งเนื้อหาข้อมูล (content) ด้วย ? คำตอบคือ Log Management ไม่สามารถทำงานได้เองโดยลำพัง ต้องได้รับข้อมูลจากอุปกรณ์ / เครื่องคอมพิวเตอร์อื่น ถึงสามารถทำงานได้ หากรับข้อมูลจาก อุปกรณ์ Router ก็จะได้เพียงข้อ 1 - 5
หากรับข้อมูลจาก อุปกรณ์ Switch ก็จะได้เพียงข้อ 1-5
หากรับข้อมูลจาก NIDS/IPS หรือ Proxy caching หรือ UTM ก็จะได้ข้อ 1-6 ตามที่อธิบายข้างต้น ส่วนจะได้ข้อ 6.2 หรือไม่นั้น NIDS/IPS , NAC , UTM ไม่สามารถได้ข้อ 6.2 ส่วน Proxy ต้องอาศัยเทคโนโลยีเสริม ดังที่กล่าวมาแล้วเป็นต้น
แล้วพวกเทคโนโลยีพวก Web Crawler ล่ะ ? เช่นพวก google , yahoo หรือ bing นี้ทำไมถึงรู้ keyword ที่เราต้องการค้นหาได้ด้วย
เทคโนโลยี Web crawler เสมือนเป็นสายลับให้ผู้สร้าง crawler หรืออาจเรียกได้ว่าเป็นพวก robot ที่วิ่งหาข้อมูลอยู่ตลอดเวลาทำงานแทนคนนั้นเอง ซึ่งหากพิจารณาแล้วพบว่า Web Crawler ได้เฉพาะข้อ 2 ,4, 5 และ 6 คือ
Web Crawler จะสามารถทราบถึง
- ในข้อ 2 Destination IP นั่นก็คือ เว็บไซต์ที่เปิดขึ้น เช่นค้นหาคำว่า "SRAN" พบว่า www.sran.net อยู่บรรทัดแรกของระบบ Search engine หากเราทำการเปิดเว็บไซต์ www.sran.net ก็แสดงว่า www.sran.net คือ Destination IP (ทำการ ping www.sran.net ได้ IP Address)
- ในข้อ 4 Port Destination นั่นคือ ได้ Port ปลายทางด้วย เช่น ค้นหาคำว่า "SRAN" พบว่า www.sran.net อยู่บรรทัดแรกของระบบ Search engine ข้อมูลทุกอย่างปรากฏผ่านบราวเซอร์ของเราผ่าน Protocol HTTP ก็แสดงว่า Destination port ก็คือ 80
- ในข้อ 5 Protocol ในการติดต่อสื่อสาร เป็น TCP เนื่องจากเป็นการสื่อสารผ่าน HTTP นั่นเอง
- ในข้อ 6 เนื้อหาข้อมูล ตาม Keyword ที่เราค้นหา โดยเทคนิค Web Crawler จำเป็นต้องดูดเนื้อหาในเว็บไซต์มาเก็บไว้ เรียกว่า Web site Copier ที่เครื่อง Crawler Server แน่นอนครับนำเอาเนื้อหา (Content) ที่เกิดขึ้นบนเว็บไซต์เข้ามาด้วย แต่เป็นเพียงเฉพาะ Protocol HTTP โดยส่วนใหญ่ ไม่ได้ทำเพื่อใช้ Crawler ไปกับ Protocol อื่นนัก และไม่ได้หมายความว่า crawler จะทำงานได้เฉพาะ HTTP นะครับเพราะมีบางโปรแกรมก็ใช้ crawler กับ Protocol ที่ใช้แชร์ไฟล์ ก็มีคือวิ่งบน SMB Protocol ก็มีเช่นกันแต่เป็นส่วนน้อยและ เทคโนโลยี Crawler ไม่จำเป็นทำตามข้อ 6.2 คือการทำ Reconstruction นั้นเนื่องจากเนื้อหาทั้งหมดอยู่ใน storage เครื่องที่ทำระบบ Crawler ที่ประมาณข้อมูลมหาศาลเรียบร้อยแล้ว จึงเป็นขอพิพากกันถึงการทำงานของ google ที่อาจเป็นการละเมิดข้อมูลผู้อื่นได้ เนื่องจาก google มี crawler จำนวนมาก มี Server ที่เก็บเกี่ยวข้อมูลจำนวนมากจึงทำให้หลายๆประเทศมองว่า google อาจเป็นภัยต่อความมั่นคงได้เช่นกัน
แต่ทั้งนี้แล้ว
** ระบบ Web Crawler ไม่มีทางที่ได้ค่า IP ต้นทางหรือ Source IP นอกเสียจากว่า IP ต้นทางดันไปปรากฏในเว็บกระทู้ (Web board) ที่เปิดเผย IP ทั้งหมด ซึ่งหากนับแล้วเว็บกระทู้ (Web board) น้อยนักที่เปิดเผย IP Address ผู้โพสเว็บทั้งหมด ดังนั้น Web Crawler หากได้ IP ต้นทางนั้นจำเป็นต้องอาศัยโชคด้วย จึงอาจกล่าวได้อีกครั้งว่าเทคนิค Web Crawler ได้เฉพาะข้อ 2,4,5 และ 6 ดังที่กล่าวมา
เทคโนโลยีทั้งหมดที่กล่าวมาผมยังไม่กล่าวถึงการเก็บข้อมูล (Storage) และการออกแบบอย่างไรถึงจะสามารถรองรับข้อมูลได้ ซึ่งหากให้เขียนทั้งหมดจะมีเนื้อหายากและยาวเกินไป เดี๋ยวจะไม่มีใครคิดจะอ่านต่อ ผมจึงขอหยุดการอธิบายส่วนเทคโนโลยีอื่นๆ ไว้เพียงแค่นี้ก่อน
กลับไปสู่เนื้อหาต่อ ..
จะพบว่าคำถามเรายังไม่หมด สำหรับความสงสัยของผู้คน ถ้าเป็นเช่นนี้ เราไม่ยุ่งหรือ ? หากอุปกรณ์ป้องกันภัยที่ทุกองค์กรที่ใช้อยู่ ก็สามารถมองเห็นเนื้อหาข้อมูล (content) ได้เช่นกัน
คำตอบคือ ก็ขึ้นอยู่กับการใช้งาน ... หากเราคิดเพียงว่าการมองเห็นเนื้อหาข้อมูล (content) ก็เป็นการ sniff "สนิฟ" ไปเสียหมด นี้ก็ไม่ต้องทำอะไรกันพอดี ไม่ต้องมีระบบป้องกันภัยคุกคามปล่อยให้เป็นไปตามเวรตามกรรมก็คงไม่ผิด หากเป็นเช่นนี้คงไม่ได้ ดังนั้น เราจึงควรสร้างความเข้าใจ ถึงเทคโนโลยีที่เราใช้อยู่อย่างมีเหตุและผลมากขึ้น
เรามาดูอีกด้านหนึ่งบ้าง คือ โทษของ sniffer ...
ลำพังด้วยโปรแกรมอย่างเดียวนั้นคงไม่มีโทษอะไร มันก็เป็นเพียงเครื่องมือหนึ่งของมนุษย์ เป็นโทษ หรือเป็นภัยนั้น คือผู้ใช้โปรแกรม sniffer นั่นเอง หากใช้ในเจตนาที่ไม่เหมาะสม เช่นการดักข้อมูลผู้อื่นโดยมิชอบนั้นแน่นอนครับผิด ทั้งผิดตามศิลธรรมแล้วยังผิดในมาตรา 8 ของพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย ทั้งนี้จะผิดกฏหมายได้ต้องดูที่เจตนาผู้ใช้ sniffer เป็นหลักนะครับ
ทีนี้เรามาดูกันว่า เราจะรู้ทัน sniffer กัน "เราจะรู้ได้อย่างไรว่ามีใครดักข้อมูลเราอยู่" กันดีกว่า
ตอนต่อไปผมจะกล่าวถึงวิธีรู้ทัน sniffer โดยจะพิจารณาตามลักษณะการรับส่งข้อมูลดังนี้
1. พิจารณาจากมุมมอง การใช้ข้อมูล หากเราเอาตัวเองเป็นศูนย์กลาง ตัวเรานั่งอยู่ที่ไหน ?
1.1 ที่ทำงาน (office ที่เราทำงานอยู่) --> ใครจะ sniff "สนิฟ" เราได้
1.2 ที่ไม่ใช่ที่ทำงาน เช่น บ้าน ร้านกาแฟ อื่นๆ --> ใครจะ sniff "สนิฟ" เราได้
และเราจะรู้ทันได้อย่างไร ?
ถ้าหากเราระแวง จนถึงขั้นว่าทุกการกระทำต้องเข้ารหัส (encryption) เพื่อป้องกันการดักข้อมูลนั้นจะช่วยป้องกันได้เพียงใด ?
2. การทะลุข้อมูลถึงแม้จะเข้ารหัส การสามารถอ่านข้อมูลได้โดยผ่านเทคนิคที่เรียกว่า Man in the Middle attack (MITM)
2.1 ที่ทำงาน (office ที่เราทำงานอยู่) ---> ใครจะ MITM เราได้
2.2 ที่ไม่ใช่ที่ทำงาน เช่น ที่บ้าน ร้านกาแฟ อื่นๆ --> ใครจะ MITM เราได้
และเราจะรู้ทันได้อย่างไร ?
