Pages

แสดงบทความที่มีป้ายกำกับ sniffer แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ sniffer แสดงบทความทั้งหมด

วันศุกร์, มกราคม 9

จุดจบของ Sniffer ที่ส่งผลกระทบต่อการทำ Lawful Interception

คำว่า "Lawful Interception" ปัจจุบันมีการพูดถึงคำศัพท์ตัวนี้กันมากขึ้น
ผมเขียนเรื่องนี้ราวปี 2552 ช่วงนั้นในประเทศฝั่งที่คิดว่าเป็นประเทศแห่งเสรีทั้งการแสดงออกทางความคิดและการปฏิบัติได้มี Lawful Interception ชนิดที่เป็นเรื่องเป็นราวมีกฎเกณฑ์มีกฎระเบียบอย่างชัดเจน ไม่ว่าเป็นประเทศในยุโรป และอเมริกา ก็มีการทำ Lawful Interception ทั้งสิ้น  ถึงจะให้ 

เสรีภาพสูง แต่ก็ต้องมาพร้อมกับความรับผิดชอบในการกระทำ 

เพื่อเป็นการควบคุมและตรวจสอบผลการกระทำที่อาจจะละเมิดผู้อื่น การโจรกรรมข้อมูล รวมไปถึงการโจมตีบนไซเบอร์จนถึงการกระทำความผิดด้านอาชญากรรมทางคอมพิวเตอร์ฯ (Cyber Crime) ดังนั้นในประเทศที่พัฒนาแล้วมักจะมีการลงระบบที่เรียกว่า Lawful Interception ซึ่งในตอนนั้นผมคิดว่ามันน่าจะนำมาใช้ในประเทศไทย ที่เรากำลังใช้ พรบ.คอมพิวเตอร์ฯ กันอย่างมึนงงกับเรื่องฐานความผิดในมาตราที่ 8 ในการดักรับข้อมูล หรือเทียบได้กับเทคนิคการ sniff ข้อมูล

 อ่านที่
 http://nontawattalk.blogspot.com/search?q=lawful
 http://nontawattalk.blogspot.com/search?q=sniffer
ซึ่งการทำ Lawful Interception มีทั้งที่ใช้ด้านเทคโนโลยี และ มีส่วนที่ไม่ได้ใช้เทคโนโลยี (ไม่แสดงรายละเอียดในบทความนี้) ในส่วนที่เป็นด้านเทคโนโลยีนั้น มีส่วนประกอบที่สำคัญคือต้องมีการทำ "การสนิฟ (Sniff)" หรือ การดัก-รับ ข้อมูล

ขอย้ำว่า Sniffer เป็นเพียงเครื่องหนึ่งในการทำ Lawful Interception
มิใช่ Lawful Interception = sniffer นั้นเป็นความหมายที่แคบไป

ย้อนหลังไปราว 12 ปี คือปี 2546 ผมและทีมงานได้นำเครื่องแม่ข่าย (Server) ที่มีอย่างน้อย 2 การ์ดแลนเพื่อทำ Bridge mode บน linux เป็น interface br0 (ในเวลาต่อมาไม่นานเทคนิคนี้ถูกเรียกว่าการติดตั้งแบบ In-line mode และเป็นที่มาของอุปกรณ์ประเภท NIPS) ในสมัยนั้นเราทำเพื่อดักข้อมูลหลังจากอุปกรณ์ Router ในองค์กรหนึ่งที่ได้รับอนุญาติจากเจ้าของบริษัทเพื่อตรวจหาความผิดปกติ ซึ่งต่อมาเทคนิคนี้ได้พัฒนากลายเป็นอุปกรณ์ SRAN  ในยุคปัจจุบัน

 
ภาพเครื่อง SRAN ในยุคดั้งเดิมติดตั้งแบบ In-line mode ขวางการติดต่อสื่อสารระหว่างอุปกรณ์ Router และ Switch (วิธีการนี้เหมาะกับระบบเครือข่ายขนาดเล็กเพราะอาจเกิดคอขวดที่อุปกรณ์ที่ติดตั้งแบบ inlineได้ดังนั้นต้องดูปริมาณขนาด Throughput อุปกรณ์เป็นหลัก)

เราก็เริ่มจากการดักรับข้อมูลบนระบบเครือข่าย  ซึ่งเมื่อก่อนนั้นข้อมูลที่ส่งผ่านระบบเครือข่ายจะวิ่งบน Protocol ที่สำคัญคือ HTTP , FTP , Telnet ซึ่งล้วนแต่เป็น Plain text  (อ่านออกได้ด้วยสายตามนุษย์)  ยังไม่มีการเข้ารหัสอย่างเก่ง Telnet กลายร่างเป็น SSH   แต่ที่สำคัญเรามักดักรับข้อมูลและเรียนรู้พฤติกรรม เทคนิคนี้ใช้ได้เป็นอย่างดี ตราบที่พบ Protocol ที่กล่าวมา

การมองเห็นข้อมูลบนระบบเครือข่ายคอมพิวเตอร์นั้นโดยใช้ Sniffer ประกอบด้วยดังนี้
(1) Time  วัน เวลา
(2) Source IP  ไอพีแอดเดรสต้นทาง 
(3) Destination IP ไอพีแอดเดรสปลายทาง
(4) ค่า MAC Address ทั้ง Source และ Destination (หากติดตั้งใน LAN ค่า MAC นี้จะเป็นค่าของอุปกรณ์ Switch ดังนั้นผู้ที่ใช้ Sniffer ในการวิเคราะห์ปัญหาระบบเครือข่ายต้องมีประสบการณ์พอที่แยกแยะให้ออก)
(5) Source Port
(6) Destination Port
(7) ประเภท Protocol
(8) Payload  ที่บรรจุเนื้อหา (Content)
ซึ่งส่วนที่เป็นเนื้อหา มีด้วยกัน 2 ชนิด คือ 
(8.1) เนื้อหาของข้อมูลที่ไม่มีการเข้ารหัส (Plain text) 
(8.2) เนื้อหาของข้อมูลที่มีการเข้ารหัส (Encryption)

ซึ่งทั้ง 2 ชนิดเนื้อหาของข้อมูลนี้ขึ้นกับข้อ (7) คือ ประเภท Protocol
Protocol ที่นิยมใช้กันและข้อมูลสามารถมองเห็นเนื้อหาของข้อมูลได้จากโปรแกรม Sniffer  ได้แก่ HTTP (80) , Telnet (23) , FTP (21) เป็นต้น
ส่วนที่เข้ารหัส ได้แก่ Protocol ในการรับส่ง E-mail  , Protocol ในการทำ VPN และการ Remote ระยะไกล และสำคัญสุดคือ HTTPS(443)

และ HTTPS  ที่ใช้การเข้ารหัสแบบ SSL (Secure Socket Layer) นี้แหละที่บอกว่า
"เรากำลังเข้าสู่ยุค จุดจบของ Sniffer"

ที่กล่าวเช่นนี้เป็นเพราะว่าปัจจุบันนี้ Content Provider รายใหญ่ที่คนไทยเมื่อออนไลน์ต้องใช้บริการไม่ว่าเป็น Google  ,Youtube  , Facebook , Twitter  แม้กระทั่ง Blognone  ยังเข้ารหัส  เป็น https://   ทั้งสิ้น

 
ภาพ https ของ facebook.com

การสังเกตให้ดูที่รูปแม่กุญแจหากเป็นภาพล็อคนั้นหมายถึงทุกการติดต่อสื่อสารภายใต้โดเมนนี้จะมีการเข้ารหัสข้อมูล

จากภาพเป็นการแสดงถึงการมองเห็นข้อมูลหากไม่มีการเข้ารหัสในเนื้อหาบนระบบเครือข่ายคอมพิวเตอร์ ช่องที่เป็น Signature HTTP Web Traffic Data นั้นจะเห็น path URL ของไอพีต้นทางที่เรียกใช้งาน ส่วน Signature HTTPS นั้นไม่สามารถมองเห็นได้เป็นช่องว่าง เป็นหน้าจอในอุปกรณ์ SRAN Light รุ่น Hybrid


 จากภาพ เมื่อ Capture ข้อมูลบนระบบเครือข่าย ที่มีการติดต่อสื่อสาร HTTPS ด้วยโปรแกรม Wireshark จะพบว่าค่า Payload ที่ผ่านการติดต่อสื่อสารแบบ HTTPS นั้นไม่สามารถอ่านออกได้เนื่องจากมีการเข้ารหัสข้อมูล

ดังนั้นโลกอินเทอร์เน็ตในยุคนี้และยุคหน้าจะประสบปัญหาการตรวจจับข้อมูล (Interception) โดยเฉพาะเจ้าหน้าที่ ที่ปฏิบัติงานในด้านนี้ ที่มีหน้าที่หาผู้กระทำความผิดฯ หรือจะใช้วิเคราะห์แก้ไขปัญหาระบบเครือข่ายอาจไม่สามารถใช้วิธีการดังกล่าวอย่างเต็มประสิทธิภาพ ไม่เหมือนก่อนอีกต่อไป

ภัยคุกคามที่เกิดขึ้นก็จะแฝงตัวมากับการเข้ารหัสผ่านช่องทาง SSL มากขึ้นเพราะมันหลบเลี่ยงการตรวจจับได้จากอุปกรณ์ป้องกันภัยคุกคามในองค์กรได้ระดับหนึ่ง

การซ่อนตัวบนโลกอินเทอร์เน็ตผ่านโปรแกรมอำพรางไอพีแอดเดรสก็มีการเข้ารหัสไม่สามารถมองเห็นการกระทำในค่า Payload หรือ Content (8.2) ได้เลย จึงเป็นเครื่องมือของแฮกเกอร์ได้ใช้ช่องทางนี้ปกปิดเส้นทางการทำงานของตนเองได้เป็นอย่างดี

การแกะรอยผู้กระทำความผิดเป็นไปได้ยากขึ้น ปัจจุบันเว็บการพนัน, เว็บลามกอนาจาร, รวมถึงแอฟลิเคชั่นบนมือถือหลายตัวมีการติดต่อสื่อสารแบบ SSL (HTTPS) หมดแล้ว

แล้วใครล่ะจะมองเห็น HTTPS ?
ตามหลักการที่ถูกต้องก็คือไม่มีใครมองเห็น แต่ในโลกความเป็นจริง การมองเห็นจะเห็นได้ที่ Provider หรือผู้ให้บริการ  ที่ไม่ใช่ผู้ให้บริการอินเทอร์เน็ตในประเทศไทยเรา  แต่เป็นผู้ให้บริการชนิดที่เรียกว่า "Content Provider" ส่วนมากตอนนี้คือจากประเทศสหรัฐอเมริกา ไม่ว่าเป็น Google , Facebook , Microsoft   มีการชิงพื้นที่กันอยู่คือ จีน Baidu  และ ญี่ปุ่น + เกาหลีใต้ ที่ Line
Content Provider เหล่านี้จะมองเห็น  โดยการมองเห็นจะเกิดจาก Log ของ Application ถึงแม้จะมี Server ในการประมวลผลอยู่หลายร้อยหลายพันเครื่อง และการติดตั้งอาจกระจายไปอยู่ในที่ต่างๆ แต่ Log file ชนิดที่เป็น local application log ที่ออกมาจากเครื่องแม่ข่าย (Server) จะทำให้แกะรอยได้

ซึ่งใน Log ที่กล่าวมานั้นจะสามารถอธิบายลักษณะผู้ใช้งานประเภทผู้ใช้งาน ผู้ชาย ผู้หญิง อายุ  ประเทศ การศึกษา รสนิยม ความสนใจ รวมถึงชีวประวัติของบุคคลนั้นได้เลย
ที่เรียกว่า การทำ Data Mining จาก Big Data

ในด้านความมั่นคง ข้อมูลดังกล่าวก็ต้องเป็นเครื่องมือสำคัญของประเทศมหาอำนาจ ได้ช่วงชิงความได้เปรียบอีกต่อไป ประเทศที่กลับตัวทันมักจะพัฒนาเองขึ้นมาจะไม่ยึดติดกับสิ่งที่ทำมา เช่นจีนตอนนี้สร้าง Baidu เป็นต้น