ผมมีคำตอบให้ในตอนหน้า ครับ
เพื่อความแข็งแรงขึ้น และจะได้ลงลึกในรายละเอียดที่กล่าวในตอนหน้าต่อไป ให้กลับไปอ่านเรื่องมุมมองภัยคุกคามจาก
http://nontawattalk.blogspot.com/2009/04/blog-post.html
และ http://nontawattalk.blogspot.com/2009/10/3-in-3-out.html
และ บทความภัยคุกคามตาม Layer ทั้ง 7
http://nontawattalk.blogspot.com/2009/08/layer-7.html
http://nontawattalk.blogspot.com/2009/09/layer-7-2.html
http://nontawattalk.blogspot.com/2009/09/layer-7-3.html
นนทวรรธนะ สาระมาน
Nontawattana Saraman
07/02/53
07/02/53
วันพฤหัสบดี, เมษายน 23
เทคนิคการสืบหาผู้กระทำความผิดบนระบบเครือข่ายคอมพิวเตอร์
จากเดิมเรามักจะแก้ปัญหาที่ปลายเหตุเสมอ ในกรณีที่มีผู้บุกรุกระบบไม่ว่าเป็นคนภายนอกองค์กร หรือคนในองค์กรเอง ที่เป็นอาชญากรทางคอมพิวเตอร์ ทั้งที่ทำด้วยเจตนา และด้วยความรู้เท่าไม่ถึงการณ์ หลักฐานสำคัญสำหรับการสืบสวนสอบสวนคือ Log ในอดีตที่ยังไม่มีกฏหมายคงมีหลายหน่วยงานที่อาจไม่ให้ความสำคัญกับเรื่อง ระบบรักษาความมั่นคงปลอดภัยทางข้อมูลเลยก็ว่าได้ และเมื่อเกิดปัญหาก็มักจะสืบหาผู้กระทำความผิดจึงเป็นเรื่องที่ยากแต่เมื่อได้อ่านบทความนี้แล้วจะทำให้เกิดความเข้าใจในการสืบหาร่องรอยการกระทำความผิดทางระบบไอทีมากขึ้น อย่างน้อยจะได้หลักคิด ถึงการตรวจสอบที่มาที่ไปของข้อมูลสารสนเทศ การไหลเวียนข้อมูลที่เกิดขึ้นบนโลกอินเตอร์เน็ตได้
ก่อนที่ในความหมาย Log ต้องเข้าใจก่อนว่าข้อมูลจรารจรนี้เกิดขึ้น จากการสื่อสาร ที่มีฝั่งส่งข้อมูล และ ฝั่งรับข้อมูล ตามกลไกล ของ OSI 7 layer ซึ่งเป็นเส้นทางลำเลียงข้อมูล ผมมักจะกล่าวถึงรูปที่สร้างความเข้าใจง่ายได้ชัดขึ้นคือ หลักการที่ผมคิดขึ้นเองนั้นคือ 3 - in 3 - out
ซึ่ง ข้อมูลที่ไหลเวียนบนระบบเครือข่าย จะไม่สามารถดูย้อนหลังได้เนื่องจากเป็น Real - Time การดูย้อนหลังได้มีวิธีการเดียวคือ ดูจาก "Log"
ซึ่งในความหมายของ Log คืออะไรนั้น ผมให้คำนิยามว่า "ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน"
คุณเคยได้ยินคำกล่าวที่ว่า อากาศที่เราหายใจอยู่ ได้รับอิทธิพลจากแพนตอลใต้น้ำในมหาสมุทรแปซิฟิค และ ผีเสื้อกระพือปีกในประเทศจีน ก็อาจส่งผลให้เกิดพายุเฮอริเคนที่อเมริกา นี้คงเป็นเพราะทุกอย่างมันประสานความสอดคล้องกันอยู่เป็นห่วงโซ่ของความ สัมพันธ์กันจากสิ่งหนึ่งไปสิ่งหนึ่ง บนเงื่อนไขของกาลเวลา การดำรงชีวิตของเราก็เช่นกัน ทุกรายละเอียดที่เราเคลื่อนไหว ก็ย่อมสร้างความเปลี่ยนแปลงให้เกิดขึ้น ไม่เคยหยุดนิ่ง เช่นเดียวกันวงโคจรของโลกมนุษย์หมุนรอบตัวเอง หมุนรอบดวงอาทิตย์ การหมุนนั้นทำให้สิ่งมีชีวิตได้มีการเปลี่ยนแปลง การหยุดนิ่ง หรือไม่เปลี่ยนแปลง มีอยู่อย่างเดียวนั้นคือไม่มีชีวิตอยู่
นี้เองจึงเป็นเหตุผลที่ผมให้คำนิยามว่า Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
ขอยกตัวอย่างเพื่อให้เห็นภาพความสัมพันธ์ที่เชื่อมโยงกันของการรับ-ส่งข้อมูล ในการใช้งานอินเตอร์เน็ต เพื่อสร้างความเข้าใจถึงนิยามความหมาย Log มากขึ้น
นาย ก อยู่บริษัท XYZ ต้องการเปิดเว็บไซต์ google เพื่อค้นหาสิ่งที่ต้องการ
นาย ก. เปิดบราวเซอร์ Firefox เพื่อใส่ URL ว่า www.google.com พร้อมทั้งกดปุ่ม Enter
เพียงเสี้ยววินาที นาย ก. ก็สามารถเข้าถึงข้อมูลได้
กลไกลเบื้องหลังเหตุการณ์นี้ หากพิสูจน์ตามหลักการไหลเวียนข้อมูล 3-in-3-out
เครื่องคอมพิวเตอร์ของ นาย ก. ถือว่าเป็นระดับ Host กำลังต้องการเรียกข้อมูลการลำเลียงข้อมูลจากเครื่องคอมพิวเตอร์ ก็ส่งผ่านไปยัง อุปกรณ์เครือข่ายของบริษัท XYZ ไปที่ Core Switch และส่งไปยัง Perimeter ของเครือข่ายบริษัท XYZ นั้นคืออุปกรณ์ Router เพื่อต่อสัญญาณข้อมูลไปยังผู้ให้บริการ (ISP) ที่บริษัทฯได้เช่าสัญญาณ จากนั้น หากข้อมูลปลายทางมาจากต่างประเทศ การลำเลียงข้อมูลจาก ISP ก็จะส่งไปยังจุดเชื่อมต่อเครือข่ายระหว่างประเทศ หรือที่เรียกว่า International Internet Gateway เรียกสั้นๆ ว่า IIG และเลือกเส้นทางเดินทางที่ใกล้ที่สุด ไปยังแหล่งข้อมูลปลายทางที่ต้องการจะเดินทางไปถึง ข้อมูลก็ได้ถูกลำเลียงผ่านเส้นทางที่ใกล้ที่สุดผ่านเข้าสู่เครือข่าย google เว็บไซต์ที่ นาย ก. ต้องการเปิด ข้อมูลนั้นก็จะส่งผ่าน Perimeter Network ของ google เข้าสู่ Core Switch ของ google เข้าสู่เครื่องคอมพิวเตอร์ที่ประมวลผลเว็บไซต์ google ซึ่งในความเป็นจริงอาจเป็น Colud Computer ที่ต่อกันเป็นหมื่นๆตัว ซึ่งข้อมูลที่นาย ก. เรียก อาจตกไปที่เครื่องแม่ข่ายตัวใดตัวหนึ่งใน Colud Computer นั้น จากนั้นเส้นทางการประมวลผลของเครื่องแม่ข่าย google ก็ส่งข้อมูลไปยัง Core Switch เครือข่าย google และส่งข้อมูลไปยังอุปกรณ์ Router ออกสู่เครือข่าย google ไปสู่เครือข่ายผู้ให้บริการที่อยู่ต่างประเทศ และไปสู่เครือข่ายที่ใกล้ที่สุด ลำเลียงข้อมูลมายัง
IIG เมืองไทย และส่งต่อไปที่ผู้ให้บริการในประเทศ และส่งข้อมูลไปที่บริษัท XYZ ส่งข้อมูลผ่าน Perimeter Network ของบริษัทเข้าสู่ Core Switch ของบริษัท และเข้าสู่เครื่องคอมพิวเตอร์ที่ นาย ก. เรียกใช้บริการ เส้นทางการลำเลียงข้อมูลดูเหมือนไกลมากข้ามโลกกันที่เดียว แต่ใช้เวลาเพียงชั่วพริบตาเดียว นาย ก. ก็สามารถรับรู้ข้อมูลที่ต้องการได้
และทุกที่ ที่มีการลำเลียงข้อมูลนั้นจะมีร่องรอยการใช้งานของนาย ก. เสมอ หากมีการเก็บบันทึก log ทุกๆ ส่วนของเส้นทางที่กล่าวมา และหาก นาย ก. เป็น Hacker ผู้ไม่รอบครอบและเพียงคิดว่าจะลบ Log เพียงสิ่งที่ตนเองรู้นั้นอาจจะไม่ได้หมายความว่าจะลบได้หมดทุกๆที่ที่เข้าไป การหาร่องรอยผู้กระทำความผิดนั้นจึงเป็นสิ่งที่ไม่ยากเลยในโลกดิจิตอล
อันที่จริงแล้วมันก็เป็นไปตามกฏอิทัปปัจจยตา ในศาสนาพุทธ นั้นเอง คือเมื่อมีสิ่งใดเกิดขึ้นสิ่งนี้ก็จะเกิดขึ้นตาม ทุกอย่างนั้นมีที่มาและที่ไป สิ่งนี้เกิด สิ่งนี้จะเกิดขึ้น
มาถึงตรงนี้จะอยากจะขอสนับสนุนความหมาย Log ที่ว่า ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
การเปลี่ยนแปลงนั้นเริ่มตั้งแต่ ปุ่ม Enter ของนาย ก. ได้ยุบลง เพียงเสี้ยวมิลลิเมตรก็เกิดการเปลี่ยนในเครื่องคอมพิวเตอร์ภายในของนาย ก. เพียงสัมผัสปุ่มการประมวลผลภายใน CPU / RAM การหมุนของฮาร์ดดิสบนเครื่องนาย ก. ก็ได้เริ่มขึ้น การลำเลียงข้อมูลเมื่อมีการส่งข้อมูลออกไป ก็ทำให้ Core Switch บริษัท xyz ที่นาย ก. ใช้งานก็เริ่มมีการประมวลผล Switch ก็เริ่มเสื่อม ส่งผ่านไปยัง Router ก็เริ่มเสื่อม Server ของ google ก็เริ่มเสื่อม ตามเวลาที่หมุนไป
การเปลี่ยนแปลงนั้นคือความเสื่อม และทุกครั้งที่มีการเคลื่อนไหวของข้อมูลก็ย่อมทำให้มีการเปลี่ยนแปลง ไม่เพียงแต่ว่าการเปลี่ยนแปลงนั้นเราอาจไม่สังเกต มันเป็นการเปลี่ยนแปลงภายในที่ประสาทตาของมนุษย์อาจไม่ได้เข้าถึง
ภาพแสดงเส้นทางการไหลเวียนข้อมูล เชื่อมโยงกันจากต้นทางไปยังปลายทางที่เรียกใช้ข้อมูล
การไหลเวียนของข้อมูล ตามหลัก OSI 7 layer หรือ 3 in 3 out คือห่วงโซ่ ของเหตุการณ์
ห่วงโซ่ของเหตุการณ์ เราเรียกว่า "Chain of Event"
ห่วง โซ่ของเหตุการณ์ ลำดับเหตุการณ์ตามเวลา ตามความเป็นจริง และเกิดเป็นประวัติของผู้ใช้งาน ประวัติของอุปกรณ์ที่ทำงาน และหากเป็นกรณีที่สำคัญและได้ถูกบันทึกไว้ก็จะกลายเป็นประวัติศาสตร์ และกรณีศึกษาต่อไป
สิ่งที่ควรบันทึกตาม ห่วงโซ่เหตุการณ์ คือ
Who ใคร , What อะไร , Where ที่ใด , When เวลาใด , Why (how) อย่างไร
ซึ่งการบันทึกสิ่งเหล่านี้ เราเรียกว่า "Data Arachive"
Data Archive ก็คือ Log จากห่วงโซ่ของเหตุการณ์ ถ้านำคำหมาย Log ที่กล่าวมา จะรวมประโยคนี้ได้ว่า Data Archive คือ พฤติกรรมการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน จากห่วงโซ่ของเหตุการณ์
แต่ เรายังขาดความน่าเชื่อถือในการเก็บบันทึก Data Archive นี้ เนื่องจาก Log เองก็อาจเกิดเปลี่ยนแปลงได้จากใครก็ได้ ที่มีความรู้ และแก้ไขเปลี่ยนแปลง เหตุการณ์จากห่วงโซ่ของเหตุการณ์นี้ ้ ถึงแม้การแก้ไข อาจเกิดขึ้น บนห่วงโซ่เหตุการณ์ใดเหตุการณ์หนึ่ง แต่ก็ยังมีร่องรอยการใช้งานจากห่วงโซ่ที่เหลืออยู่ได้ เพียงแค่ว่าการแก้ไขได้ อาจส่งผลให้ข้อมูลตามห่วงโซ่นั้นมีความคลาดเคลื่อน ไปได จนไม่สามารถสืบหาสาเหตุได้ พูดง่ายๆ ว่าหลักฐานไม่เพียงพอได้เช่นกัน
ห่วง โซ่เหตุการณ์ (Chain of event) นั้นจึงควรถูกคุ้มกัน คุ้มครอง เพื่อเป็นการรักษาข้อมูลที่เก็บบันทึกนั้นให้คงสภาพเดิม ซึ่งเรามีศัพท์เรียกว่า "Chain of Cusdoty"
เก็บ Log แบบไหนถึงจะพอเพียง
การเก็บพอเพียง ก็เพียงแค่คุณตอบให้ได้ ตาม Chain of event และมีการเก็บรักษาแบบ Chain of Custody ให้ได้ก็พอ ไม่ว่าจะใช้เทคโนโลยีใด แบบใด เมื่อต้องมีการพิสูจน์หาหลักฐาน
ในการเก็บบันทึกข้อมูลจราจร (Data Traffic Log Recorder) สำคัญอยู่ที่ ได้เก็บครบตามนี้หรือไม่ คือ
1. Data Archive เก็บ Log จากห่วงโซ่เหตุการณ์ (Chain of event)
2. มีการตั้งค่า Time Sync เวลาที่ตรงตามมาตราฐาน
3. มีการทำ Data Hashing หรือไม่ คือมีการเก็บ Log เพื่อรักษาหลักฐานและยืนยันความถูกต้องของเนื้อหา Log จากห่วงโซ่เหตุการณ์ คือ เนื้อ file Log มีการยืนยันค่า Integrity หรือไม่ ตรงนี้สำคัญ เพราะว่าหากลงทุนโดยใช้งบประมาณจำนวนมากแล้ว แต่ไม่ได้ทำการ Check Integrity files โดยสากลใช้ Algorithm MD5 , SHA-1 เพื่อใช้ในการ check Log files แล้ว หรือ นำ Log files ที่ได้เขียนข้อมูลลงในแผ่น CD และเก็บบันทึกเป็นรายวันไป การลงทุนที่ว่าจะไม่มีเกิดประโยชน์เลยหากไม่มีการยืนยันความถูกต้องของหลัก ฐานจาก Log files สิ่งนี้ผู้ที่ต้องจัดหาเทคโนโลยีในการเก็บบันทึกข้อมูล นั้นจำเป็นต้องให้ความสำคัญมาก เพราะจัดหามาแล้ว อาจใช้ไม่ได้ตรงตามข้อกำหนดของ พ.ร.บ นี้ก็ได้ หรือในกรณีที่ต้องถึงชั้นศาล ก็ไม่สามารถยืนยันหลักฐานนี้ในชั้นศาลได้ถึงความถูกต้องของข้อมูล
ข้อมูล ที่เข้า และออก ในระดับ Internet เป็นข้อมูลจากโลกภายนอก ระดับ ISP (Internet Services Provider) หรือมองในระดับ WAN Technology ที่กำลังเข้าสู่ระบบเครือข่ายที่เราใช้งาน และ เป็นข้อมูลที่เราจะต้องทำการติดต่อออกไป จากภายในเครือข่ายที่เราใช้งาน เพื่อติดต่อออกไปตามเป้าหมายที่เราต้องการ ได้แก่ เราต้องการเปิด Web ไม่ว่าเป็นเว็บภายในประเทศ หรือ นอกประเทศ ก็เป็นการเชื่อมต่อแบบ HTTP port 80 ที่เป็นการติดต่อแบบ TCP การส่ง E-mail เชื่อมต่อแบบ SMTP port 25 ที่เป็น TCP เป็นต้น
ภายใน ระบบเครือข่ายของเรา ออกไปข้างนอก ต้องผ่านอุปกรณ์ Router จากฝั่งของเรา เพื่อไปยังจุดหมาย และเส้นทางลำเลียงข้อมูลสารสนเทศ จะดำเนินตามหลัก OSI 7 layer และ TCP/IP
พิจารณา Intrusion ภัยคุกคามทางข้อมูลที่ได้รับจากเส้นทางลำเลียงข้อมูลจาก ISP เข้าสู่ระบบเครือข่ายของเรา ส่วน Extrusion ภัยคุกคามทางข้อมูล ขา ออกเครือข่ายของเราไปยังโลกอินเตอร์เน็ท
อุปกรณ์ ที่เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการทำสืบหาการกระทำผิดทางอาชญากรรม คอมพิวเตอร์ (Network Forensics) ข้อมูลของ Log ที่เกิดขึ้นจากอุปกรณ์ Router ตามเส้นทางเดินทางของข้อมูล ทั้ง เข้า และ ออก ไปยังที่หมาย
ข้อมูล ที่เข้า และออกในระดับ Network เป็นข้อมูลจากเครือข่ายที่เราอยู่ ในระดับ LAN เราจะเริ่มพิจารณา ข้อมูล ที่เข้า และออกในระดับที่ ระดับชายแดนเครือข่าย (Perimeter Network) ตั้งแต่อุปกรณ์ Router ฝั่งเครือข่ายของเรา
พิจารณา Intrusion ภัยคุกคามทางข้อมูล ขา เข้าสู่ระบบเครือข่ายของเรา เป็นการเดินทางของข้อมูลจากอุปกรณ์ Router ฝั่งเครือข่ายของเรา ไปยัง Perimeter Network เข้าสู่วง LAN
พิจารณา Extrusion ภัยคุกคามทางข้อมูล ขา ออกจากระบบเครือข่ายของเรา จากวง LAN ไปสู่ Perimeter Network
ิอุปกรณ์ที่เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการสืบหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ (Network Forensics)
ทาง ขาเข้า คือ ข้อมูลของ Log ที่เกิดขึ้นจากอุปกรณ์ Internal Router , Network Firewall ,Core Switch , NIDS/IPS Access Switch , Proxy และ อุปกรณ์ Access Point (AP) เป็นต้น
ข้อมูล ที่เข้า และออกในระดับ Host เป็นข้อมูลจากเครื่องคอมพิวเตอร์ที่ใช้งาน ในระดับ End Point ได้แก่ เครื่องแม่ข่าย (Computer Server) , เครื่องลูกข่าย (Computer Client) , Note book , PDA เป็นต้น
ข้อมูลในระดับ Internet เข้าสู่วง LAN และไปสิ้นสุดที่ End Point
พิจารณา Intrusion ภัยคุกคาม ขา เข้าสู่เครื่องคอมพิวเตอร์ของเรา (Host) เป็นการเดินทางข้อมูลจากเครือข่ายของเรา (LAN) ในจุดต่างๆ เข้าสู่เครื่องคอมพิวเตอร์ ที่อาจเป็นเครื่องแม่ข่าย , เครื่องลูกข่าย หรืออื่นๆ และแสดงผลข้อมูลผ่านระบบคอมพิวเตอร์ปลายทางที่เรียกใช้ข้อมูล
การ พิจารณา Extrusion ภัยคุกคาม ขา ออกจากเครื่องคอมพิวเตอร์ของเรา (Host) ผ่านไปยังระบบเครือข่ายของเรา (LAN) ออกสู่ Perimeter Network และเดินทางไปสู่โลกอินเตอร์เน็ท (Internet)
เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการสืบหาการกระทำผิดทางอาชญากรรม คอมพิวเตอร์ ในส่วนนี้คือ Log ที่เกิดจากอุปกรณ์ End point ได้แก่ เครื่องแม่ข่าย (Server) , เครื่องลูกข่าย (Client) , อุปกรณ์มือถือที่เชื่อมต่อเครือข่ายคอมพิวเตอร์ภายใน ออกสู่อินเตอร์เน็ทได้
ทุกอย่างมีที่มาและมีที่ไป ผลของการกระทำของเราเพียงน้อยนิดอาจส่งผลต่อเนื่องเป็นห่วงโซ่ ห่วงโซ่ของเหตุการณ์ มันร้อยเรียงขึ้นแล้ว และจะเป็นอย่างนี้ต่อไปจนกว่าชีิวิตของเราจะดับสูญ
ข้อมูลอื่นๆ
มาร่วมกันเก็บ Log เพื่อป้องกันปัญหาที่เกิดขึ้นในอนาคต
กับ ชุมชน คนออม Log (Keep Log Society)
หลายคนไปสนใจว่าต้องเก็บ Log อย่างไรถึงจะตรงตามกฏหมายที่ประกาศใช้ แต่หากเข้าใจว่า
สาระสำคัญของกฏหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ที่ประกาศขึ้นนั้นไม่มีอะไรมากก็เพียง "ต้องการหาผู้กระทำความผิดมาลงโทษ" ให้ได้ จะเป็นประโยชน์อย่างยิ่ง สำหรับการเตรียมตัวในการรับมือกับการเปลี่ยนแปลงทั้งองค์ความรู้ และการปรับตัวในการใช้ระบบสารสนเทศให้มีความตระหนักถึงภัยอันตรายมากขึ้น และส่วนหนึ่งที่ต้องนำมาศึกษากันมากขึ้นนั้นคือ การสร้างจริยธรรมในการใช้คอมพิวเตอร์ (Computer / Internet Ethics) จริยธรรมจะมีความสัมพันธ์พื้นฐานระหว่างมนุษย์ที่ต้องใช้หลัก "เอาใจเขามาใส่ใจเรา" หากเรามีสติและมีความตะหนักรู้ ก็ย่อมเกิดผลดีในโลกไซเบอร์นี้ได้
ดังนั้น Log files เป็นเพียงเครื่องมือหนึ่งที่ใช้ในการสืบสวนสอบสวน และใช้ในการประกอบคดีเพื่อหาผู้กระทำความผิดทางคอมพิวเตอร์