สรุป
Network Sniffer จะปรับตัวให้มองเห็นการเข้ารหัสในอนาคตจะพบการทำ MITM (Man In The Middle) เพื่อดักรับข้อมูลที่เข้ารหัสโดยเฉพาะ HTTPS มากขึ้น  ซึ่งส่วนนี้จะเกิดขึ้นก่อนใครคือในองค์กร บริษัทเอกชน ที่ต้องการควบคุมพนักงานตามกฏระเบียบองค์กร 
การทำ MITM ในองค์กรจะแตกต่างกับในระดับประเทศพอสมควร ทั้งการออกแบบและผลกระทบที่เกิดจากผู้ใช้งาน โดยเฉพาะด้านความรู้สึก การวิพากษ์วิจารณ์ ประเทศไหนที่คิดจากทำนั้นคงต้องดูหลายส่วนโดยเฉพาะผลกระทบต่อเสรีภาพที่ชอบอ้างกัน

 Log file never die จะขอใช้คำนี้คงได้เพราะถึงอย่างไร Log ที่มาจาก Application ที่ติดตั้งใน Server นั้นๆ ย่อมมองเห็นทุกอย่างถ้าต้องการทำให้เห็น
และผู้ที่ครอบครอง Log นี้คือ Content Provider ที่คนไทยเราติดอยู่ จนถึงติดอันดับ 1 ใน 5 ของโลกเกือบทุกตำแหน่ง
เช่น https://www.sran.net


ภาพหน้าจอเว็บ sran.net ที่มีเป็น https

คนที่ดักรับข้อมูลทางระบบเครือข่ายจะมองไม่เห็นเพราะ https แต่เจ้าของเว็บ sran.net จะมองเห็น Log อันได้มาจาก Application Log ที่ทำหน้าที่เป็น Web Application คือ Log Apache  เป็นต้น



 รัฐบาลควรศึกษาให้ดี หากลงทุน Lawful interception โดยใช้ MITM มาเกี่ยวข้องต้องลงทุนสูงมาก และเมื่อเทคโนโลยีเปลี่ยน จะใช้งานไม่ได้อย่างที่คิดไว้ ควรหาที่ปรึกษาที่เคยผ่านการทำงานประเภทนี้ไว้เพื่อเป็นแนวทางการทำงานที่ยั้งยืน

หากทำ MITM บนเครือข่ายคอมพิวเตอร์พบว่าหน้าจอจะเปลี่ยนไปดังภาพ

 จากภาพจะพบว่า https ที่แสดงบนบราวเซอร์จะแสดงค่าเป็นรูปกากบาท หรือ ตัวแดงขึ้นมาเพื่อเตือนว่าเป็น Certification จาก SSL ที่ผิด  

ถ้าเห็นแบบนี้บน google , facebook , youtube  ก็ให้รู้ไว้เลยว่ามีการดักข้อมูลอยู่  ซึ่งจะทำให้ไม่ขึ้นรูปตัวแดงนี้ ก็ต่อเมื่อต้องลง Certification ที่สร้างขึ้นมาเท่านั้น
กรณีอย่างนี้เคยเป็นข่าวสำหรับผู้ให้บริการอินเทอร์เน็ตบนสายการบิน ที่ชื่อว่า "gogo" ซึ่งผู้ใช้งานพบว่า youtube.com มี certification ที่ผิดปกติแล้ว capture หน้าจอเป็นข่าวใหญ่ไปช่วงปีใหม่ที่ผ่านมา







หน้าตา certification ที่ถูกสร้างขึ้นจาก gogo



 ซึ่งการลงในแต่ละระบบปฏิบัติการ (OS) ชนิดบราวเซอร์ ทั้ง PC และ มือถือ ลงแตกต่างกัน
เทคนิคนี้จะใช้ได้สำหรับองค์กร หรือบริษัท ที่ออกนโยบายควบคุมการใช้งานอินเทอร์เน็ตภายในองค์กร
ในระดับประเทศนั้นท่านผู้อ่านก็ลองคิดดูเอาเองว่าจะมีผลกระทบอะไร ?

เมื่อรู้แล้วสิ่งที่ทำให้ล่วงรู้ถึงข้อมูลภายใน HTTPS ได้นั้นคือ local server ของ application log ซึ่งเกิดจากผู้ให้บริการ Content provider แล้วพวกนั้นเขาจะส่ง log ให้เราหรือ ? google ส่ง log  facebook ส่ง log ให้เราหรือ ???

สิ่งที่รัฐควรจะทำ
ควรมาคบคิดกันว่า Log ที่เกิดจาก Content Provider ทำอย่างไรไม่ให้มันอยู่ในต่างประเทศ หรือ ทำอย่างไง ให้คนไทยใช้ของไทยกันมากขึ้น พัฒนาเองกันมากขึ้น เช่น Browser , Content Provider ที่สร้าง Social Network , Search engine , เครื่องมือซอฟต์แวร์ ซึ่งจะเป็นหนทางที่ยั้งยืนและมีประโยชน์ในระยะยาวสำหรับประเทศเรามากกว่า แต่ก็เท่ากับ "เราต้องอดเปรี้ยวไว้กินหวานมากๆ" อย่าพยายามเชื่อฝรั่งมากส่วนที่มาเป็นนายหน้าขายเทคโนโลยีหาใช่ตัวจริงเสียงจริงในการพัฒนา (Develop) ควรฟังและประยุกต์ให้เป็นของเราเอง


นนทวรรธนะ  สาระมาน
Nontawattana  Saraman
9 มค 58








เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: ,

วันพฤหัสบดี, มีนาคม 28

การป้องกันข้อมูลส่วนตัวกับ UNtracked อินเทอร์เน็ตล่องหน

อุปกรณ์ป้องกันข้อมูลและการสอดแนมทางอินเทอร์เน็ต UN-Tracked
จุดกำเนิดของการทำ UN-Tracked ขึ้นก็ตอนที่นายเอ็ดเวิร์ด โจเซฟ สโนว์เดน อดีตนักวิเคราะห์ข่าวกรอง ชาวอเมริกัน ซึ่งได้ปล่อยข่าวรายละเอียดของการสอดแนมข้อมูลจากสำนักงานความมั่นคงแห่งชาติ (NSA) ของสหรัฐ ให้กับหนังสือพิมพ์เดอะการ์เดียนของอังกฤษ ว่าทาง NSA ได้มีการดักฟังรายการทางอินเทอร์เน็ตของผู้นำรวมถึงประชาชนทั่วโลกจากเนื้อหาข้อมูลที่ได้รับจากบริษัทใหญ่ชั้นนำของโลกไม่ว่าเป็น Google , Microsoft , Facebook , Yahoo , Youtube เป็นต้น 

อีกทั้งการรุดหน้าของเทคโนโลยีสื่อสารและการเชื่อมต่อโครงข่ายอินเทอร์เน็ตอาจมีการดักรับข้อมูล (Sniffing) ทั้งในองค์กร ผ่านระบบ LAN และ Wireless LAN หรือ Wi-Fi และนอกองค์กรจากฝั่งผู้ให้บริการ อินเทอร์เน็ต (ISP) โดยอาจใช้เครื่องมือ (Tools) ที่สามารถอ่านวิเคราะห์เนื้อหาของข้อมูล (Payload) จากการรับ-ส่งข้อมูลผ่านช่องทางอินเทอร์เน็ตได้  ดังนั้นจึงได้มีการออกแบบฮาร์ดแวร์ที่สะดวกในการใช้งาน

คุณสมบัติ

1. เป็นอุปกรณ์ที่เข้ารหัสเส้นทางในการติดต่อสื่อสาร (Encryption Routing)
2. ป้องกันการดักฟังผ่านโครงข่ายภายในและอินเทอร์เน็ต (Anti Sniffer)
3. ป้องกันการตรวจตาม่ร่องรอยค่าไอพีแอดเดรสจาก Log file ของระบบ (Don't Tracking)
ด้วยคุณสมบัติทั้ง 3 รวมเรียก "UN Tracked" Defend Privacy Data and against Internet Surveillance

สิ่งที่ได้รับจากการใช้ "UN Tracked"
1. เมื่อใช้อุปกรณ์ UN-Tracked คุณจะปลอดภัยจากการดักข้อมูลไม่ว่าเป็นการดักข้อมูลจากเครือข่ายภายในองค์กร  เครือข่ายสาธารณะแบบไร้สาย  รวมถึงเครือข่ายอินเทอร์เน็ตที่ได้รับการให้ค่าไอพีแอดเดรส (Public IP) จากผู้ให้บริการ (ISP : Internet Services Provider)
2. มีความมั่นใจในการใช้ทุก Application บนสมาร์ทโฟนว่าจะมีการดักอ่านข้อมูลกลางทาง (MITM : Man In The Middle attack) ไม่ว่าเป็นการใช้งาน Browser IE , Chrome , Firefox , โปรแกรม Chat LINE , Whatapps MSN และการติดต่อสื่อสารผ่านเครือข่ายสังคมออนไลน์ ได้แก่  Facebook , Twitter , Instargram , youtube  เป็นต้น
3. Log file ที่ปรากฏในเว็บเซิร์ฟเวอร์ หรือเซิร์ฟเวอร์บริการอื่นๆ ที่เราเข้าไปใช้บริการจะไม่สามารถตรวจหาค่าไอพีแอดเดรสที่แท้จริงของเราได้
4. ป้องกันภัยจากโปรแกรมสคิปเพื่อติดตามตัวตนจากเราจากการเปิดบราวเซอร์ ประเภทพวก Java Script , ajax (เช่นพวก Web Analytic , Web Stats เป็นต้น หรือเป็นการป้องกันประเภท malicious exploit จากฝั่ง Server ที่ต้องการติดตามร่องรอยค่าไอพีแอดเดรสจากเรา โดยที่เราไม่จำเป็นต้องลงโปรแกรมเสริมใดๆ ก็สามารถป้องกันสิ่งเหล่านี้ได้จากการใช้ UN-Tracked

จัดเป็นฮาร์ดแวร์ที่พร้อมใช้งานและสะดวกในการติดตั้งขนาดกะทัดลัดและสามารถรองรับการใช้งานได้หลายๆเครื่อง Client พร้อมกัน
ภาพที่ 1 UN-Tracked Hardware ขนาดเท่าของจริง
ภาพที่ 2 การติดตั้ง UN Tracked บนเครื่อข่าย
การติดตั้ง UN Tracked สามารถติดตั้งได้ทั้งที่บ้านและที่ทำงาน การติดตั้งเหมือนกันคือฮาร์ดแวร์ UN-Tracked จะมีการ์ดแลน 10/100/1000 จำนวน 4 Port   ประกอบด้วย
Port ที่ 1 ETH0  ติดตั้งไปกับ Router  หรือ Switch  เพื่อรับค่า DHCP จาก Gateway ได้ส่วน Port 3 , 4 คือ ETH2, ETH3  สามารถติดตั้งรับ VLAN หากเป็นระบบเครือข่ายขนาดกลางและใหญ่  
ส่วน ETH1 ใช้สำหรับ UN-Tracked Interface  เพื่อใช้อำพรางตัวตนเพื่อป้องกันการดักฟังทุกกรณีและมีการเข้ารหัสบนเส้นทางการติดต่อสื่อสาร
 ภาพที่ 3 คุณสมบัติฮาร์ดแวร์ของ UN-Tracked ด้วยรุ่นที่ทำขึ้นสามารถรองรับการใช้งานพร้อมกันได้ถึง 50 เครื่อง
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,