Log นั้นเกิดขึ้นมาได้อย่างไรก่อนที่ในความหมาย Log ต้องเข้าใจก่อนว่าข้อมูลจรารจรนี้เกิดขึ้น จากการสื่อสาร ที่มีฝั่งส่งข้อมูล และ ฝั่งรับข้อมูล ตามกลไกล ของ OSI 7 layer ซึ่งเป็นเส้นทางลำเลียงข้อมูล ผมมักจะกล่าวถึงรูปที่สร้างความเข้าใจง่ายได้ชัดขึ้นคือ หลักการที่ผมคิดขึ้นเองนั้นคือ 3 - in 3 - out
ซึ่ง ข้อมูลที่ไหลเวียนบนระบบเครือข่าย จะไม่สามารถดูย้อนหลังได้เนื่องจากเป็น Real - Time การดูย้อนหลังได้มีวิธีการเดียวคือ ดูจาก "Log"
ซึ่งในความหมายของ Log คืออะไรนั้น ผมให้คำนิยามว่า "ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน"
คุณเคยได้ยินคำกล่าวที่ว่า อากาศที่เราหายใจอยู่ ได้รับอิทธิพลจากแพนตอลใต้น้ำในมหาสมุทรแปซิฟิค และ ผีเสื้อกระพือปีกในประเทศจีน ก็อาจส่งผลให้เกิดพายุเฮอริเคนที่อเมริกา นี้คงเป็นเพราะทุกอย่างมันประสานความสอดคล้องกันอยู่เป็นห่วงโซ่ของความ สัมพันธ์กันจากสิ่งหนึ่งไปสิ่งหนึ่ง บนเงื่อนไขของกาลเวลา การดำรงชีวิตของเราก็เช่นกัน ทุกรายละเอียดที่เราเคลื่อนไหว ก็ย่อมสร้างความเปลี่ยนแปลงให้เกิดขึ้น ไม่เคยหยุดนิ่ง เช่นเดียวกันวงโคจรของโลกมนุษย์หมุนรอบตัวเอง หมุนรอบดวงอาทิตย์ การหมุนนั้นทำให้สิ่งมีชีวิตได้มีการเปลี่ยนแปลง การหยุดนิ่ง หรือไม่เปลี่ยนแปลง มีอยู่อย่างเดียวนั้นคือไม่มีชีวิตอยู่
นี้เองจึงเป็นเหตุผลที่ผมให้คำนิยามว่า Log คือ ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
ขอยกตัวอย่างเพื่อให้เห็นภาพความสัมพันธ์ที่เชื่อมโยงกันของการรับ-ส่งข้อมูล ในการใช้งานอินเตอร์เน็ต เพื่อสร้างความเข้าใจถึงนิยามความหมาย Log มากขึ้น
นาย ก อยู่บริษัท XYZ ต้องการเปิดเว็บไซต์ google เพื่อค้นหาสิ่งที่ต้องการ
นาย ก. เปิดบราวเซอร์ Firefox เพื่อใส่ URL ว่า www.google.com พร้อมทั้งกดปุ่ม Enter
เพียงเสี้ยววินาที นาย ก. ก็สามารถเข้าถึงข้อมูลได้
กลไกลเบื้องหลังเหตุการณ์นี้ หากพิสูจน์ตามหลักการไหลเวียนข้อมูล 3-in-3-out
เครื่องคอมพิวเตอร์ของ นาย ก. ถือว่าเป็นระดับ Host กำลังต้องการเรียกข้อมูลการลำเลียงข้อมูลจากเครื่องคอมพิวเตอร์ ก็ส่งผ่านไปยัง อุปกรณ์เครือข่ายของบริษัท XYZ ไปที่ Core Switch และส่งไปยัง Perimeter ของเครือข่ายบริษัท XYZ นั้นคืออุปกรณ์ Router เพื่อต่อสัญญาณข้อมูลไปยังผู้ให้บริการ (ISP) ที่บริษัทฯได้เช่าสัญญาณ จากนั้น หากข้อมูลปลายทางมาจากต่างประเทศ การลำเลียงข้อมูลจาก ISP ก็จะส่งไปยังจุดเชื่อมต่อเครือข่ายระหว่างประเทศ หรือที่เรียกว่า International Internet Gateway เรียกสั้นๆ ว่า IIG และเลือกเส้นทางเดินทางที่ใกล้ที่สุด ไปยังแหล่งข้อมูลปลายทางที่ต้องการจะเดินทางไปถึง ข้อมูลก็ได้ถูกลำเลียงผ่านเส้นทางที่ใกล้ที่สุดผ่านเข้าสู่เครือข่าย google เว็บไซต์ที่ นาย ก. ต้องการเปิด ข้อมูลนั้นก็จะส่งผ่าน Perimeter Network ของ google เข้าสู่ Core Switch ของ google เข้าสู่เครื่องคอมพิวเตอร์ที่ประมวลผลเว็บไซต์ google ซึ่งในความเป็นจริงอาจเป็น Colud Computer ที่ต่อกันเป็นหมื่นๆตัว ซึ่งข้อมูลที่นาย ก. เรียก อาจตกไปที่เครื่องแม่ข่ายตัวใดตัวหนึ่งใน Colud Computer นั้น จากนั้นเส้นทางการประมวลผลของเครื่องแม่ข่าย google ก็ส่งข้อมูลไปยัง Core Switch เครือข่าย google และส่งข้อมูลไปยังอุปกรณ์ Router ออกสู่เครือข่าย google ไปสู่เครือข่ายผู้ให้บริการที่อยู่ต่างประเทศ และไปสู่เครือข่ายที่ใกล้ที่สุด ลำเลียงข้อมูลมายัง
IIG เมืองไทย และส่งต่อไปที่ผู้ให้บริการในประเทศ และส่งข้อมูลไปที่บริษัท XYZ ส่งข้อมูลผ่าน Perimeter Network ของบริษัทเข้าสู่ Core Switch ของบริษัท และเข้าสู่เครื่องคอมพิวเตอร์ที่ นาย ก. เรียกใช้บริการ เส้นทางการลำเลียงข้อมูลดูเหมือนไกลมากข้ามโลกกันที่เดียว แต่ใช้เวลาเพียงชั่วพริบตาเดียว นาย ก. ก็สามารถรับรู้ข้อมูลที่ต้องการได้
และทุกที่ ที่มีการลำเลียงข้อมูลนั้นจะมีร่องรอยการใช้งานของนาย ก. เสมอ หากมีการเก็บบันทึก log ทุกๆ ส่วนของเส้นทางที่กล่าวมา และหาก นาย ก. เป็น Hacker ผู้ไม่รอบครอบและเพียงคิดว่าจะลบ Log เพียงสิ่งที่ตนเองรู้นั้นอาจจะไม่ได้หมายความว่าจะลบได้หมดทุกๆที่ที่เข้าไป การหาร่องรอยผู้กระทำความผิดนั้นจึงเป็นสิ่งที่ไม่ยากเลยในโลกดิจิตอล
อันที่จริงแล้วมันก็เป็นไปตามกฏอิทัปปัจจยตา ในศาสนาพุทธ นั้นเอง คือเมื่อมีสิ่งใดเกิดขึ้นสิ่งนี้ก็จะเกิดขึ้นตาม ทุกอย่างนั้นมีที่มาและที่ไป สิ่งนี้เกิด สิ่งนี้จะเกิดขึ้น
มาถึงตรงนี้จะอยากจะขอสนับสนุนความหมาย Log ที่ว่า ข้อมูลการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน
การเปลี่ยนแปลงนั้นเริ่มตั้งแต่ ปุ่ม Enter ของนาย ก. ได้ยุบลง เพียงเสี้ยวมิลลิเมตรก็เกิดการเปลี่ยนในเครื่องคอมพิวเตอร์ภายในของนาย ก. เพียงสัมผัสปุ่มการประมวลผลภายใน CPU / RAM การหมุนของฮาร์ดดิสบนเครื่องนาย ก. ก็ได้เริ่มขึ้น การลำเลียงข้อมูลเมื่อมีการส่งข้อมูลออกไป ก็ทำให้ Core Switch บริษัท xyz ที่นาย ก. ใช้งานก็เริ่มมีการประมวลผล Switch ก็เริ่มเสื่อม ส่งผ่านไปยัง Router ก็เริ่มเสื่อม Server ของ google ก็เริ่มเสื่อม ตามเวลาที่หมุนไป
การเปลี่ยนแปลงนั้นคือความเสื่อม และทุกครั้งที่มีการเคลื่อนไหวของข้อมูลก็ย่อมทำให้มีการเปลี่ยนแปลง ไม่เพียงแต่ว่าการเปลี่ยนแปลงนั้นเราอาจไม่สังเกต มันเป็นการเปลี่ยนแปลงภายในที่ประสาทตาของมนุษย์อาจไม่ได้เข้าถึง
ภาพแสดงเส้นทางการไหลเวียนข้อมูล เชื่อมโยงกันจากต้นทางไปยังปลายทางที่เรียกใช้ข้อมูล
การไหลเวียนของข้อมูล ตามหลัก OSI 7 layer หรือ 3 in 3 out คือห่วงโซ่ ของเหตุการณ์
ห่วงโซ่ของเหตุการณ์ เราเรียกว่า "Chain of Event"
ห่วง โซ่ของเหตุการณ์ ลำดับเหตุการณ์ตามเวลา ตามความเป็นจริง และเกิดเป็นประวัติของผู้ใช้งาน ประวัติของอุปกรณ์ที่ทำงาน และหากเป็นกรณีที่สำคัญและได้ถูกบันทึกไว้ก็จะกลายเป็นประวัติศาสตร์ และกรณีศึกษาต่อไป
สิ่งที่ควรบันทึกตาม ห่วงโซ่เหตุการณ์ คือ
Who ใคร , What อะไร , Where ที่ใด , When เวลาใด , Why (how) อย่างไร
ซึ่งการบันทึกสิ่งเหล่านี้ เราเรียกว่า "Data Arachive"
Data Archive ก็คือ Log จากห่วงโซ่ของเหตุการณ์ ถ้านำคำหมาย Log ที่กล่าวมา จะรวมประโยคนี้ได้ว่า Data Archive คือ พฤติกรรมการใช้งานที่เกิดขึ้นแล้ว ซึ่งมีผลให้เกิดการเปลี่ยนแปลงในปัจจุบัน จากห่วงโซ่ของเหตุการณ์
แต่ เรายังขาดความน่าเชื่อถือในการเก็บบันทึก Data Archive นี้ เนื่องจาก Log เองก็อาจเกิดเปลี่ยนแปลงได้จากใครก็ได้ ที่มีความรู้ และแก้ไขเปลี่ยนแปลง เหตุการณ์จากห่วงโซ่ของเหตุการณ์นี้ ้ ถึงแม้การแก้ไข อาจเกิดขึ้น บนห่วงโซ่เหตุการณ์ใดเหตุการณ์หนึ่ง แต่ก็ยังมีร่องรอยการใช้งานจากห่วงโซ่ที่เหลืออยู่ได้ เพียงแค่ว่าการแก้ไขได้ อาจส่งผลให้ข้อมูลตามห่วงโซ่นั้นมีความคลาดเคลื่อน ไปได จนไม่สามารถสืบหาสาเหตุได้ พูดง่ายๆ ว่าหลักฐานไม่เพียงพอได้เช่นกัน
ห่วง โซ่เหตุการณ์ (Chain of event) นั้นจึงควรถูกคุ้มกัน คุ้มครอง เพื่อเป็นการรักษาข้อมูลที่เก็บบันทึกนั้นให้คงสภาพเดิม ซึ่งเรามีศัพท์เรียกว่า "Chain of Cusdoty"
เก็บ Log แบบไหนถึงจะพอเพียง
การเก็บพอเพียง ก็เพียงแค่คุณตอบให้ได้ ตาม Chain of event และมีการเก็บรักษาแบบ Chain of Custody ให้ได้ก็พอ ไม่ว่าจะใช้เทคโนโลยีใด แบบใด เมื่อต้องมีการพิสูจน์หาหลักฐาน
ในการเก็บบันทึกข้อมูลจราจร (Data Traffic Log Recorder) สำคัญอยู่ที่ ได้เก็บครบตามนี้หรือไม่ คือ
1. Data Archive เก็บ Log จากห่วงโซ่เหตุการณ์ (Chain of event)
2. มีการตั้งค่า Time Sync เวลาที่ตรงตามมาตราฐาน
3. มีการทำ Data Hashing หรือไม่ คือมีการเก็บ Log เพื่อรักษาหลักฐานและยืนยันความถูกต้องของเนื้อหา Log จากห่วงโซ่เหตุการณ์ คือ เนื้อ file Log มีการยืนยันค่า Integrity หรือไม่ ตรงนี้สำคัญ เพราะว่าหากลงทุนโดยใช้งบประมาณจำนวนมากแล้ว แต่ไม่ได้ทำการ Check Integrity files โดยสากลใช้ Algorithm MD5 , SHA-1 เพื่อใช้ในการ check Log files แล้ว หรือ นำ Log files ที่ได้เขียนข้อมูลลงในแผ่น CD และเก็บบันทึกเป็นรายวันไป การลงทุนที่ว่าจะไม่มีเกิดประโยชน์เลยหากไม่มีการยืนยันความถูกต้องของหลัก ฐานจาก Log files สิ่งนี้ผู้ที่ต้องจัดหาเทคโนโลยีในการเก็บบันทึกข้อมูล นั้นจำเป็นต้องให้ความสำคัญมาก เพราะจัดหามาแล้ว อาจใช้ไม่ได้ตรงตามข้อกำหนดของ พ.ร.บ นี้ก็ได้ หรือในกรณีที่ต้องถึงชั้นศาล ก็ไม่สามารถยืนยันหลักฐานนี้ในชั้นศาลได้ถึงความถูกต้องของข้อมูล
คดีความส่วนใหญ่ที่มักเกิดความเสี่ยงภัยไม่ว่าเป็น การหมิ่นประมาท การก่อการร้าย การขโมยข้อมูล การปลอมแปลงข้อมูล การก่อกวนทำให้ผู้อื่นเสียหาย มักจะเกิดจากการใช้งานอินเตอร์เน็ต หนีไม่พ้น Application Protocol ดังต่อไปนี้ คือ Web (HTTP, HTTPS) , Mail (SMTP , POP3 , IMAP อื่นๆ) , Chat (MSN , Yahoo , ICQ , IRC อื่นๆ) , VoIP , การ Upload / Download ที่อาจมีละเมิดทรัพย์สินทางปัญญา โดยใช้การใช้โปรแกรมพวก P2P , การ Remote Access ทั้งจากภายในองค์กร สู่ภายนอก และ ภายนอกองค์กร เข้าสู่ระบบภายใน เป็นต้น ล้วนมีความเสี่ยงหากใช้ด้วยพฤติกรรมที่ไม่เหมาะสมและขาดจริยธรรม ซึ่งอาจทำให้เกิดเป็นคดีความได้
โดยความเสี่ยงภัยดังกล่าวสามารถมองได้ 2 มุม เมื่อเอาตัวผู้ใช้งานเป็นศูนย์กลาง ว่ามีการใช้งานภายในองค์กร/ที่ทำงาน หรือ ภายนอกองค์กร /ที่ทำงาน คือ
1. มุมภายในองค์กร ผู้ใช้งานรับส่งข้อมูลภายในในสถานที่ได้มีการใช้งานอินเตอร์เน็ต เช่น บริษัท , สถาบันการศึกษา , โรงแรม , โรงพยาบาล , ร้านอินเตอร์เน็ตคาเฟ่ อื่นๆที่มีการเชื่อมต่ออินเตอร์เน็ตหรือเชื่อมข้อมูลสู่ภายนอกองค์กร (Extranet) ส่วน ต้องมีการเก็บบันทึกข้อมูลจราจร (Log) ส่วนสถานที่ให้บริการเครือข่ายไร้สาย (อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/169) เช่น ร้านกาแฟ, อาพาท์เม้น อื่นๆที่เป็นสาธารณะที่สามารถใช้ระบบอินเตอร์เน็ตเชื่อมต่อข้อมูลได้ จำเป็นต้องเก็บบันทึกข้อมูลจราจร หรือที่เรียกว่า Log เพื่อเป็นประโยชน์ในการสืบหาผู้กระทำความผิด เมื่อมีการฟ้องร้องขึ้นมาจะได้หาผู้กระทำความผิดได้อย่างสะดวกมากขึ้น
2. มุมภายนอก หรือเป็นระดับเครื่องคอมพิวเตอร์ ที่ให้บริการ ผู้ใช้งานรับส่งข้อมูลอยู่ภายนอกองค์กร เช่น ผู้ให้บริการเว็บไซด์ทั้งที่เป็น Hosting และ Webmaster ที่มี Domain (www.xyz.com) หรือมี Domain ใช้ในการรับส่งข้อมูล (FTP, Storage Server) หรือให้บริการสนทนาออนไลท์ (Chat Server เช่น IRC Server เป็นต้น) , ผู้ให้บริการ Mail Server , VoIP Server หรือให้บริการอินเตอร์เน็ต ISP ก็ควรต้องมีการเก็บบันทึกข้อมูลผู้ใช้งาน เพราะผู้ใช้บริการอาจสร้างความเสี่ยงให้เกิดคดีตามมาตรา 5 -16 ได้ ไม่ว่าผู้ใช้บริการเว็บ เว็บบอร์ด ผู้ใช้บริการ ISP ที่มี Account จากการเสียค่าบริการอินเตอร์เน็ต อาจใช้อินเตอร์เน็ตหมุนเบอร์โทรศัพท์ใช้ในทางที่ไม่เหมาะสม
ทั้ง 2 ข้อนี้พบว่าส่วนใหญ่แล้วผู้ที่มีความเสี่ยงภัยที่ก่อเหตุการอันไม่พึ่งประสงค์ ล้วนแล้วแต่เป็น ผู้ใช้งาน (User)
ใน มุมที่หนึ่ง : หน่วยงานที่ยังขาดโครงสร้างพื้นฐาน (ICT Infrastructure) เป็นเรื่องยากที่จะควบตุมการใช้งาน User ในองค์กรได้ หากยังไม่สามารถควบคุมการใช้งาน User ได้แล้วความเสี่ยงภัยย่อมเกิดขึ้นอย่างแน่นอน หากไม่มีการควบคุมการใช้งาน User นั้นคือ ขาดการควบคุมการใช้งาน User สำหรับใช้อินเตอร์เน็ต และขาดการควบคุมการใช้งาน User ที่ใช้ระบบไอซีทีภายในองค์กร เช่น การแชร์เอกสารไฟล์ , ขาดระบบระบุตัวตน (A=Authentication A=Authorization A=Accounting A=Auditing) , ขาดการมีสิทธิที่จะลงซอฟต์แวร์ในเครื่อง หรือการมีสิทธิในการรีโมตเข้าเครื่องสำคัญๆโดยปราศจากการเก็บบันทึก เช่น การ Telnet , Remote Desktop , FTP , VNC , VPN เป็นต้น
การควบคุม User ในการใช้งานอินเตอร์เน็ตไม่ใช่เรื่องยาก สามารถทำได้หลายวิธี แต่การควบคุม User การใช้งานภายในองค์กรเป็นเรื่องที่ยากและต้องใช้วิธีการออกแบบระบบจากผู้ เชี่ยวชาญและมีประสบการณ์
จึงกล้าพูดอย่างชนิดว่าเป็นความจริงว่าน้อยนักที่หน่วยงานในบ้านเราจะมีความพร้อมทางโครงสร้างพื้นฐาน ICT Infrastructure
ความหมายของโครงสร้างพื้นฐาน (ICT Infrastructure) นั้นคือ ต้องมีเทคโนโลยีที่เหมาะสม ต้องมีคนดูแลเทคโนโลยีให้เหมาะสม และมีนโยบายที่เหมาะสมในการจัดระเบียบการทำงานให้มีความเป็นมาตราฐาน และควบคุมคนเพื่อให้คนควบคุมเทคโนโลยีได้อย่างสอดคล้องกัน
ถึงแม้ส่วนใหญ่การสร้าง ICT Infrastructure เป็นเรื่องนโยบายและการสร้างคนมาใช้เทคโนโลยีให้เหมาะสมเป็นแผนระยะยาวที่ทุกหน่วยงานที่ใช้ระบบสารสนเทศต้องทำ เบื้องต้นเพื่อเป็นเทคนิคในการสืบหาความผิดปกติที่เกิดขึ้นจากการใช้้ข้อมูลภายในองค์กรเอง เราจะมีหลักการวิเคราะห์อย่างไรนั้นผมข้อสรุปให้ตามหลัก 3-in-3-out ดังนี้
หลักการวิเคราะห์หาผู้กระทำความผิดบนระบบเครือข่ายคอมพิวเตอร์
ข้อมูล ที่เข้า และออก ในระดับ Internet เป็นข้อมูลจากโลกภายนอก ระดับ ISP (Internet Services Provider) หรือมองในระดับ WAN Technology ที่กำลังเข้าสู่ระบบเครือข่ายที่เราใช้งาน และ เป็นข้อมูลที่เราจะต้องทำการติดต่อออกไป จากภายในเครือข่ายที่เราใช้งาน เพื่อติดต่อออกไปตามเป้าหมายที่เราต้องการ ได้แก่ เราต้องการเปิด Web ไม่ว่าเป็นเว็บภายในประเทศ หรือ นอกประเทศ ก็เป็นการเชื่อมต่อแบบ HTTP port 80 ที่เป็นการติดต่อแบบ TCP การส่ง E-mail เชื่อมต่อแบบ SMTP port 25 ที่เป็น TCP เป็นต้น
ภายใน ระบบเครือข่ายของเรา ออกไปข้างนอก ต้องผ่านอุปกรณ์ Router จากฝั่งของเรา เพื่อไปยังจุดหมาย และเส้นทางลำเลียงข้อมูลสารสนเทศ จะดำเนินตามหลัก OSI 7 layer และ TCP/IP
พิจารณา Intrusion ภัยคุกคามทางข้อมูลที่ได้รับจากเส้นทางลำเลียงข้อมูลจาก ISP เข้าสู่ระบบเครือข่ายของเรา ส่วน Extrusion ภัยคุกคามทางข้อมูล ขา ออกเครือข่ายของเราไปยังโลกอินเตอร์เน็ท
อุปกรณ์ ที่เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการทำสืบหาการกระทำผิดทางอาชญากรรม คอมพิวเตอร์ (Network Forensics) ข้อมูลของ Log ที่เกิดขึ้นจากอุปกรณ์ Router ตามเส้นทางเดินทางของข้อมูล ทั้ง เข้า และ ออก ไปยังที่หมาย
ข้อมูล ที่เข้า และออกในระดับ Network เป็นข้อมูลจากเครือข่ายที่เราอยู่ ในระดับ LAN เราจะเริ่มพิจารณา ข้อมูล ที่เข้า และออกในระดับที่ ระดับชายแดนเครือข่าย (Perimeter Network) ตั้งแต่อุปกรณ์ Router ฝั่งเครือข่ายของเรา
พิจารณา Intrusion ภัยคุกคามทางข้อมูล ขา เข้าสู่ระบบเครือข่ายของเรา เป็นการเดินทางของข้อมูลจากอุปกรณ์ Router ฝั่งเครือข่ายของเรา ไปยัง Perimeter Network เข้าสู่วง LAN
พิจารณา Extrusion ภัยคุกคามทางข้อมูล ขา ออกจากระบบเครือข่ายของเรา จากวง LAN ไปสู่ Perimeter Network