วันอาทิตย์, กุมภาพันธ์ 7

รู้ทัน sniffer

ผมตั้งใจที่จะเขียนบทความนี้ขึ้นต่อเนื่องจากบทควาที่แล้วเรื่องข้อเท็จจริงในการดักข้อมูล sniffer นั้นมีคนเข้ามาจนถึงเวลานี้ที่ผมเขียนบทความใหม่ถึง 480 ครั้ง (ผลลัพธ์จากระบบ SRAN Data Safehouse) ซึ่งมากกว่าที่คิดไว้มาก ประกอบกับเมื่อวันที่ 4 กุมภาพันธ์ที่ผ่านมาผมได้มีโอกาสได้ร่วมออกงาน Information Security Day ที่กระทรวงกลาโหมจัดขึ้น ในงานนี้ถึงแม้ผมไม่ได้บรรยายแต่ได้ร่วมตอบคำถาม ในวันนั้นมีผู้มีเกียรติหลายท่านได้ตั้งคำถามและตอบกันในช่วงบ่าย ผมยอมรับว่าทำหน้าที่ถ่ายทอดได้ไม่ดี เนื่องจากมีเวลาจำกัดในการตอบคำถาม จึงอยากแก้ตัวโดยเขียนอธิบายเพิ่มในบทความนี้ ในชื่อตอน "รู้ทัน sniffer"

หลายคนคงสงสัยกับคำว่า sniffer ไม่น้อย .. และอาจเกิดคำถามว่า sniffer คืออะไรกันแน่ เกี่ยวกับการดักข้อมูลอย่างไร ? sniffer นั้นมีคุณหรือโทษ? แล้วเราจะรู้ได้อย่างไรว่ามีคนดักข้อมูลเราอยู่ หรือเราจะรู้ได้อย่างไรว่ามีใครคอย sniff เราอยู่บ้าง ? วันนี้เรามาเรียนรู้ sniffer แบบถึงแก่นกันดีกว่าครับ

sniffer เป็นชื่อที่เป็นทางการ ซึ่งไม่ว่าจะคุยกันภาษาของชาติไหนๆ ก็มักจะเข้าใจคำนี้ เช่นเดียวกับคำว่า Hack ซึ่งถือว่าเป็น De facto หรือเป็นคำมาตราฐานที่สากลรู้จักกัน เป็นต้น

sniffer คือ โปรแกรมที่ใช้ในการวิเคราะห์กระแสข้อมูล แต่เรามักจะเข้าใจในทิศทางเดียวคือเป็นโปรแกรมที่ใช้ในการดักฟังข้อมูล โดยพฤติกรรมการนี้เรียกว่า "sniff" หรือภาษาไทยว่า "สนิฟ" หรือบางครั้งเราอาจได้ยินคำว่า snoop แทนพฤติกรรมในการวิเคราะห์กระแสข้อมูลก็ได้ ซึ่งโปรแกรมที่เขียนขึ้นโดยมนุษย์ใช้ทำการวิเคราะห์กระแสข้อมูลสารสนเทศที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ (หรือภาษาอังกฤษเรียกว่าการทำ Packet analyzer) ซึ่งอาจเรียกได้ว่าเป็น subset ของคำว่า Tap "แท็ป" และคำว่า Tap เป็นทั้งเทคโนโลยีและพฤติกรรมการใช้งาน เช่นคำว่า tap เพื่อดักฟังการสนทนาโทรศัพท์ เป็นต้น แสดงว่าคำว่า Tap ข้อมูล นั้นกินความไปนอกเหนือระบบ TCP/IP ก็ได้เช่น เป็นการดักฟังการสนทนาโทรศัพท์ที่กล่าวมาข้างต้น แต่หากทุกวันนี้การโทรศัพท์นั้นได้วิ่งผ่านระบบไอที บน TCP/IP หรือมีการรับส่งผ่านเครือข่ายคอมพิวเตอร์ (Network) ที่เรียกว่า VoIP แล้ว และมีการดักข้อมูลขึ้นอาจใช้คำว่า Tap หรือ sniff ก็ได้ โดยให้เข้าใจว่า sniff คือพฤติกรรมดักฟัง ส่วน sniffer เป็นชุดโปรแกรมที่ใช้ในการดักฟังข้อมูลบนระบบเครือข่ายคอมพิวเตอร์ โดยผ่านการรับส่งข้อมูลตาม OSI 7 layer เป็นหลัก ซึ่งการ sniff "สนิฟ" อาจจะเกิดขึ้นได้ตั้งแต่ Layer 1 ทางกายภาพ (สายโทรศัพท์ ) จนถึง Layer 7 บนระบบ Application Layer ได้ทั้งสิ้น ดังนั้นการ sniff จะเกิดขึ้นสมบูรณ์ ต้องเป็นการกระทำที่เกิดขึ้นมากกว่า 1 เครื่องขึ้นไป กล่าวคือมีเครื่องกระทำและถูกกระทำ ถึงจะเรียกว่าเป็นการ sniff "สนิฟ" และในบทความครั้งนี้จะกล่าวเฉพาะ sniffer บน TCP/IP เท่านั้น จะไม่ขอกล่าว sniffer ในทางกายภาพ
เทคนิคการ sniff "สนิฟ" นั้นคือการได้มาซึ่งข้อมูลโดยที่ไม่ทำให้ผู้อื่นล่วงรู้ได้ ดังนั้นในทางเทคนิคก็มักจะมองเป็นเทคนิคเดียวคือการแปลงร่างการ์ดแลนบนตัวเครื่องคอมพิวเตอร์เข้าสู่โหมดเงี่ยหูฟัง (promiscuous mode) แต่จริงแล้วหากเรามองว่าการได้มาซึ่งข้อมูลนั้นอาจทำตัวเองเป็น Gateway หรือได้จาก Caching ได้ดังนั้นเทคนิคอื่นก็อาจเข้าข่ายการดักฟังได้เช่นกันหรือ ?? ในบทความนี้จะมีคำตอบให้

ภาพการสนิฟข้อมูลบนเครือข่ายคอมพิวเตอร์ แบบง่ายๆ


ที่ผมบอกว่าเรามักจะมอง sniffer เพียงด้านเดียวคือเรามักจะมองเห็นว่าการ sniffer คือการดักฟังข้อมูล แต่แท้จริงแล้ว sniffer นั้นมียังทำคุณประโยชน์ได้เช่นกัน นั่นคือการวิเคราะห์หาปัญหาต่างๆ ที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์ได้ และ sniffer นั้นก็สามารถสร้างโทษได้เช่นกัน ขึ้นอยู่เจตนาและการใช้งาน

โทษของการใช้ sniffer
1. หากข้อมูลเป็น Plain text (ข้อมูลที่ไม่ได้มีการเข้ารหัส) ไม่ว่าเป็นการสื่อสารผ่าน Protocol HTTP , SMTP , PoP3 , FTP , Telnet หรือแม้กระทั่ง Protocol ในการส่งค่า Log คือ syslog ที่ใช้การติดต่อแบบ UDP และเป็น Plain text อันนี้ก็มีความเสี่ยงต่อการถูกดักข้อมูลได้การดักข้อมูลเหล่านี้เกือบ 100% ส่วนใหญ่มักเกิดขึ้นในองค์กร (office) ของเราเองนี้เอง เรียกว่าภัยพวกนี้ว่า "Internal Threat" เช่น มีพนักงานที่เจตนาต้องการดักข้อมูลผู้บริหาร หรือ ผู้ดูแลระบบ ก็สามารถใช้ sniffer ดักข้อมูลใครๆก็ได้ หากมีเครื่องมือ แต่ .... มีรายละเอียดมากมาย โดยเฉพาะทำอย่างไรถึงจะได้ข้อมูลมา รวมถึงการติดตั้งและการใช้เทคนิคอยู่พอสมควร มิใช่ใครมีโปรแกรม sniffer ก็จะดักข้อมูลได้ง่ายๆ ตลอดไป

หลักๆ ที่นิยมดักข้อมูลและถือว่าเป็นภัยคุกคามที่ไม่อยากให้เกิดขึ้นกับตนเอง ได้แก่
- ข้อมูลความลับที่ไม่ต้องการให้เผยแพร่ ซึ่งอาจเป็นเรื่องส่วนบุคคล หรือ เป็นเรื่องของบริษัท เป็นต้น
- ข้อมูล User/password บน Application Protocol ที่ใช้งาน เช่น User / Password จาก Web Login , User / Password จาก FTP หรือ Telnet เป็นต้น 2 ข้อที่กล่าวมานี้เองทำให้การทำ sniffer เป็นเรื่องที่น่ากังวล

2. หากข้อมูลเป็นการเข้ารหัส (encryption) การใช้ sniffer อาจประสบปัญหากับการใช้งานนิดหน่อยแต่ไม่ถึงกับว่าพบทางตัน เพราะการเข้ารหัส (encryption) ก็สามารถถอดรหัสได้ด้วยวิธีการต่างๆ แต่ที่นิยมคือใช้ sniffer ไปทำการ ARP poison ไปยังเครื่องเป้าหมาย และปลอมค่ากับ Gateway ตัวจริงจึงจะสามารถใช้งานได้ อันนี้เองมีรายละเอียดอยู่ค่อนข้างมากจึงขอยกไปต่อในตอนหน้าจะกล่าวถึงเรื่องนี้อีกครั้ง ในเทคนิคที่เรียกว่า MITM (Man in The Minddle) หากอดใจไม่ไหวให้อ่านที่ http://nontawattalk.blogspot.com/2009/08/layer-7.html ที่เป็นบทความเก่าที่ผมเคยเขียนขึ้นไว้ ชื่อตอนว่าวิเคราะห์ภัยคุกคามตาม OSI 7 layer อ่านช่วง Layer 2


คุณประโยชน์ sniffer
1. ช่วยวิเคราะห์กระแสข้อมูลสารสนเทศ เพื่อวินิฉัยปัญหาที่เกิดขึ้นบนระบบเครือข่าย เช่น
- เครือข่ายคอมพิวเตอร์ เหตุใดถึงได้ช้าผิดปกติ ก็สามารถใช้ sniffer มาช่วยวิเคราะห์และวินิฉัยได้
- เครือข่ายคอมพิวเตอร์ มีอาการที่ผิดปกติ อันเนื่องมาจากการแพร่กระจายของไวรัส (สายพันธ์ใหม่ๆ ที่ระบบป้องกันไวรัสคอมพิวเตอร์ไม่รู้จัก หรือไม่มี signature บนอุปกรณ์ NIPS/IDS , UTM เป็นต้น)
ซึ่งจากประสบการณ์จริง sniffer ช่วยให้ผมหาเครื่องที่ติดไวรัสคอมพิวเตอร์ ในงานประชุม APEC ที่จัดขึ้นในประเทศไทยเมื่อปี 2003 ได้ หากย้อนเวลาไปในช่วงนั้น ผมและทีมงานได้มีโอกาสทำงานระดับประเทศคืองาน APEC 2003 โดยทำการประเมินความเสี่ยงระบบเครือข่ายคอมพิวเตอร์ (Vulnerability Assessment) ในคืนก่อนวันเปิดงาน APEC เราพบว่าเครือข่ายในศูนย์ประชุมนั้นรับส่งข้อมูลช้าผิดปกติ เราพยายามทุกวิถีทางจนพบว่าเครื่องที่ปล่อยไวรัสนั้นกับเป็นเครื่องโทรศัพท์ (สมัยนั้นคือเป็นเครื่องลักษณะโทรศัพท์หยอดเหรียญ แต่เล่นอินเตอร์เน็ตได้ผ่านระบบ wi-fi) เชื่อไหมว่าเวลาตี 4 พวกผมยังวิ่งรอบศูนย์ประชุมแห่งชาติสิริกิติริ์ โดยถือโน็ตบุ๊ตหาสัญญาณการรับส่งข้อมูลที่ผิดปกติบนระบบ wireless LAN กว่าจะหาไวรัสตัวร้ายเจอนั้นผมและทีมงานไม่ได้นอนทั้งคืนก็เพราะหาไวรัสจากเครื่องๆเดียว เราก็กำจัดได้และทำให้เครือข่ายคอมพิวเตอร์ในงานกลับมาสู่ภาวะปกติก่อนพิธีในงาน APEC จะเปิด ก็เพราะโปรแกรม sniffer นี้เอง