ิอุปกรณ์ที่เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการสืบหาการกระทำผิดทางอาชญากรรมคอมพิวเตอร์ (Network Forensics)
ทาง ขาเข้า คือ ข้อมูลของ Log ที่เกิดขึ้นจากอุปกรณ์ Internal Router , Network Firewall ,Core Switch , NIDS/IPS Access Switch , Proxy และ อุปกรณ์ Access Point (AP) เป็นต้น
ข้อมูล ที่เข้า และออกในระดับ Host เป็นข้อมูลจากเครื่องคอมพิวเตอร์ที่ใช้งาน ในระดับ End Point ได้แก่ เครื่องแม่ข่าย (Computer Server) , เครื่องลูกข่าย (Computer Client) , Note book , PDA เป็นต้น
ข้อมูลในระดับ Internet เข้าสู่วง LAN และไปสิ้นสุดที่ End Point
พิจารณา Intrusion ภัยคุกคาม ขา เข้าสู่เครื่องคอมพิวเตอร์ของเรา (Host) เป็นการเดินทางข้อมูลจากเครือข่ายของเรา (LAN) ในจุดต่างๆ เข้าสู่เครื่องคอมพิวเตอร์ ที่อาจเป็นเครื่องแม่ข่าย , เครื่องลูกข่าย หรืออื่นๆ และแสดงผลข้อมูลผ่านระบบคอมพิวเตอร์ปลายทางที่เรียกใช้ข้อมูล
การ พิจารณา Extrusion ภัยคุกคาม ขา ออกจากเครื่องคอมพิวเตอร์ของเรา (Host) ผ่านไปยังระบบเครือข่ายของเรา (LAN) ออกสู่ Perimeter Network และเดินทางไปสู่โลกอินเตอร์เน็ท (Internet)
เราควรพิจารณา เส้นทางการลำเลียงข้อมูลเพื่อใช้ในการสืบหาการกระทำผิดทางอาชญากรรม คอมพิวเตอร์ ในส่วนนี้คือ Log ที่เกิดจากอุปกรณ์ End point ได้แก่ เครื่องแม่ข่าย (Server) , เครื่องลูกข่าย (Client) , อุปกรณ์มือถือที่เชื่อมต่อเครือข่ายคอมพิวเตอร์ภายใน ออกสู่อินเตอร์เน็ทได้
ทุกอย่างมีที่มาและมีที่ไป ผลของการกระทำของเราเพียงน้อยนิดอาจส่งผลต่อเนื่องเป็นห่วงโซ่ ห่วงโซ่ของเหตุการณ์ มันร้อยเรียงขึ้นแล้ว และจะเป็นอย่างนี้ต่อไปจนกว่าชีิวิตของเราจะดับสูญ
ข้อมูลอื่นๆ
มาร่วมกันเก็บ Log เพื่อป้องกันปัญหาที่เกิดขึ้นในอนาคต
กับ ชุมชน คนออม Log (Keep Log Society)
นนทวรรธนะ สาระมาน
Nontawattana Saraman
วันพฤหัสบดี, ตุลาคม 30
หลักเกณฑ์การเก็บ Log เพื่อประโยชน์สำหรับเจ้าหน้าที่พนักงาน
เพื่อประโยชน์ต่อเจ้าหน้าที่พนักงาน และตำรวจในการตรวจสอบการเก็บบันทึกข้อมูลจราจรในองค์กร เพื่อใช้ในงานสืบสวนสอบสวนหาผู้กระทำความผิด จึงควรมีแบบตรวจสอบ (Checklist) สำหรับผู้รับผิดชอบดูแลให้มีการเตรียมความพร้อมโดยแบ่งขั้นตอนดังนี้
1. ออกนโยบายมาตราฐานการเก็บ Log เพื่อประโยชน์สำหรับเจ้าหน้าที่พนักงาน
1. 1 ข้อมูลจราจรทางคอมพิวเตอร์ควรมีการยืนยันความถูกต้องของข้อมูลที่จัดเก็บบันทึก โดยใช้เทคโนโลยี MD5, SHA-1 หรือการทำ Checksum เพื่อตรวจค่าความถูกต้องของข้อมูลที่จัดเก็บ หรือมีนโยบายการจัดเก็บแบ่งอำนาจหน้าที่การเข้าถึงข้อมูลจราจรที่ได้ถูกเก็บบันทึกไว้ โดยมีผู้บริหารของหน่วยงานเป็นผู้กำหนดและแบ่งบทความหน้าที่ผู้รับผิดชอบเพื่อรักษาข้อมูลจราจรของหน่วยงานไว้
1.2 การจัดเก็บบันทึกข้อมูลจราจร เพื่อต้องการระบุถึงการใช้งานและเก็บเป็นหลักฐานเพื่อใช้ในการสืบสวนสอบสวนหาผู้กระทำความผิด ข้อมูลจราจรที่เก็บบันทึก อย่างน้อยควร ระบุ Source IP, Destination IP หรือ ชื่อเครื่องคอมพิวเตอร์ ได้เป็นอย่างน้อย รวมถึงลักษณะการใช้งานเช่น การใช้งาน Web, Mail, Chat การ Upload / Download, การแชร์ไฟล์ รวมถึงการใช้ VoIP, P2P เป็นต้น เนื่องจากการใช้งานลักษณะดังกล่าวมีความเสี่ยงภัยที่อาจจะมีผู้ใดผู้หนึ่งในหน่วยงาน กระทำความผิดจากการใช้การสื่อสารดังกล่าว
1.3 การจัดเก็บบันทึกข้อมูลจราจร เพื่อความสะดวกแก่เจ้าหน้าที่พนักงานและเจ้าหน้าที่ตำรวจ ควรมีการแบ่งการเก็บตาม File ตามกฏเกณฑ์การเก็บบันทึกข้อมูลจราจรที่ทางกระทรวงได้กำหนดให้ รวมถึงสร้างความสะดวกแก่เจ้าหน้าที่พนักงานในการสืบสวนสอบสวนได้อีกทางหนึ่ง
2. ขั้นตอนการปฏิบัติงานสำหรับหน่วยงานในการจัดหาระบบจัดเก็บข้อมูลจราจร
2.1 มีการประกาศให้พนักงานในหน่วยงานได้รับทราบถึงพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ได้รับทราบว่าจะเริ่มมีผลบังคับใช้ในวันที่ 24 สิงหาคม 2551
2.2 พนักงานในหน่วยงานได้มีการเข้าฝึกอบรมเพื่อสร้างความตระหนักในการใช้ของสารสนเทศให้ปลอดภัย และลดความเสี่ยงจากการใช้งานระบบสารสนเทศในองค์กร
2.3 ในหน่วยงานมีการแบ่งบทบาทหน้าที่ในการเก็บบันทึกข้อมูลจราจรโดยกำหนดบุคคลที่ทำการรักษาสิทธิในการเก็บบันทึกข้อมูลจราจร (Data Custodies) โดยมอบหมายจากผู้บริหาร (Data Owner) ของหน่วยงานนั้นและสามารถยืนยันรายชื่อผู้เก็บรักษาการบันทึกข้อมูลจราจรในหน่วยงาน
2.4 มีการจัดเก็บบันทึกข้อมูลจราจรที่ยอมรับได้ว่าไม่สามารถแก้ไขเปลี่ยนแปลงได้โดยง่ายและมีวิธีการตรวจสอบความถูกต้องของการจัดเก็บบันทึกข้อมูลจราจร (Integrity Check)
2.5 หน่วยงานมีการจัดทำนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลตามเอกสารมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) หน่วยงานมีระบบช่วยยอมรับเงื่อนไขตามนโยบายด้านความมั่นคงปลอดภัยเพื่อให้ทุกคนได้ปฏิบัติตามเงื่อนไขข้อกำหนดนโยบายในองค์กร
2.6 หน่วยงานมีระบบช่วยยอมรับเงื่อนไขตามนโยบายด้านความมั่นคงปลอดภัยเพื่อให้ทุกคนได้ปฏิบัติตามเงื่อนไขข้อกำหนดนโยบายในองค์กร
2.7 หน่วยงานมีระบบป้องกันภัยคุกคามที่อาจเกิดขึ้นจากการใช้งานอินเตอร์เน็ตและระบบสารสนเทศภายในองค์กร เช่น Firewall, Anti virus, Anti Spam และป้องกันการโจรกรรมทางอิเล็คทรอนิกส์ เป็นต้น
2.8 หน่วยงานมีระบบเฝ้าระวังภัยคุกคามและเก็บบันทึกข้อมูลจราจรที่เกิดจากการใช้อินเตอร์เน็ตตาม Protocol ที่สำคัญดังนี้ HTTP, SMTP, POP3, IMAP, Telnet, FTP เป็นอย่างน้อย ที่เป็นกิจกรรมสำคัญในองค์กรที่ควรเก็บบันทึกค่าไว้เพื่อใช้ในการเก็บบันทึกข้อมูลจราจรภายในหน่วยงาน
2.9 หน่วยงานมีระบบคลังเก็บข้อมูล (Inventory) เพื่อระบุเครื่องที่ใช้งานอินเตอร์เน็ตหรือระบบสารสนเทศในองค์กร เช่น การระบุ IP Address, MAC Address, เป็นอย� >9Z O3,vyvf0��อย ที่สามารถยืนยันได้ว่ามีการใช้งานระบบ
2.10 หน่วยงานมีการตั้งค่า Time Server ที่มีมาตราฐานสากล
2.11 หน่วยงานมีการจัดเตรียมแผนฉุกเฉินเมื่อเกิดปัญหาในการจัดเก็บข้อมูลและค่าควบคุม (Configure) ด้านความมั่นคงปลอดภัยข้อมูลบนอุปกรณ์ที่สำคัญต่อการใช้งานระบบสารสนเทศ
2.12 หน่วยงานมีการควบคุมการเข้าถึงระบบจากทางไกล (Remote Access) เช่น ข้อมูลต้องเข้ารหัส และรหัสผ่านต้องยากแก่การเดา
จากนั้นเราก็นำมาทำเป็นตรารางเพื่อใช้ตรวจสอบ (checklist) โดยคำนึงถึง คน กระบวนการและเทคโนโลยีให้สอดคล้องกัน
1. ออกนโยบายมาตราฐานการเก็บ Log เพื่อประโยชน์สำหรับเจ้าหน้าที่พนักงาน
1. 1 ข้อมูลจราจรทางคอมพิวเตอร์ควรมีการยืนยันความถูกต้องของข้อมูลที่จัดเก็บบันทึก โดยใช้เทคโนโลยี MD5, SHA-1 หรือการทำ Checksum เพื่อตรวจค่าความถูกต้องของข้อมูลที่จัดเก็บ หรือมีนโยบายการจัดเก็บแบ่งอำนาจหน้าที่การเข้าถึงข้อมูลจราจรที่ได้ถูกเก็บบันทึกไว้ โดยมีผู้บริหารของหน่วยงานเป็นผู้กำหนดและแบ่งบทความหน้าที่ผู้รับผิดชอบเพื่อรักษาข้อมูลจราจรของหน่วยงานไว้
1.2 การจัดเก็บบันทึกข้อมูลจราจร เพื่อต้องการระบุถึงการใช้งานและเก็บเป็นหลักฐานเพื่อใช้ในการสืบสวนสอบสวนหาผู้กระทำความผิด ข้อมูลจราจรที่เก็บบันทึก อย่างน้อยควร ระบุ Source IP, Destination IP หรือ ชื่อเครื่องคอมพิวเตอร์ ได้เป็นอย่างน้อย รวมถึงลักษณะการใช้งานเช่น การใช้งาน Web, Mail, Chat การ Upload / Download, การแชร์ไฟล์ รวมถึงการใช้ VoIP, P2P เป็นต้น เนื่องจากการใช้งานลักษณะดังกล่าวมีความเสี่ยงภัยที่อาจจะมีผู้ใดผู้หนึ่งในหน่วยงาน กระทำความผิดจากการใช้การสื่อสารดังกล่าว