2. sniffer ยังทำให้เราทำนาย เพื่อการออกแบบบนเครื่องแม่ข่าย (Server) ถึงการรับส่งข้อมูลให้มีประสิทธิภาพมากขึ้นได้อีกด้วย เช่น การออกแบบ Web Server เพื่อให้รองรับข้อมูลได้อย่างเหมาะสม การออกแบบ Data Base Server เมื่อมีการ Query ข้อมูลได้อย่างเหมาะสม ทำให้เราสามารถออกแบบ (design) ระบบ Cluster หรือการออกแบบ Cloud computing ในอนาคตถึงปริมาณการใช้งานต่อไปได้เพื่อความเสรียฐภาพของระบบได้อีกด้วย

3. sniffer ใช้หาผู้ร้าย / ผู้ต้องสงสัย ได้ ในกรณีนี้จำเป็นต้องรู้สถานที่ หรือรู้เครือข่ายคอมพิวเตอร์ที่มีผู้ต้องสงสัยอยู่ จากนั้นการใช้วิธีการสะกดรอยทางไอทีผ่านการเฝ้าสังเกตการณ์ข้อมูลที่ผ่านระบบเครือข่าย ซึ่งหากจะทำได้ควรได้รับหมายศาล หรือเป็นกรณีด้านความมั่นคงของชาติจริงๆ ถึงสมควรทำ

ดังนั้นหากเรามองให้ดีจะเห็นว่า sniffer นั้นมีประโยชน์ อยู่ไม่น้อยทีเดียว ส่วนการใช้ sniffer ในทางที่ไม่เหมาะสมล่ะ อันนี้ขอบอกว่าขึ้นอยู่กับเจตนาผู้ใช้ เพราะ sniffer นั้นสามารถที่จะดักข้อมูลได้ทั้งหมด คำว่าข้อมูลทั้งหมดนั้น ขึ้นอยู่กับชนิดโปรแกรม sniffer ด้วยนะ โดยปกติแล้ว จะได้ตาม Protocol ที่สำคัญ เช่น Protocol ที่เกี่ยวข้องกับการใช้งาน Web , Mail ,Chat เป็นต้น หากเราทำการชำแหละ sniffer ผลลัพธ์ที่ sniffer หรืออาจกล่าวได้ค่าที่ sniffer อ่านออกมาได้คือ
1. ไอพีต้นทาง (Source IP)
2. ไอพีปลายทาง (Destination IP)
3. พอร์ตต้นทาง (Source Port)
4. พอร์ตปลายทาง (Destination Port)
5. Protocol ใน Layer 4 เช่น TCP หรือ UDP
6. เนื้อหา (Content) ซึ่งเนื้อหาข้อมูล นั้นคือคำว่า "Payload" ในระดับชั้นข้อมูลคือใน Layer ที่สูง 5 , 6 และ 7 ค่า "Payload" ที่ปรากฏขึ้นบนตัวโปรแกรม sniffer สามารถมองเห็นและแปลความหมายได้ (ในบางโปรแกรม) สองวิธี คือ
6.1 แบบธรรมดา ค่า payload มองเห็นตาม Layer 2 - Layer 7 แบบเดียวกับการแสดงผลจากโปรแกรมชื่อ wireshark เป็นต้น
6.2 แบบพิเศษ นำค่า Packet ที่ได้มาประกอบร่างใหม่เรียกว่า Reconstruction หรือเป็นการทำ "Traffic Decoder" จะทำให้เห็นมากขึ้น เช่น HTTP คือการเล่นเว็บไซต์ สามารถล่วงรู้ถึงการคลิก เปิดหน้าจอ หน้าเว็บ URI path หรือ เรียกดู clip video ได้ หรือหากเป็นการที่ผ่าน VoIP สามารถ เรียกดูย้อนหลังเป็นเสียงพูดสนทนาได้ เป็นต้น
ในการทำ Reconstruction นั้น มักจะใช้กับเทคโนโลยีในการทำ Law ful Interception โดยปกติแล้วมักมีในธนาคาร หรือโรงงานที่มีความเข้มงวดในการใช้ข้อมูล ที่ต้องเฝ้าสังเกตการทุจริตที่เกิดขึ้นจากการทำงานด้านไอที (ในเมืองไทยก็มีใช้ในบางธนาคาร) เปรียบเสมือนกล้องวงจรปิด ซึ่งการทำเทคนิค Reconstruction นั้นจำเป็นต้องใช้ storage มหาศาลเช่นกัน ดังนั้นการใช้เทคโนโลยีเหล่านี้ต้องเผื่องบประมาณไว้พอสมควร
7. เรื่องเวลา คือ วันเวลาที่เครื่องแม่ข่าย (Server) ที่ใช้จัดทำขึ้นเป็น sniffer Server เป็นต้น ซึ่งในข้อนี้ผมขอละไว้ว่าสมมุติทุกเครื่องตั้งค่าเวลาปกติถูกต้องแล้ว ก็แล้วกันนะครับ จึงไม่ขอกล่าวต่อไป

จากคุณสมบัติของ sniffer ที่กล่าวมาตั้งแต่ข้อ 1 - 7 แล้วนั้น ส่วนใดบ้างที่มีความอ่อนไหวถึงความรู้ผู้คนว่า sniffer เป็นเครื่องมือที่อันตราย
จากข้อ 1-5 นั้น มีผลลัพธ์ไม่ต่างกับ Log ที่เกิดขึ้นบนอุปกรณ์เครือข่าย เช่น Router Log , Switch Log , Firewall แบบ ACL (Access Control List)

ภาพ Log Router จากเว็บไซต์ phoenixlabs.org

แต่ข้อ 6 นี้เองที่ทำให้หลายท่านกังวล นั้นคือ การมองเห็นถึงเนื้อหาของข้อมูล (content)
แล้วเทคโนโลยีอะไร ที่มองเห็นเนื้อหาของข้อมูล (Content) นอกจาก sniffer แล้วมีอีกไหม
ผมขอยกตัวอย่างสัก 3 เทคโนโลยี ได้แก่

- NIDS/IPS (Network Intrusion Detection and Prevention System) และเทคโนโลยีประเภท Deep packet Monitoring/Analysis หรือแม้กระทั่ง NAC (Network Access Control ที่ทำตัวเป็นเหมือน Switch ตัวหนึ่งทีเดียว)
การติดตั้งสามารถติดตั้งตามจุดต่างๆ บนเครือข่ายคอมพิวเตอร์ได้ ไม่จำกัด ทั้งแบบ Inline ขวางระบบเครือข่าย , Passive โดยใช้ผ่านอุปกรณ์อื่นเช่น switch เป็นต้น
ซึ่งเทคโนโลยีจำพวกนี้ สามารถมองเห็นเนื้อหาของข้อมูล (content) และมองเห็นข้อมูลตามข้อ 1- 6 ที่กล่าวมาข้างต้น แต่จุดประสงค์เทคโนโลยี NIDS/IPS ถูกออกแบบมาเพื่อตรวจสอบข้อมูลที่ผิดปกติ เช่น การโจมตี DDoS/DoS ,การแพร่ระบาดไวรัส (virus/worm) , การรับส่งข้อมูลที่ไม่พึ่งประสงค์ (Spam) ,และ การป้องกันเว็บไซต์ หรือชื่อโดเมนที่หลอกหลวง (Phishing) , การกรองเว็บไซต์ที่ไม่เหมาะสม (Web Filtering) เป็นต้น ซึ่งที่กล่าวมานั้น เป็นการตรวจเฉพาะภัยคุกคามมากกว่าการตรวจทุกเนื้อหาข้อมูล (content)
ซึ่งส่วนนี้ได้ทั้งข้อ 1- 6 รวมถึง 6.1 ด้วยแต่ไม่ได้ข้อ 6.2

ภาพติดตั้ง NIDS/IPS และ Proxy ซึ่งการติดตั้งในรูปเป็นแบบ In-line หรือ Transparent ซึ่งทำให้ข้อมูลผ่านที่ตัวอุปกรณ์ได้ เหมาะสำหรับเครือข่ายคอมพิวเตอร์ขนาดเล็กและขนาดกลาง


- Proxy Caching
การติดตั้ง ได้ทั้งเป็น gateway , transparent หรือแม้กระทั่งติดตั้งเป็นเพียงเครื่อง Server โดดก็ได้
หลายคนมองข้ามเทคโนโลยีตัวนี้ เนื่องจาก Proxy Caching มักมองในด้านการเพิ่มความเร็วแต่หากพิจารณาถึงข้อมูลบนตัวระบบ Proxy Caching ก็จะพบว่ามีคุณสมบัติตาม 1-6 ครบทุกข้อ คือได้เรื่องเนื้อหาข้อมูล (content) ด้วย เพื่อความเข้าใจมากขึ้น Proxy Caching มักใช้ทำเฉพาะ Protocol ใด Protocol หนึ่งมิใช่เปิดใช้ทั้งหมด หรือน้อยนักที่เปิดใช้ทั้งหมด Protocol ที่นิยมเปิดใช้คือ HTTP หรือการทำ Proxy Caching ส่วน Web นั่นเอง
ซึ่งส่วนนี้ได้ทั้งหมด 1-6 รวมถึงข้อ 6.1 และ 6.2 (เฉพาะ HTTP หากเป็น Protocol อื่นต้องเปิดให้ Proxy รองรับ Protocol อื่นด้วยซึ่งยังไม่เป็นที่นิยมและทำให้ Proxy ทำงานหนักเกินไป) ส่วนใหญ่เทคโนโลยีนี้ไม่ได้มีการเก็บบันทึกข้อมูลไว้ในตัวต้องหา storage มาเสริม

เทคโนโลยีสุดท้ายคือ UTM (Unified Threat Management)
การติดตั้ง เป็น gateway ขององค์กร
เทคโนโลยีนี้มาแรงในปัจจุบันเนื่องจากธุรกิจ SME นั้นมีมากขึ้นทำให้เลือกใช้ UTM มากขึ้น UTM หรือรวมทุกเทคโนโลยีด้านความมั่นคงปลอดภัยลงบรรจุในเครื่องเดียว คือ เป็นทั้ง Firewall , NIDS/IPS , Proxy จึงทำให้ Log ที่เกิดขึ้นบนเครื่อง UTM ได้ครบทั้ง 6 ข้อเช่นกัน คือได้เรื่องเนื้อหาข้อมูล (content) ด้วยเช่นเดียวกับ sniffer
ซึ่งส่วนนี้ได้ทั้งข้อ 1-6 รวมถึงข้อ 6.1 ยกเว้นข้อ 6.2 ส่วนใหญ่เทคโนโลยีนี้ไม่ได้มีการเก็บบันทึกข้อมูลไว้ในตัวต้องหา storage มาเสริม

ภาพการออกแบบ UTM บนเครือข่ายคอมพิวเตอร์ ซึ่งเป็น UTM ยี่ห้อดัง Fortigate ที่นิยมในประเทศไทย


แล้วพวก Log Management ล่ะ ? ได้ทั้งเนื้อหาข้อมูล (content) ด้วย ? คำตอบคือ Log Management ไม่สามารถทำงานได้เองโดยลำพัง ต้องได้รับข้อมูลจากอุปกรณ์ / เครื่องคอมพิวเตอร์อื่น ถึงสามารถทำงานได้ หากรับข้อมูลจาก อุปกรณ์ Router ก็จะได้เพียงข้อ 1 - 5
หากรับข้อมูลจาก อุปกรณ์ Switch ก็จะได้เพียงข้อ 1-5
หากรับข้อมูลจาก NIDS/IPS หรือ Proxy caching หรือ UTM ก็จะได้ข้อ 1-6 ตามที่อธิบายข้างต้น ส่วนจะได้ข้อ 6.2 หรือไม่นั้น NIDS/IPS , NAC , UTM ไม่สามารถได้ข้อ 6.2 ส่วน Proxy ต้องอาศัยเทคโนโลยีเสริม ดังที่กล่าวมาแล้วเป็นต้น

แล้วพวกเทคโนโลยีพวก Web Crawler ล่ะ ? เช่นพวก google , yahoo หรือ bing นี้ทำไมถึงรู้ keyword ที่เราต้องการค้นหาได้ด้วย

ภาพ web crawler ตัวแรกของโลกเมื่อปี 1996

เทคโนโลยี Web crawler เสมือนเป็นสายลับให้ผู้สร้าง crawler หรืออาจเรียกได้ว่าเป็นพวก robot ที่วิ่งหาข้อมูลอยู่ตลอดเวลาทำงานแทนคนนั้นเอง ซึ่งหากพิจารณาแล้วพบว่า Web Crawler ได้เฉพาะข้อ 2 ,4, 5 และ 6 คือ
Web Crawler จะสามารถทราบถึง
- ในข้อ 2 Destination IP นั่นก็คือ เว็บไซต์ที่เปิดขึ้น เช่นค้นหาคำว่า "SRAN" พบว่า www.sran.net อยู่บรรทัดแรกของระบบ Search engine หากเราทำการเปิดเว็บไซต์ www.sran.net ก็แสดงว่า www.sran.net คือ Destination IP (ทำการ ping www.sran.net ได้ IP Address)
- ในข้อ 4 Port Destination นั่นคือ ได้ Port ปลายทางด้วย เช่น ค้นหาคำว่า "SRAN" พบว่า www.sran.net อยู่บรรทัดแรกของระบบ Search engine ข้อมูลทุกอย่างปรากฏผ่านบราวเซอร์ของเราผ่าน Protocol HTTP ก็แสดงว่า Destination port ก็คือ 80

ภาพแสดงถึงหลังฉากการติดต่อสื่อสารจะเห็นได้ว่ามีการติดต่อจาก IP ต้นทาง (Source IP หรือ Local Address Port ต้นทาง ไปยัง Destination IP หรือ IP Foreign port ปลายทาง)

- ในข้อ 5 Protocol ในการติดต่อสื่อสาร เป็น TCP เนื่องจากเป็นการสื่อสารผ่าน HTTP นั่นเอง
- ในข้อ 6 เนื้อหาข้อมูล ตาม Keyword ที่เราค้นหา โดยเทคนิค Web Crawler จำเป็นต้องดูดเนื้อหาในเว็บไซต์มาเก็บไว้ เรียกว่า Web site Copier ที่เครื่อง Crawler Server แน่นอนครับนำเอาเนื้อหา (Content) ที่เกิดขึ้นบนเว็บไซต์เข้ามาด้วย แต่เป็นเพียงเฉพาะ Protocol HTTP โดยส่วนใหญ่ ไม่ได้ทำเพื่อใช้ Crawler ไปกับ Protocol อื่นนัก และไม่ได้หมายความว่า crawler จะทำงานได้เฉพาะ HTTP นะครับเพราะมีบางโปรแกรมก็ใช้ crawler กับ Protocol ที่ใช้แชร์ไฟล์ ก็มีคือวิ่งบน SMB Protocol ก็มีเช่นกันแต่เป็นส่วนน้อยและ เทคโนโลยี Crawler ไม่จำเป็นทำตามข้อ 6.2 คือการทำ Reconstruction นั้นเนื่องจากเนื้อหาทั้งหมดอยู่ใน storage เครื่องที่ทำระบบ Crawler ที่ประมาณข้อมูลมหาศาลเรียบร้อยแล้ว จึงเป็นขอพิพากกันถึงการทำงานของ google ที่อาจเป็นการละเมิดข้อมูลผู้อื่นได้ เนื่องจาก google มี crawler จำนวนมาก มี Server ที่เก็บเกี่ยวข้อมูลจำนวนมากจึงทำให้หลายๆประเทศมองว่า google อาจเป็นภัยต่อความมั่นคงได้เช่นกัน
แต่ทั้งนี้แล้ว
** ระบบ Web Crawler ไม่มีทางที่ได้ค่า IP ต้นทางหรือ Source IP นอกเสียจากว่า IP ต้นทางดันไปปรากฏในเว็บกระทู้ (Web board) ที่เปิดเผย IP ทั้งหมด ซึ่งหากนับแล้วเว็บกระทู้ (Web board) น้อยนักที่เปิดเผย IP Address ผู้โพสเว็บทั้งหมด ดังนั้น Web Crawler หากได้ IP ต้นทางนั้นจำเป็นต้องอาศัยโชคด้วย จึงอาจกล่าวได้อีกครั้งว่าเทคนิค Web Crawler ได้เฉพาะข้อ 2,4,5 และ 6 ดังที่กล่าวมา

เทคโนโลยีทั้งหมดที่กล่าวมาผมยังไม่กล่าวถึงการเก็บข้อมูล (Storage) และการออกแบบอย่างไรถึงจะสามารถรองรับข้อมูลได้ ซึ่งหากให้เขียนทั้งหมดจะมีเนื้อหายากและยาวเกินไป เดี๋ยวจะไม่มีใครคิดจะอ่านต่อ ผมจึงขอหยุดการอธิบายส่วนเทคโนโลยีอื่นๆ ไว้เพียงแค่นี้ก่อน
กลับไปสู่เนื้อหาต่อ ..

จะพบว่าคำถามเรายังไม่หมด สำหรับความสงสัยของผู้คน ถ้าเป็นเช่นนี้ เราไม่ยุ่งหรือ ? หากอุปกรณ์ป้องกันภัยที่ทุกองค์กรที่ใช้อยู่ ก็สามารถมองเห็นเนื้อหาข้อมูล (content) ได้เช่นกัน
คำตอบคือ ก็ขึ้นอยู่กับการใช้งาน ... หากเราคิดเพียงว่าการมองเห็นเนื้อหาข้อมูล (content) ก็เป็นการ sniff "สนิฟ" ไปเสียหมด นี้ก็ไม่ต้องทำอะไรกันพอดี ไม่ต้องมีระบบป้องกันภัยคุกคามปล่อยให้เป็นไปตามเวรตามกรรมก็คงไม่ผิด หากเป็นเช่นนี้คงไม่ได้ ดังนั้น เราจึงควรสร้างความเข้าใจ ถึงเทคโนโลยีที่เราใช้อยู่อย่างมีเหตุและผลมากขึ้น

เรามาดูอีกด้านหนึ่งบ้าง คือ โทษของ sniffer ...
ลำพังด้วยโปรแกรมอย่างเดียวนั้นคงไม่มีโทษอะไร มันก็เป็นเพียงเครื่องมือหนึ่งของมนุษย์ เป็นโทษ หรือเป็นภัยนั้น คือผู้ใช้โปรแกรม sniffer นั่นเอง หากใช้ในเจตนาที่ไม่เหมาะสม เช่นการดักข้อมูลผู้อื่นโดยมิชอบนั้นแน่นอนครับผิด ทั้งผิดตามศิลธรรมแล้วยังผิดในมาตรา 8 ของพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย ทั้งนี้จะผิดกฏหมายได้ต้องดูที่เจตนาผู้ใช้ sniffer เป็นหลักนะครับ
ทีนี้เรามาดูกันว่า เราจะรู้ทัน sniffer กัน "เราจะรู้ได้อย่างไรว่ามีใครดักข้อมูลเราอยู่" กันดีกว่า

ตอนต่อไปผมจะกล่าวถึงวิธีรู้ทัน sniffer โดยจะพิจารณาตามลักษณะการรับส่งข้อมูลดังนี้
1. พิจารณาจากมุมมอง การใช้ข้อมูล หากเราเอาตัวเองเป็นศูนย์กลาง ตัวเรานั่งอยู่ที่ไหน ?
1.1 ที่ทำงาน (office ที่เราทำงานอยู่) --> ใครจะ sniff "สนิฟ" เราได้
1.2 ที่ไม่ใช่ที่ทำงาน เช่น บ้าน ร้านกาแฟ อื่นๆ --> ใครจะ sniff "สนิฟ" เราได้
และเราจะรู้ทันได้อย่างไร ?

ถ้าหากเราระแวง จนถึงขั้นว่าทุกการกระทำต้องเข้ารหัส (encryption) เพื่อป้องกันการดักข้อมูลนั้นจะช่วยป้องกันได้เพียงใด ?

2. การทะลุข้อมูลถึงแม้จะเข้ารหัส การสามารถอ่านข้อมูลได้โดยผ่านเทคนิคที่เรียกว่า Man in the Middle attack (MITM)
2.1 ที่ทำงาน (office ที่เราทำงานอยู่) ---> ใครจะ MITM เราได้
2.2 ที่ไม่ใช่ที่ทำงาน เช่น ที่บ้าน ร้านกาแฟ อื่นๆ --> ใครจะ MITM เราได้
และเราจะรู้ทันได้อย่างไร ?

ผมมีคำตอบให้ในตอนหน้า ครับ

เพื่อความแข็งแรงขึ้น และจะได้ลงลึกในรายละเอียดที่กล่าวในตอนหน้าต่อไป ให้กลับไปอ่านเรื่องมุมมองภัยคุกคามจาก
http://nontawattalk.blogspot.com/2009/04/blog-post.html
และ http://nontawattalk.blogspot.com/2009/10/3-in-3-out.html
และ บทความภัยคุกคามตาม Layer ทั้ง 7
http://nontawattalk.blogspot.com/2009/08/layer-7.html
http://nontawattalk.blogspot.com/2009/09/layer-7-2.html
http://nontawattalk.blogspot.com/2009/09/layer-7-3.html

นนทวรรธนะ สาระมาน
Nontawattana Saraman
07/02/53
เขียนโดย ที่ 1 ความคิดเห็น:
ป้ายกำกับ: ,

วันพุธ, มกราคม 27

ข้อเท็จจริงในการดักข้อมูล sniffer


ครั้งแรกกะว่าจะไม่เขียนแล้วนั่งดูกระแสสังคมเงียบๆ และปล่อยให้เวลาเป็นตัวสร้าง ระดับการเรียนรู้ของผู้คนที่ใช้งานอินเตอร์เน็ตในประเทศไทยได้เรียนรู้กันเอง แต่อดไม่ได้จึงขอเขียนบทความนี้ขึ้นมาสักหน่อยเผื่อว่าใครค้นหาเจอแล้วได้พบข้อมูลนี้ขึ้น และเผื่อว่าจะเพิ่มมุมมองอีกด้านหนึ่งให้เป็นที่รับรู้กัน

จากข่าวที่ออกมาว่า กระทรวงเทคโนโลยีและการสื่อสาร หรือ ไอซีที นั้นได้ขอความร่วมมือจากภาคเอกชนในการแก้ไขปัญหาการละเมิดทรัพย์สินทางปัญญาบนเครือ ข่ายอินเทอร์เน็ต ออกใบอนุญาตให้กับผู้ประกอบการต้องติดตั้งอุปกรณ์ดักจับข้อมูลบนเครือข่าย อินเทอร์เน็ต หรือ Sniffer ไว้ที่เกตเวย์ด้วยเพื่อใช้ดักอ่านข้อมูลที่วิ่งบนระบบเน็ตเวิร์ค จนเกิดกระแสสังคมต่อต้านอย่างสูงจนเป็นประเด็นร้อนในสังคมออนไลท์เมืองไทยในช่วงอาทิตย์ที่ผ่านมา

ซึ่งทำให้สังคมออนไลท์มองว่าการนำ sniffer มาใช้นั้นจะผิดกฏหมายในมาตรา 8 ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และทำให้เป็นการละเมิดสิทธิส่วนบุคคล
หากแยกเป็นสองส่วนคือ เรื่องผิดกฏหมายในมาตรา 8 และเรื่องละเมิดสิทธิส่วนบุคคล