1.3 การจัดเก็บบันทึกข้อมูลจราจร เพื่อความสะดวกแก่เจ้าหน้าที่พนักงานและเจ้าหน้าที่ตำรวจ ควรมีการแบ่งการเก็บตาม File ตามกฏเกณฑ์การเก็บบันทึกข้อมูลจราจรที่ทางกระทรวงได้กำหนดให้ รวมถึงสร้างความสะดวกแก่เจ้าหน้าที่พนักงานในการสืบสวนสอบสวนได้อีกทางหนึ่ง
2. ขั้นตอนการปฏิบัติงานสำหรับหน่วยงานในการจัดหาระบบจัดเก็บข้อมูลจราจร
2.1 มีการประกาศให้พนักงานในหน่วยงานได้รับทราบถึงพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ได้รับทราบว่าจะเริ่มมีผลบังคับใช้ในวันที่ 24 สิงหาคม 2551
2.2 พนักงานในหน่วยงานได้มีการเข้าฝึกอบรมเพื่อสร้างความตระหนักในการใช้ของสารสนเทศให้ปลอดภัย และลดความเสี่ยงจากการใช้งานระบบสารสนเทศในองค์กร
2.3 ในหน่วยงานมีการแบ่งบทบาทหน้าที่ในการเก็บบันทึกข้อมูลจราจรโดยกำหนดบุคคลที่ทำการรักษาสิทธิในการเก็บบันทึกข้อมูลจราจร (Data Custodies) โดยมอบหมายจากผู้บริหาร (Data Owner) ของหน่วยงานนั้นและสามารถยืนยันรายชื่อผู้เก็บรักษาการบันทึกข้อมูลจราจรในหน่วยงาน
2.4 มีการจัดเก็บบันทึกข้อมูลจราจรที่ยอมรับได้ว่าไม่สามารถแก้ไขเปลี่ยนแปลงได้โดยง่ายและมีวิธีการตรวจสอบความถูกต้องของการจัดเก็บบันทึกข้อมูลจราจร (Integrity Check)
2.5 หน่วยงานมีการจัดทำนโยบายด้านความมั่นคงปลอดภัยทางข้อมูลตามเอกสารมาตรฐานการรักษาความมั่นคงปลอดภัยในการประกอบธุรกรรมทางอิเล็กทรอนิกส์ (เวอร์ชั่น 2.5) หน่วยงานมีระบบช่วยยอมรับเงื่อนไขตามนโยบายด้านความมั่นคงปลอดภัยเพื่อให้ทุกคนได้ปฏิบัติตามเงื่อนไขข้อกำหนดนโยบายในองค์กร
2.6 หน่วยงานมีระบบช่วยยอมรับเงื่อนไขตามนโยบายด้านความมั่นคงปลอดภัยเพื่อให้ทุกคนได้ปฏิบัติตามเงื่อนไขข้อกำหนดนโยบายในองค์กร
2.7 หน่วยงานมีระบบป้องกันภัยคุกคามที่อาจเกิดขึ้นจากการใช้งานอินเตอร์เน็ตและระบบสารสนเทศภายในองค์กร เช่น Firewall, Anti virus, Anti Spam และป้องกันการโจรกรรมทางอิเล็คทรอนิกส์ เป็นต้น
2.8 หน่วยงานมีระบบเฝ้าระวังภัยคุกคามและเก็บบันทึกข้อมูลจราจรที่เกิดจากการใช้อินเตอร์เน็ตตาม Protocol ที่สำคัญดังนี้ HTTP, SMTP, POP3, IMAP, Telnet, FTP เป็นอย่างน้อย ที่เป็นกิจกรรมสำคัญในองค์กรที่ควรเก็บบันทึกค่าไว้เพื่อใช้ในการเก็บบันทึกข้อมูลจราจรภายในหน่วยงาน
2.9 หน่วยงานมีระบบคลังเก็บข้อมูล (Inventory) เพื่อระบุเครื่องที่ใช้งานอินเตอร์เน็ตหรือระบบสารสนเทศในองค์กร เช่น การระบุ IP Address, MAC Address, เป็นอย� >9Z O3,vyvf0��อย ที่สามารถยืนยันได้ว่ามีการใช้งานระบบ
2.10 หน่วยงานมีการตั้งค่า Time Server ที่มีมาตราฐานสากล
2.11 หน่วยงานมีการจัดเตรียมแผนฉุกเฉินเมื่อเกิดปัญหาในการจัดเก็บข้อมูลและค่าควบคุม (Configure) ด้านความมั่นคงปลอดภัยข้อมูลบนอุปกรณ์ที่สำคัญต่อการใช้งานระบบสารสนเทศ
2.12 หน่วยงานมีการควบคุมการเข้าถึงระบบจากทางไกล (Remote Access) เช่น ข้อมูลต้องเข้ารหัส และรหัสผ่านต้องยากแก่การเดา
จากนั้นเราก็นำมาทำเป็นตรารางเพื่อใช้ตรวจสอบ (checklist) โดยคำนึงถึง คน กระบวนการและเทคโนโลยีให้สอดคล้องกัน
นนทวรรธนะ สาระมาน
Nontawattana Saraman
Nontawattana Saraman
วันจันทร์, ตุลาคม 27
จะดีไหมหากคุณรู้ทันว่าใครกำลัง Hack เว็บของคุณ ?
จะดีไหมหากคุณรู้ทันว่าใครกำลัง Hack เว็บของคุณ ?
เป็นโจทย์ใหญ่สำหรับทีมพัฒนา เราได้รวบรวมข้อมูลด้วยวัตถุประสงค์ที่ว่าคนเข้าชมเว็บคุณนั้นเป็นใคร มาจากไหน และกำลังทำอะไร โดยเฉพาะกำลัง Hack เว็บคุณอยู่หรือไม่ ?
การพัฒนา SRAN Data Safehouse จึงเกิดขึ้นจากการพัฒนาเกือบ 2 ปี และถือได้ว่าเป็นผลงานชิ้นเยี่ยมชิ้นหนึ่งที่ผมและทีมพัฒนา SRAN ภูมิใจ ประกอบกับเมืองไทยเราได้มีการจัดระเบียบมาตราฐานการเก็บ Log ด้วยนั้น SRAN Data Safehouse จึงเด่นขึ้นมาอีกครั้ง
หากเราพิจารณาการเก็บ Log ตาม พ.ร.บ คอมพิวเตอร์ ฯ พบว่ามองได้ 2 กรณี
กรณีที่หนึ่ง เป็นการเก็บ Log จากภายในองค์กร จุดประสงค์เพื่อเป็นหลักฐานในการสืบสวนสอบสวนหาผู้กระทำความผิด และแน่นอนส่วนใหญ่ผู้กระทำความผิดก็มักจะเป็นผู้ใช้งานในองค์กร ซึ่งในกรณีนี้ IP ที่พบเห็นมักเป็น IP Private ก็หมายถึง IP หลัง NAT นั้นเอง ซึ่งกรณีนี้มีวิธีการเก็บได้มากมาย อาจจะเก็บจาก Log Firewall , Log IDS , Log Radius หรือ Log Network Proxy ก็สุดแล้วแต่การติดตั้งและความพอดีพอใช้สำหรับองค์กร ที่พอให้หลักฐานนี้กับเจ้าหน้าที่พนักงาน หรือเจ้าหน้าที่ตำรวจได้ หากมีการกระทำความผิดเกิดขึ้น ซึ่งหากเป็นสูตรลัดเลยก็ต้องเลือกใช้ SRAN Security Center + SRANwall ก็น่าจะพอเพียงแล้วสำหรับกรณีที่หนึ่ง
อีกกรณีหนึ่ง เป็นการเก็บบันทึกข้อมูลที่เป็นสาธารณะข้อมูล มักเป็น IP / Domain ที่เป็น Public เช่น พวก Website ต่างๆ ซึ่งจะพบว่าผู้กระทำความผิดมักเป็นคนที่ใช้ข้อมูลเว็บ เช่นเว็บบอร์ด เว็บใช้ในการ Upload / Download ผู้กระทำความผิดอาจจะใช้อินเตอร์เน็ตที่บ้าน ที่ต่างจังหวัด หรือต่างประเทศก็ได้ ทำอย่างไรเราจึงจะเก็บบันทึกการใช้งานกรณีนี้ได้
ก็มีหลากหลายวิธี หากเราเป็นเจ้าของพื้นที่เว็บเอง ก็อาจจะเอา Log ของ Web Server มาก็ได้ หรือเช่าพื้นที่จาก Hosting ก็อาจขอให้ Hosting เก็บ Log ให้เราก็ได้ การเก็บ Log Web นั้นจะว่าง่ายก็ง่าย จะว่ายากก็ยากเนื่องจาก Log Web server มักเป็น Log ที่ดูลำบาก และต้องใช้ผู้เชี่ยวชาญเป็นผู้วิเคราะห์ ยังพอไม่ การนำ Log ออกมาโชว์ได้ ผู้ดูแล Web Server นั้นก็ต้องมีความรู้สำหรับการจัดเก็บ Log ให้ถูกต้องตามกฏเกณฑ์ที่กระทรวงไอซีทีกำหนดอีกด้วย สรุปแล้วไม่ง่ายนักที่จะเก็บให้ครบถ้วน
ดังนั้นสิ่งที่มีอยู่เดิมของ SRAN Data Safehouse คือรู้ทันภัยคุกคาม ก็บวกวิธีการเก็บ Log ที่ถูกต้องไปด้วย และแสดงผลให้ดูสะดวก ง่าย และพิจารณาหาความสัมพันธ์ของเหตุการณ์ได้อย่างถูกต้อง
จึงเป็นที่มาของการเปิดตัว SRAN Data Safehouse ขึ้น ซึ่งผมขอนำ Presentation ที่ตัวเองได้กล่าวบรรยายในงานเปิดตัวนี้มานำเสนอ
SRAN Data Safehouseรายละเอียดเพิ่มอ่านได้ที่ http://safehouse.sran.net
รูปแบบการบริการ https://safehouse.sran.net/services.html
คู่มือการใช้งาน https://safehouse.sran.net/man/manual.html
รูปแบบการบริการ https://safehouse.sran.net/services.html
คู่มือการใช้งาน https://safehouse.sran.net/man/manual.html
นนทวรรธนะ สาระมาน
Nontawattana Saraman
Nontawattana Saraman
วันอาทิตย์, ตุลาคม 26
กฏอิทัปปัจจยตา
" ธรรมย่อมเหนือกาลเวลา " สรรพสัตว์ทั้งหลายย่อมหมุนเวียนเปลี่ยนแปลงไปตามกาลเวลา คําบรรยายภาพ“ปฏิจจสมุปบาท อิทัปปัจจยตา ” หมายถึง เมื่อสิ่งนี้มี สิ้งนี้จึงมี เมื่อสิ่งนี้ดับ สิ่งนี้จึงดับ เป็นเหตุเป็นปัจจัยซึ่งกันและกัน
— วงกลมในสุด ท่านเห็นรูปภาพ หมูคาบหางงู งูคาบหางไก่ ไก่คาบหางหมู เป็นวัฏฏะหมุนเวียนของจิตวิญญาณเกิดดับทุกๆขณะ เมื่อผัสสะโดยอวิชชา จนเป็นอนุสัย เกิดขึ้นโดยนับครั้งไม่ถ้วน
ถามว่าแล้วกฏอิทัปปัจจยตาคืออะไร ทำอย่างไรเราจึงจะอยู่อย่างสอดคล้องกับกฏเกณฑ์ดังกล่าว ซึ่งหมายถึงว่าอยู่ได้โดยปกติสุขโดยไม่ถูกลงโทษลงทัณฑ์?