1. เรื่องผิดกฏหมาย
ซึ่งหากให้อธิบายในส่วนมาตรา 8 นั้นอาจกล่าวได้ว่าการกระทำผิดนั้นจะเกิดขึ้นได้ก็ต่อเมื่อการกระทำนั้นเกิดจากการกระทำโดยมิชอบด้วยกฏหมาย โดยดูที่เจตนาผู้ใช้เครื่องมือนี้เป็นหลัก จึงจะมีผลในมาตรา 8 หากชอบโดยกฏหมายแล้วนั้นการกระทำเช่นนี้ก็ไม่ผิด

ผมขอสร้างความเข้าใจเพิ่มขึ้น สักนิด โดยการยกตัวอย่าง บริษัท ABC เป็นโรงงานแห่งหนึ่ง ออกกฏให้พนักงานต้องพิสูจน์ตัวตนก่อนใช้งานคอมพิวเตอร์และเชื่อมต่ออินเตอร์เน็ต จากนั้นถ้าบริษัท ABC ได้จัดซื้อระบบ Monitoring System และประกาศให้พนักงานทุกคนรับทราบ ก็เพื่อดูพฤติกรรมการใช้งานผิดประเภทของพนักงานที่ใช้งานอินเตอร์เน็ต เช่น การส่งความลับบริษัทออกไปภายนอก , การติดไวรัสคอมพิวเตอร์การอินเตอร์เน็ตบราวเซอร์ เครื่องคอมพิวเตอร์ในเครือข่ายติด Spyware และเป็น botnet สร้างความเสียหายให้แก่บริษัทและชื่อเสียงองค์กร และอื่นๆ ที่พึ่งเป็นประโยชน์แก่องค์กร บริษัท ABC ซื้อระบบนี้ก็เพื่อป้องกันภัยที่อาจจะเกิดขึ้นในอนาคต คำถามว่าบริษัท ABC ทำผิด พรบ.คอมพ์ฯ หรือไม่ หากเราคิดเอาแต่ได้คือคิดฝั่งเราเองแต่อย่างเดียว ไม่เห็นอกเห็นใจ เจ้าของบริษัท ABC ผู้ที่ซื้อคอมพิวเตอร์ให้พนักงาน ให้เช่าสัญญาณอินเตอร์เน็ต จ่ายค่าไฟฟ้า ค่าลิขสิทธิ์ระบบปฏิบัติการ ซอฟต์แวร์ที่ใช้งาน และค่าซ่อมบำรุงต่างๆแล้วนั้น ก็แน่นอนอาจตีความหมายได้ว่าบริษัท ABC มีโอกาสผิด พรบ. แต่ในความเป็นจริงแล้ว ต้องบอกว่าบริษัท ABC ใช้ระบบ Monitoring System ซึ่งอาจใช้เทคนิคการ sniffer ก็ได้ แต่เป็นการทำโดยชอบ เพราะเขาได้ลงทุนระบบไปแล้ว และหากทำโดยชอบแล้วก็ไม่ถือว่าผิดมาตรา 8 ที่กล่าวมา กลับเป็นเรื่องดีเสียอีกที่ทำให้บริษัท ABC ไม่เสียโอกาสกับการทำ "Internal Threat" ที่อาจจะเกิดขึ้นได้ทุกองค์กรที่มีการเชื่อมต่ออินเตอร์เน็ต คำตอบในข้อนี้คือหากทำจริงก็ไม่ถือว่าผิดกฏหมาย แต่ต้องตีความหมายใหม่ซึ่งผมจะอธิบายต่อไป

กลับมาสู่ประเด็น รัฐบาลจะใช้ sniffer เพื่อดูเรื่องละเมิดทรัพย์สินทางปัญญา นั้นควรทำหรือไม่ ?
ตอบ : ในส่วนตัวผมคิดว่า "ควรทำ" แต่ควรเป็นเรื่องความมั่นคงของชาติ ไม่ใช่เรื่องละเมิดทรัพย์สินทางปัญญา ด้วยมีเหตุผลสมทบ 3 เหตุ ดังนี้

1.1 หากจะทำควรให้ความรู้ประชาชนก่อน (User ผู้ใช้อินเตอร์เน็ต) ถึงพิษภัยบนโลกไซเบอร์ ว่าปัญหาการใช้ข้อมูลบนโลกอินเตอร์เน็ตนับวันยิ่งผู้ใช้งานมากขึ้น มากขึ้นๆ และมีทั้งคุณและโทษ โดยในด้านโทษนั้นจะเห็นได้ชัดว่าอินเตอร์เน็ตเป็นเหตุปัจจัยให้เกิดคดีต่างๆมากมายเช่นกัน เช่น คดีหลอกหลวงคน จากการซื้อขายสินค้าในอินเตอร์เน็ต , คดีละเมิดทางเพศ ไม่เว้นแต่พระ , คดีหมิ่นประมาท , หรือจะเป็นการโจมตีระบบเครือข่ายจนไม่สามารถใช้งานได้ โดยปีที่แล้วก็มีข่าวอันโด่งดังคือ ข่าว DDoS/DoS ที่ประเทศเกาหลี จนเกาหลีไม่สามาถใช้อินเตอร์เน็ตได้ทั่วประเทศ แต่เกาหลีมีระบบ Monitoring ที่ดีจึงสามารถตรวจหาผู้โจมตีและเอาผิดดำเนินคดีได้ในระยะอันสั้น ถึงได้กล่าวว่าภัยเหล่านี้มีความถี่มากขึ้นๆ ซึ่งทุกวันนี้ ประเทศไทยเราเอง หากมีการกระทำผิดบนโลกอินเตอร์เน็ตและเป็นคดีความนั้น จะเป็นไปได้ยากมากในสืบหาผู้กระทำความผิด
ขอยกตัวอย่างกรณีแก๊งไนเจีย 419 ทาง FBI แจ้งมาที่ตำรวจไทยว่าแก๊งนี้อยู่ที่เมืองไทยโดยใช้ประเทศไทยเป็นฐานในการหลอกลวง (Phishing) ผู้คนทั่วโลกผ่าน e-mail เชื่อหรือไม่ว่าตำรวจเรากว่าจะหาแก๊งนี้และจับได้นั้นใช้ความสามารถของคนและโชค โดยแท้ และหาก FBI ไม่แจ้งมานั้นเราก็ไม่รู้หลอกว่าประเทศเราได้เป็นฐานของแก๊งนี้ใช้หลอกลวงขึ้น เหมือนดังว่าประเทศของเรากลายเป็นแหล่งเพาะเชื้อโรคด้านอาชญากรรมข้ามชาติไปเลยในกรณีนี้

ดังนั้นวิธีอย่างหนึ่งที่จะช่วยให้สังคมอินเตอร์เน็ตสงบได้ก็คือทุกๆที่มีการให้บริการข้อมูลควรมีการเก็บ Log และ Log ที่เก็บต้องเป็นประโยชน์ในการสืบสวนมิใช่เป็น Log ที่อ่านยาก จนไม่รู้จะหาผู้กระทำผิดและเป็นหลักฐานได้อย่างไร อันที่จริงแล้วก็มีประกาศเป็นกฏหมายในมาตรา 26 ของ พรบ.คอมพ์ฯ แต่หลายๆครั้งเราก็พบว่าหลายก็ยังไม่ได้มีการเก็บ Log : ขออธิบายเสริมนอกเรื่อง ว่าในการเก็บ Log ที่ดีนั้นถ้าเลือกได้ Log Server ไม่ควรรับ Log มาจาก Router หรือ Switch เหล่านี้การพิสูจน์หาหลักฐานแล้วแทบไม่มีประโยชน์จาก Log เหล่านั้นเลย เนื่องจากโลกอินเตอร์เน็ตทุกวันเป็น Content Application มิใช่เพียงแค่ Network IP , ดังนั้น Log จาก Router หรือ Switch มีประโยชน์เพียงการดูความผิดปกติจากการโจมตี DDoS/DoS และการแพร่ไวรัสชนิดที่ยังไม่มีฐานข้อมูล หากจำเป็นต้องเก็บ Log (ภายในองค์กร) ควรเป็น Log จาก Firewall (UTM) หรือ Proxy หรือ NIDS/IPS และ AD (Active Directory) เป็นอย่างน้อย (อ่านเพิ่มเติมจากบทความเทคนิคการสืบหาผู้กระทำความผิด , สืบจาก Log ) แต่การเก็บบันทึก Log ก็ไม่ได้ซึ่งเหตุการณ์ที่ทันเวลา และไม่สามารถบังคับให้ทุกทีเก็บ Log ได้เหมือนกันหมดเพราะเหตุปัจจัยด้านการออกแบบทั้งระบบ Log Management เองและ ระบบ Network ซึ่งแต่ละที่มีการออกแบบที่แตกต่างกันอยู่ และที่สำคัญคือทุนในการจัดซื้อจัดจ้างเทคโนโลยี สุดท้ายคือบุคคลากร ที่ทำงานด้านนี้ต้องประสานกันได้

1.2 กระทรวงไอซีที ไม่ควรใช้คำว่า sniffer หากเป็นลักษณะการ Tap ข้อมูลก็ต้องอธิบายให้เข้าใจว่าไม่มีทางที่เอาข้อมูลมาได้ทั้งหมด หรือหากได้ทั้งหมดด้วยทุนมหาศาลแล้วนั้น ก็ไม่สามารถที่รู้ได้ว่าใครเป็นใคร ในโลกอินเตอร์เน็ตได้ นอกเสียจาก IP Address ผู้ใช้งานเท่านั้น ควรใช้คำว่า การทำ Lawful interception ที่หลายๆประเทศทั้งยุโรป อเมริกา และ ญี่ปุ่น เกาหลี และจีน ก็ทำกันทั้งนั้น

ผมขอให้ข้อมูลเพิ่มเติมว่า ในต่างประเทศเขาเรียกการทำแบบนี้ว่า Lawful Interception หากแปลเป็นไทยคือการตรวจสอบข้อมูลโดยชอบด้วยกฏหมาย ซึ่งในต่างประเทศจะต้องออกกฏระเบียบ เป็นกฏหมายขึ้นมาก่อน แล้วให้หน่วยงานกลางเป็นผู้ดูแลเรื่องเหล่านี้ ซึ่งจะมีประโยชน์กับ ISP หรือผู้ให้บริการ หากมีคดีความ และเหตุการณ์ด้านความมั่นคงฉุกเฉิน จะได้ไม่ต้องขอข้อมูลจาก ISP อีกต่อไป ตำรวจและเจ้าหน้าที่จะตรงไปที่หน่วยงานกลางที่จัดตั้งขึ้นมานี้ทันที

ซึ่งหากเมืองไทยจะทำ กฏหมายเหล่านี้ นั้นมีอยู่แล้วในเรื่องความมั่นคงในราชอาณาจักร ทั้งกฏหมายไทย เช่นหน่วยงาน DSI หรือ หน่วยพิเศษทางทหารบางหน่วย ก็สามารถใช้กฏพิเศษเหล่านี้ได้ เพื่อจุดประสงค์ด้านความมั่นคงของชาติเป็นหลัก

1.3 กระทรวงไอซีที ควรมองเรื่องนี้ไปในทิศทางด้านความมั่นคงของสถาบันหลักของชาติไทยเป็นหลัก มากกว่าเรื่องละเมิดทรัพย์สินทางปัญญา เพราะหาก Implement สำเร็จ สิ่งที่ได้ตามมานั้นคือการ Trackback เรื่องละเมิดทรัพย์สินทางปัญญาได้อยู่แล้ว เป็นผลพ่วงทางอ้อม และสิ่งที่ได้มาจริงๆ นั้นก็เป็นเพียง IP Address ต้นทาง ที่ ISP จ่าย IP ให้ ไม่ได้รู้หลอกว่าเป็นใคร ซึ่งส่วนนั้นต้องไปตามกันต่อที่ระบบ Radius หรือระบบ Billing ที่จ่ายค่า account อินเตอร์เน็ตไปกับหมายเลขโทรศัพท์ซึ่งจะตามต่อได้แล้วว่าเป็นใคร ซึ่งมีกระบวนการทำงานอีกพอสมควร (ถึงแม้จะมี IPv6 ก็ตามขั้นตอนก็ไม่ได้แตกต่างไปเลย ยกเว้นบ้าง ISP ที่มีระบบ Inventory ดีๆ อาจจะ Trackback ได้ง่ายขึ้นโดยเฉพาะ พวกที่ใช้มือถือใช้งานอินเตอร์เน็ต เป็นต้น)

ในต่างประเทศให้ความสำคัญเรื่อง Lawful Interception มาก โดยเฉพาะประเทศที่มีบทเรียนด้านอาชญากรรมทางคอมพิวเตอร์มาแล้ว เช่น อเมริกา ทุกวันนี้หากกล่าวกันอย่างเต็มปากเต็มคำแล้ว ประเทศไทยเรายังโชคดีมาก ที่การใช้งานอินเตอร์เน็ตถือว่าเสรีมากๆ และไม่มีระบบระเบียบอะไรมาควบคุม และสาวตัวถึงต้นตอของการกระทำผิดผ่านทางอินเตอร์เน็ตได้ คือต้องอาศัยความสามารถส่วนบุคคลในการสืบ การติดต่อ ISP และการพิสูจน์หาหลักฐานในอินเตอร์เน็ตมากกว่าเทคโนโลยี อเมริกา จีน และประเทศในฝั่งยุโรป นั้นตรวจหมดใน Protocol ที่สำคัญ ไม่ว่าเป็น HTTP (Web) , SMTP , POP3 , Web Mail , VoIP อื่นๆ อเมริกาถึงขั้นตรวจภาพเพื่อตรวจหาการซ่อนข้อความไว้ในภาพ (Steganography) ที่ตรวจละเอียดจนไม่เหลือความเป็นส่วนตัวได้นั้นก็เพราะเขามีบทเรียนจากเหตุการณ์ 9/11 มาแล้วว่าผู้ร้ายซ่อนข้อมูลในภาพและส่ง e-mail กัน


2. เป็นการละเมิดสิทธิส่วนบุคคล หรือไม่ ?

"เรากังวลในเรื่องไม่น่ากังวล !!" เพราะสิ่งที่เราเป็นอยู่ทุกวันนี้ ข้อมูลเราก็หลุดไปสู่โลกภายนอกอยู่แล้ว
เรากังวัลเรื่องข้อมูลส่วนตัวเราจะถูกล่วงรู้ ?? จากรัฐบาลหรือผู้ทำระบบ หรือ อื่นๆ หากผมจะบอกว่าข้อมูลส่วนตัวของเรา นั้นจริงๆแล้วไม่มีความลับเลยตั้งแต่เราเชื่อมต่ออินเตอร์เน็ต หรือตั้งแต่เราซื้อคอมพิวเตอร์เครื่องนี้มาใช้เล่นอินเตอร์เน็ต แม้กระทั่งข้อความที่ผมพิมพ์อยู่นี้ อย่างน้อย robot จาก google คงตามผมเจอเพราะผมใช้ blogspot และค่า fingerprint บนระบบปฏิบัติการผม IP Address ที่ไปประทับแล้วใน blogspot (Log บน Web blogspot server) ไปเรียบร้อยแล้ว

ที่กล่าวไปอย่างงี้ คงมีคนเถียงผมเป็นแน่ จึงขอยกตัวอย่างว่าทำไมเราไม่ไปกังวลเรื่องอื่น เช่นเรื่องที่ผมจะกล่าวต่อไปนี้ เป็นตัวอย่าง ๆ ไปแล้วกันครับ

2.1 Peering ข้อมูลที่ไหลออกนอกประเทศ : เวลาเราเล่นอินเตอร์เน็ต สงสัยบ้างไหมว่า ทำไมดูเว็บบ้างเว็บเร็วจังเลย เช่น www.youtube.com , google.com , msn และ social network อื่นๆ ที่เร็วเป็นเพราะว่า ISP ในประเทศไทยแข่งขันกันอยู่เพื่อให้ลูกค้ามาใช้บริการมากๆ เขาต้องทำระบบ Caching เพื่อการที่ทำให้ข้อมูลในเร็วขึ้น แต่การ Caching google ได้นั้น ต้อง Peering ส่วนใหญ่ ISP จะทำ Peering Link ไปที่ประเทศสิงคโปร์ แล้วเราไม่เอะใจ ++ บ้างหรือว่า Caching อยู่ที่สิงคโปร์นั้น ข้อมูลใน Caching นั้นไม่ละเมิดความเป็นส่วนตัวเรา ? เพราะได้ทั้งเนื้อหาทั้งหมด (Content) ที่เราเปิดอยู่ได้ ทั้งนี้ก็เพื่อให้ความเร็วในครั้งต่อไปเราจะได้เปิดเร็วขึ้น คนอื่นที่เปิดคลิปเสียง คลิปวิดีโอที่เราเคยเปิดก็เปิดได้เร็วขึ้น แล้วที่สำคัญข้อมูลไม่ได้อยู่ในประเทศเรากับไปยังต่างประเทศ แบบนี้เราไม่กังวลหรือ ??

ภาพบริการ Peering ส่วนใหญ่จะใช้กับเว็บไซต์ยอดนิยม (ภาพจาก www.digitalsociety.org )

2.2 สงสัยบ้างไหมว่าซอฟต์แวร์ Anti-virus บางค่ายหรือเกือบทุกค่าย รู้ E-mail เราได้อย่างไร แถมส่งมาบอกว่า "License ซอฟต์แวร์ Anti-virus ที่คุณใช้อยู่หมดไปแล้ว ให้คุณซื้อและเสียเงินให้เขาได้แล้ว" น่าแปลกไหมทั้งที่เราไม่เคยกรอกข้อมูลให้เลย ?? เพราะเราคิดว่าหาซอฟต์แวร์ Anti-virus ฟรีมา ลงเวลา Install ก็กด Next ๆ ไม่ได้อ่านเงื่อนไขซอฟต์แวร์ หากอ่านให้ดีพบว่าหากเราไม่เสียค่า License ซอฟต์แวร์ Anti-virus ที่เราใช้อยู่เขามีสิทธิโดยชอบในเครื่องเรา สามารถดูข้อมูลในเครื่องเราได้ ในระดับหนึ่ง (ที่ทางเทคนิคค่าย Anti-virusทำได้) นั้นทำให้เขารู้ e-mail และกลุ่ม mail เพื่อนๆเราได้จากคอมพิวเตอร์เราเอง และอีกอย่าง Anti-virus ต้องการ Research ชนิดไวรัสคอมพิวเตอร์ใหม่ๆ การ Research ได้ดีก็ต้องอาศัยเครื่องคอมพิวเตอร์ของผู้ใช้งานเพื่อดูค่า Hashing ที่สร้างขึ้นในเครื่องนำมาสรรหาไวรัสใหม่ๆกัน ถ้าไม่เชื่อลองทำด้วยตัวเองดูไหมครับ ท่านใช้ Anti-virus ค่ายไหนอยู่ ลองใช้แบบไม่เสียตัง แล้วไม่สนเรื่องที่แจ้งว่า "ท่านต้องซื้อได้แล้ว" แล้วลองเอาโปรแกรมพวก Wireshark ไปรันตอนมันส่งข้อมูลออกไปสิแล้วจะเห็นความจริง Anti-virus หลายตัว run backgroud process ในเครื่องเราไม่ต่ำกว่า 1 process ส่วนหนึ่งก็อาจเรียกได้ว่ามีหน้าที่คล้ายกับ spyware ที่คอยส่งข้อมูลไปแจ้งเรื่อง bug และการ research อยู่ตลอด (ที่เขียนไปนี้ ผู้อ่านมีสิทธิที่ไม่เชื่อในสิ่งที่บอก แต่ขอให้ลองทำดูว่าเครื่องเราเองนั้นส่งอะไรออกไปข้างนอกเครือข่ายเราบ้าง)

2.3 ซอฟต์แวร์บราวเซอร์ ใครใช้ บราวเซอร์ IE6 อยู่ ก็จะพบว่ามีโปรแกรม Alexa ฝั่งเข้าในเครื่องเราเพื่อดูพฤติกรรมการใช้งานอินเตอร์เน็ตของเราเอง เพื่อจัดสถิติและเพื่อประโยชน์ในกลุ่มวิจัยการตลาด เพื่อให้สินค้าได้ซื้อขายได้ถูกประเภทกับท้องถิ่นที่ใช้งานมากขึ้น ยกตัวอย่างเช่นพฤติกรรมใช้อินเตอร์เน็ตในประเทศไทย ควรจะขายสินค้าไหนดี โฆษณาอะไรดี เป็นต้น
ผมแสดงถึงความสงสัยต่อ Alexa ดังนี้

-

** เราเคยสงสัยบ้างหรือไม่ว่า Alexa จัดอันดับเว็บไซต์ในประเทศไทยได้อย่างไร ? ทั้งทีไม่ได้ติดสคิปพวก Web stats ในเครื่อง Web Server เราเลย (http://www.alexa.com/topsites/countries/TH)

ผมไม่เคยติดสคิป alexa ใน www.sran.net แต่ดูนี้สิทำไม alexa ถึงรู้ว่ามีคนเข้าเว็บนี้กี่คน ส่วนใหญ่ใช้ keyword อะไรถึงรู้จัก www.sran.net (http://www.alexa.com/siteinfo/sran.net) alexa ก็อาศัยพวกคุณๆ ที่ใช้ tools bar หรือ IE ที่มากับระบบปฏิบัติการ Microsoft นั่นสิ แล้วแบบนี้เราทำไมไม่กังวลกันว่าข้อมูลส่วนตัวเราไม่รั่วไหลไปไหนเหรอ ??
alexa เอา cookie ในเครื่องเราไปเพื่อจัดทำสถิติ แล้วแบบนี้เราไม่กังวลหรือ ?

2.4 google เจ้าพ่อข้อมูล ใครที่ใช้บริการ google app ที่เป็นระบบ Cloud computing คุณไม่ต้องห่วงว่าทำไม e-mail ที่ใช้ google app โฆษณาข้างมุมขวามือของเรา ถึงได้เข้าถึงตัวเรา รู้จัก Life style เราเป็นอย่างดี ซึ่งหากเราใช้ บราวเซอร์จาก google , Mobile จาก google , mail จาก google , web ค้นหาจาก google แล้วนั้น โอ้ไม่ต้องกล่าวครับข้อมูลส่วนตัวเราไปอยู่ข้างนอกเกือบหมดแล้ว ข้อมูลส่วนตัวนั้นคือพฤติกรรมการใช้อินเตอร์เน็ตของเรา พฤติกรรม e-mail ที่ส่งเข้ามาใน mail box ของเรา อีกทั้ง google ยังสามารถใช้ crawler สำรวจเนื้อหา e-mail เราได้หากเราใช้บริการฟรี mail บน google app จึงขอบอกว่าโลกอินเตอร์เน็ตของเราถูก google สร้างกรอบขอบเขตให้อย่างหมดจดแล้ว ทั้งนี้ก็เพื่อความสะดวกสบายในการใช้งานอินเตอร์เน็ต ที่เราอยากรู้อะไรก็ได้รู้ อยากทำอะไรก็ได้ไม่ต้องลงโปรแกรมให้ยุ่งยาก เช่นมี widget มาให้พร้อม ไม่ต้อง Implement หา Mail Server ที่มีความปลอดภัยและเสรียฐสูงๆ แต่ทั้งหมดนั้นเราได้ง่ายเราก็ต้องยอมที่เสียความเป็นส่วนตัวไปบ้าง ?? แบบนี้เรายอมรับกันได้ ?? ข้อมูลของเราในมือของคนอื่น เรายอมได้หรือ ??