เรื่องนี้คงจะต้องจำแนกระหว่างมนุษย์กับธรรมชาติ เพราะพูดกันตามความจริง ธรรมชาติเลื่อนไหลไปตามกฏดังกล่าวอยู่แล้ว มีแต่มนุษย์เท่านั้นที่บ่อยครั้ง หยั่งไม่ถึงกฏแห่งการไร้ตัวตน กฏแห่งการอิงอาศัยกันและกันเกิดขึ้นมีอยู่ ตลอดจนกฏแห่งการแปรเปลี่ยนเลื่อนไหลไปตามเหตุปัจจัย
ในโลกของธรรมชาติ ถ้าเราช่างสังเกตุสักหน่อยก็จะพบว่า ปรากฏการณ์ทั้งปวงล้วนก่อรูป ตั้งอยู่ และแปรเปลี่ยนไปตามเหตุปัจจัยหลายอย่างซึ่งเชื่อมโยงสัมพันธ์กัน พูดให้งดงามก็ทุกอย่างในโลกธรรมชาติล้วนดำเนินไปในอ้อมกอดของสุญญตา สรรพสิ่งยืมตัวเองมาจากการมีอยู่ของสิ่งอื่น ใน ทะเลมีสายฝน ในหยาดฝนมีทะเลกว้าง ละอองไอในก้อนเมฆ แท้จริงแล้วคือท้องทะเลที่กำลังเดินทาง เมื่อเราเห็นฝนก็คือเห็นทะเล เห็นทะเลก็คือเห็นฝน
เกี่ยวกับกฏอิทัปปัจจยตาหรือปฏิจจสมุปบาทนั้น ครูบาอาจารย์ผู้รู้ ยังมีทัศนะต่างกันอยู่เล็กน้อย บางท่านเคร่งครัดตามพุทธวจนะที่เริ่มต้นด้วย อวิชฺชาปจฺจยา สํขารา
--> เพราะอวิชชาเป็นปัจจัยสังขารจึงมี ตามด้วย
--> เพราะสังขารเป็นปัจจัยวิญญาณจึงมี ต่อเนื่องไปจนครบ 12 อาการ จึงมองว่าทั้งหมดเป็นสายโซ่แห่งทุกข์ ไม่ว่าจะไล่เหตุปัจจัยในลักษณะอนุโลมหรือปฏิโลมก็ตาม
* เบญจขันธ์ (http://nontawattalk.blogspot.com/2007/02/blog-post.html)
ร่างกาย เรียกว่า รูป (รูปธรรม)
ความรู้สึกสุขทุกข์ เรียกว่า เวทนา (นามรูป)
การจำได้หมายรู้ เรียกว่า สัญญา (นามรูป)
การคิดปรุงแต่ง เรียกว่า สังขาร (นามรูป)
การรู้ เรียกว่า วิญญาณ (นามธรรม) ความรู้แจ้งจากอายตนะ ทั้ง 6 จาก ตา หู จมูก ลิ้น กาย ใจ
การพิจารณาเช่นนี้หมายความว่า อาการหนึ่งเป็นเหตุให้เกิดอีกอาการหนึ่ง เช่น
อวิชชาทำให้เกิดสังขาร (หรือการปรุงแต่ง) จากนั้น
สังขารกลายเป็นปัจจัยให้เกิดวิญญาณ ไล่ไปเรื่อยๆ
จนถึงอาการของชาติซึ่งมีภพเป็นปัจจัย
พูดอีกแบบคือ นี่เป็น การเห็นปรากฏการณ์ทางโลกไล่เรียงไปตามสายโซ่ของเหตุและผล ซึ่งผลสามารถกลายเป็นเหตุปัจจัยส่งต่อ ให้เกิดผลอื่นๆต่อเนื่องไปได้ไม่มีที่สิ้นสุด
อย่างไรก็ดี ครูบาอาจารย์ผู้รู้บางท่านเห็นว่า การตีความปฏิจจสมุปบาทในลักษณะอะไรเป็นเหตุ อะไรเป็นผลในทิศเดียวอาจจะอธิบายความจริงไม่ได้ทั้งหมด ดังนั้นจึงเน้นไปในการพิจารณา ปฏิสัมพันธ์ของนานาปัจจัยซึ่งก่อให้เกิด ปรากฏการณ์ต่างๆขึ้นในโลก ซึ่งหมายถึงว่าเหตุและผลสามารถไหลย้อนกลับไปกลับมา ไม่จำเป็นว่าอย่างหนึ่งเป็นต้นเหตุของอีกอย่างหนึ่ง การมีอยู่ของสิ่งใดก็ตาม เป็นผลมาจากการชุมนุมของนานาปัจจัย เมื่อปัจจัยพร้อมสิ่งนี้จึงเกิด เมื่อปัจจัยเปลี่ยนสิ่งนั้นจึงดับ เหมือนเมล็ดพันธุ์ไม้ผลิงอก ปัจจัยต้องพร้อมทั้งดิน น้ำ แสงตะวัน
ในพระไตรปิฎกเอง แม้คำอธิบายส่วนใหญ่จะให้พื้นที่กับการลำดับ 12 อาการไปในทิศทางเดียว โดยเริ่มต้นจาก อวิชฺชาปจฺจยา สํขารา แต่ก็มีคำอธิบายอยู่ในพระอภิธรรมว่า แม้แต่อวิชชาซึ่งเป็นจุดเริ่มต้นของปฏิจจสมุปบาทนั้น ก็เป็นผลมาจากปัจจัยอื่นๆ นอกจากนี้สังขารยังสามารถย้อนมา เป็นปัจจัยก่อให้เกิดอวิชชาได้เช่นกัน
อันนี้ถ้าให้ตีความ ก็คงต้องบอกว่าการแยกเหตุกับผลอย่างเด็ดขาด อาจจะไม่ถูกต้องนัก บางครั้งสรรพสิ่งอาจจะเป็นเหตุและผลของกันและกัน ในปราฏการณ์ที่เป็นวัฏจักรเวียนวน ยกตัวอย่างเดิม เช่นความสัมพันธ์ระหว่างฝนกับทะเล เราจะบอกว่าฝนมาจากทะเลก็ได้ หรือทะเลมาจากฝนก็ถูกต้องเช่นกัน ยิ่งบอกว่าทะเลกับสายฝนเป็นหนึ่งเดียว ยิ่งตรงกับปรมัตถ์สัจจะที่สุด
อย่างไรก็ดี ประเด็นสำคัญคือ ต้องเข้าใจว่าเหตุ ปัจจัยทั้งปวงนั้นไม่ได้เกิดขึ้นเองลอยๆ หากเป็นผลจากการมีอยู่ของปัจจัยอื่นทั้งสิ้น ไม่มีสิ่งใดเกิดขึ้นเองได้โดยไม่มีเหตุปัจจัย ถ้าเราเข้าใจจุดนี้แล้ว ก็จะพบว่าการโทษปัจจัยใดหรือบุคคลใดโดดๆว่า เป็นต้นเหตุเพียงอย่างเดียวของปรากฏการณ์ หรือสถานการณ์อันไม่พึงปรารถนา ย่อมเป็นทัศนะที่ไม่สอดคล้องกับความจริง
ตรงนี้จึงนำมาสู่ประเด็นสำคัญที่สุดเกี่ยวกับอิทัปปัจจยตา คือการนำหลักธรรมดังกล่าวมาส่องให้เห็นความว่างอันเป็นลักษณะของโลก แต่การหยั่งถึงสภาพสุญญตาของโลกเป็นสิ่งที่ยากมาก และแทบจะเป็นไปไม่ได้เลย ถ้าเราไม่อาศัยหลักธรรมนี้มาขัดเกลาตัวเองเสียก่อน
กฏอิทัปปัจจยตา หากมองเป็นการสืบสวนสอบสวนทางข้อมูลไอที ก็เปรียบได้กับผลจากความสัมพันธ์ห่วงโซ่เหตุการณ์ (Chain of Event) ที่ไหลเวียนจาก 3 in 3 out Model ที่ผมเขียนไว้ จึงเป็นหลักการณ์หนึ่งที่ช่วยให้ท่านทั้งหลายวิเคราะห์ปัญหาทางไอทีได้อย่างมีเหตุผลมีผล
จากการบรรยายเรื่องสูญยตา ของอาจารย์เสกสรรค์ ประเสริฐกุล
นนทวรรธนะ สาระมาน
Nontawattana Saraman
เสริมจาก http://nontawattalk.blogspot.com/2008/09/blog-post_22.html
เชื่อมโยงกับ http://nontawattalk.blogspot.com/2007/05/3-in-3-out.html
สมัครสมาชิก:
บทความ (Atom)