ภาพการ์ตูนล้อเลียนการสอดส่องข้อมูลของ google ภาพจาก theipinionsjournal

2.5 ที่ไหนมี Link ที่นั้นมี Bot อันนี้เป็นบทความล่าสุดที่เขียนขึ้น ผมพยายมพิสูจน์ดูว่า ใครจะเห็นข้อความผมก่อนจากที่ได้ลองโพสใน Twitter ปรากฏว่า bot ทั้งนั้น แล้ว bot พวกนี้มีไว้ทำไม ก็เพื่อเก็บเกี่ยวข้อมูลในการทำระบบ Search engine ลองอ่านรายละเอียดได้ที่ http://sran.org/g5 ก็เป็นอีกบทพิสูจน์หนึ่งว่าไม่มีความลับในโลกอินเตอร์เน็ต เพราะมี robot อยู่ทั่วอินเตอร์เน็ตเพื่อสอดแนมเรา
robot ที่วิ่งเข้าถึงข้อมูลของเราก่อนใครเพื่อนคงหนีไม่พ้น google เราเคยสงสัยบ้างไหมว่าทำไม google ถึงได้รู้ว่าประเทศของเรามี Keyword คำไหนที่เป็นที่นิยม และเลือกดูตามรายภูมิภาค ว่าจังหวัดไหนในประเทศไทยมีการใช้ Keyword ใดในการค้นหาข้อมูลมากที่สุด ทำไม google รู้ได้ ทั้งทีเราก็ไม่เคยรู้ตัวว่าข้อมูลเหล่านั้นไปที่ google ได้อย่างไร

ภาพแสดงหน้าจอเว็บไซต์ http://www.google.co.th/insights/search/#

อื่นๆอีกมากมาย ที่ข้อมูลเราหลุดไปทางอินเตอร์เน็ต โดยที่เราเองไม่รู้ตัว ... ซึ่งข้อมูลเหล่านั้นก็ส่งไปที่ประเทศต้นกำเนิดอินเตอร์เน็ตนั่นแหละ ที่กล่าวนั้นคิดว่าละเมิดมากกว่า sniffer ที่กระทรวงไอซีทีประกาศ เนื่องจาก การ sniffer นั้นเป็นไปไม่ได้ที่จะเอาข้อมูลมาทั้งหมด หรือหากเป็นไปได้ว่าข้อมูลทั้งหมด ก็คงไม่มีใครมานั่งดูอยู่ตลอดว่าใครเป็นใคร จะรู้ก็แค่เพียง IP Address ที่เราได้รับจากฝั่ง ISP เท่านั้นหากใช้ เมื่อรู้ IP ก็ยังต้องไปตามต่อว่าเบอร์โทรศัพท์ที่ ISP ส่งค่าให้ใช้อินเตอร์เน็ตได้นั้นเป็นใครที่จดทะเบียนไว้ ได้เบอร์โทรศัพท์ถึงได้ที่อยู่ ซึ่งมีขั้นตอนพอสมควร ที่หลายคนเป็นห่วงนั้น ผมเลยตั้งคำถามว่าจะกลัวอะไร หากเราไม่ได้ทำผิดอะไร ? ถ้าดูเว็บโป๊ ก็ไม่ต้องกลัวหลอก แต่ถ้าขายยาบ้านี้สิอาจจะถูกจับได้หากระบบบันทึกได้ จึงไม่อยากให้ผู้ใช้งาน (User ผู้ใช้งานอินเตอร์เน็ตไทย) ต้องกังวลเพราะที่ผมกล่าวไปทั้ง 5 ข้อมูลที่ส่งจากเครื่องเราได้ส่งไปโดยตรงด้วยซ้ำ หนักกว่าการ sniffer เสียอีก แบบนี้ยังไม่เห็นมีใครลุกขึ้นมาบ่น ..

มาถึงตรงนี้แล้วหลายคนอยากจะหนีไปให้ไกล แล้วใช้วิธีการต่างๆ นานา เพื่อเชื่อมต่ออินเตอร์เน็ตแบบที่ไม่มีใครรู้ว่าเราเป็นใคร เช่น การใช้ Network Tor ผมก็เคยเขียนเรื่องราวเกี่ยวกับ Tor และพวก Anonymous proxy มาว่า ไม่มีคนปกติที่ไหนจะใช้พวกนี้ ดังนั้นพวกที่ใช้ Tor หรือ Anonymous ก็อาจจะมีคนเฝ้าดูอยู่เพราะส่วนใหญ่เป็นพฤติกรรมที่ไม่พึ่งประสงค์ เช่น ขายยาในเว็บ หรือ เป็น Spammer อื่นๆ ... ดังนั้น Tor เองก็มี NSA spy จากอเมริการเฝ้าดูเราอยู่เช่นกัน (อาจมีมากกว่า NSA Spy..แล้วแต่ผู้ให้บริการที่แตกต่างกันในแต่ละประเทศ) ถ้าใครอยากอ่านเพิ่มเติมก็อ่านได้ที่
Anonymity Network เครือข่ายไร้ตัวตน ตอนที่ 1 และ ตอนที่ 2 หากใครจะใช้วิธี Tor หรือ Anonymous proxy ก็ให้คิดดูดีๆ อาจจะเป็นหนีเสือปะจระเข้ ก็ได้

ภาพ NSA Spy ที่คอยสอดแนมใน Anonymous proxy ข้อมูลภาพจาก www.linuxreviews.org

ที่กล่าวไปข้างต้น ไม่ใช่ว่าจะให้กลัวจนไม่ต้องใช้อินเตอร์เน็ตพอดี ทุกวันนี้ดีขึ้นกว่าเมื่อก่อน เพราะมีระบบ open source ที่ปล่อยให้เราตรวจสอบได้ทั้ง โปร่งใสขึ้น แต่ถึงอย่างไรความก้าวหน้าของเรากับระบบไอซีทีในต่างประเทศมันห่างไกลกันอยู่จึงทำให้ผู้ใช้งาน (User) ต้องการความสะดวกสบายมากกว่าข้อมูลส่วนตัว จึงเกิดเป็นเช่นนี้ขึ้น ผมคิดว่าเราควรสร้างโอกาสนี้เป็นการเผยแพร่ความรู้ให้ผู้ใช้งานให้มาก สร้างคนให้มีความรู้เบื้องต้นในการป้องกันตนเองจากการใช้ข้อมูลอินเตอร์เน็ต และการหันไปใช้ระบบ Open source อย่างสร้างสรรค์มากขึ้น

ที่ผมกล่าวๆ มานั้น จะเชื่อหรือไม่ นั้นไม่ว่ากัน แต่ถามว่าแบบนี้จากข้อ 2.1 - 2.5 ที่กล่าวไปนั้น เราไม่กังวลมากกว่าเรื่อง sniffer ที่เราถือว่าเป็นการละเมิดสิทธิส่วนบุคคล หรือไม่ ??

และใครกันแน่ที่ละเมิดสิทธิส่วนบุคคล ก่อนใคร ?? หากเป็นเพราะความไม่รู้จากตัวเราเอง และการเป็นผู้ใช้งานที่ดี เกินกว่าการเป็นนักทดลองศึกษา

จากข้อ 2.1-2.5 ซึ่งเป็นตัวอย่างที่กล่าวมานั้น ข้อมูลเราหลุดไปต่างประเทศ ที่ไม่ใช่ประเทศไทย แน่นอน google , yahoo , microsoft ค่าย anti-virus/spyware อาจไม่สนใจประเทศเล็กๆอย่างเราก็เป็นไปได้ เพียงแค่ต้องการดูพฤติกรรมการใช้งาน เพื่อไปทำการโฆษณาและการตลาดในต่างประเทศ เพื่อจะนำสินค้ามาขายให้พวกเราๆ นี้แหละ ให้สินค้าตรงกับกลุ่มเป้าหมายมากขึ้น ข้อมูลของเราที่วิ่งไปต่างประเทศนั้น เขาไม่สามารถบอกได้ว่า นี้คือ นาย ก. นี้คือเครื่อง นาย ข. รู้แค่ IP Adress ที่มาจากประเทศไทย ในภาคกลาง เหนือ ใต้ อีสาน จังหวัด เท่านั้น ไปมากกว่านั้น ณ ตอนนี้ยังทำไม่ได้ และที่ต้องการคือเรื่องเดียวคือ พฤติกรรมในการบริโภคสื่ออินเตอร์เน็ต ซึ่งผมขอบอกได้ว่าข้อมูลของเราหลุดไปนานแล้ว และทุกวันนี้ก็ยังหลุดอยู่ และยังคงเป็นเช่นนี้ต่อไปเรื่อยๆ หากเรา คนไทยไม่หันมาพัฒนาเทคโนโลยีของเราเองได้

สรุปว่า ที่เขียนไปเสียยาว ก็เพื่ออธิบายว่า "สิ่งที่เรากังวลและควรเป็นประเด็นคือ ได้เวลาแล้วหรือยัง ที่เราจะไม่ปล่อยให้ข้อมูลภายในประเทศของเราหลุดไปยังที่อื่นอีก" มากเสียกว่ากลัวเรื่อง sniffer

ผมคิดว่าหากใครได้อ่านจบแล้ว ก็ลองพิจารณาดูและควรหาทางช่วยกันเถอะครับ วันหนึ่งเราควรมีระบบค้นหา (Search engine) เองของประเทศเรา มีระบบ E-mail ที่ไว้ใจได้ มีความเสรียฐ มีระบบป้องกันไวรัส และที่สำคัญ Mail Server ต้องป้องกัน Spam mail ได้ดีเยี่ยม ทั้งหมดควรเกิดจากการพัฒนาขึ้นของคนในชาติเรา มีระบบ Caching ที่ไม่ต้องไปพึ่งต่างประเทศ มีระบบเฝ้าระวัง ที่ใช้เทคโนโลยีที่ควบคุมได้เอง กันเถอะ วันนี้ประเทศในยุโรปรู้ถึงเรื่องราวเล่านี้แล้ว จีนก็รู้แล้ว และอีกหลายประเทศ (จากข่าวเร็วๆนี้จีนก็ไม่ให้ google อยู่ในประเทศแล้ว) หากในอนาคตมีอินเตอร์เน็ตใช้ทั่วทุกมุมโลก สมรภูมิรบใหม่บนโลกใบนี้ก็จะหันมาชนะกันที่ข้อมูลข่าวสาร มากขึ้นและลองจิตนาการภาพดูว่าตอนนี้ใครคือผู้กุมเทคโนโลยีอินเตอร์เน็ตได้มากที่สุด .... หากเวลานั้นมาถึงจริงประเทศของเราก็เพียงแต่เป็นผู้ตามชาติที่แข็งแรงกว่าอย่างไม่ต้องสงสัย (อ่านเพิ่มเติมบทความสมรภูมิรบใหม่บนโลกไซเบอร์ Cyberwar) วันนี้เราเหมือนผู้เริ่มได้สนุกกับการใช้เทคโนโลยีอินเตอร์เน็ตที่ยังตื่นตาตื่นใจกัน ผมถึงเขียนในบรรทัดแรกตั้งแต่ตอนต้นบทความนี้แล้วว่า อยากปล่อยให้เวลา เป็นตัวพัฒนาระดับการเรียนรู้ของผู้ใช้งานอินเตอร์เน็ตเมืองไทยไปเองเสียก่อน ถึงจุดหนึ่งเราอาจต้องหันมาดูเรื่องความมั่นคงของข้อมูลมากขึ้น ตระหนักถึงผลร้ายผลเสีย โดยคำนึงถึงผลประโยชน์ของชาติเราเสียก่อน หลังจากที่เราได้อิ่มกับการใช้งานเทคโนโลยีไปพอสมควรแล้ว

วันนี้คิดว่ายังไม่สายเกินไป สำหรับประเทศไทย หากเราเริ่มลงมือ ให้โอกาสคนไทยได้ทำ เพื่อประเทศไทยของเรา


บทความนี้เขียนขึ้นจากทัศนะคติส่วนตัว โดยไม่มีธุรกิจมาเกี่ยวข้อง
นนทวรรธนะ สาระมาน
Nontawattana Saraman
26/01/53
เขียนโดย ที่ ไม่มีความคิดเห็น:
ป้ายกำกับ: , ,
สมัครสมาชิก: บทความ (Atom)