ประธานที่ปรึกษาบริษัททูนาเบิล โปรเจค จำกัด ผู้ร่วมก่อตั้ง SRAN ผู้พัฒนาผลิตภัณฑ์และให้บริการด้าน Cyber Security อย่างครบวงจร มอบความไว้วางใจ BKI รับประกันภัยการให้บริการพร้อมชุดอุปกรณ์เฝ้าระวังภัยคุกคามทางอินเทอร์เน็ตเพื่อสร้างความมั่นใจให้ลูกค้า ด้วยแผนประกันภัย SRAN Cyber Insurance Plus ทุนประกันภัยสูงสุดถึง 1,000,000 บาท ผลิตภัณฑ์ SRAN NetApprove ซึ่งเป็นอุปกรณ์ที่เปรียบเสมือนกล้องวงจรปิดทางไซเบอร์ ที่มีความสามารถอันโดดเด่นในการเฝ้าระวังภัยคุกคามต่างๆ ที่จะเข้ามาทำความเสียหายของระบบและข้อมูล ตลอดจนยังจัดเก็บข้อมูลจราจรทางคอมพิวเตอร์ (Log File) ได้ภายในเครื่องเดียว สอดคล้องตามกฎหมายที่เกี่ยวข้องและสร้างความปลอดภัยของข้อมูลได้อย่างครบวงจร
แสดงบทความที่มีป้ายกำกับ sran แสดงบทความทั้งหมด
แสดงบทความที่มีป้ายกำกับ sran แสดงบทความทั้งหมด
วันพฤหัสบดี, มีนาคม 18
วันจันทร์, สิงหาคม 8
ใช้ SRAN วิเคราะห์การติดต่อสื่อสารผ่านโปรแกรม Pokemon Go
โลกเราวันนี้ มีอย่างหนึ่งที่เหมือนกันคือ การทำอะไรตามๆกัน จนเป็นกระแสสังคม หรือโปเกมอนฟีเวอร์ ให้ทายไม่เกินเดือนก็เริ่มหมดอายุความฟีเวอร์ ต้องเดินตามรุุ่นพี่ที่เคยเกิดก่อน เช่น ตุ๊กตาลูกเทพ เฟอร์บี้ และอื่นๆ ที่ผ่านมา
เมื่อเห็นคนทำก็อยากทำตามบ้างครับ
แต่ทำครั้งนี้ สำหรับผมแล้ว จะลองมาแกะให้เห็นเบื้องหลังการติดต่อสื่อสาร เพื่อที่ทำให้เข้าใจ และรู้ทันการติดต่อสื่อสารจากการเล่นเกมส์ Pokemon Go และมาดูกันว่ามันแตกต่างกับที่ตาเรามองเห็นในโลกทางกายภาพอย่างไร เมื่อเราดำดิ่งไปในโลกของข้อมูลที่ต้องใช้ตาพิเศษมองเข้าไป Pokemon Go เป็นแค่ความบันเทิง หรือเป็นเครื่องมือหนึ่งในยุทธศาสตร์ Cyber warfare ระดับโลก หรือ ถูกทุกข้อ ลองมาดูกันครับ
ขั้นตอนเราจำลองระบบเครือข่ายขึ้นมา 1 วง โดยใช้ Switch และอุปกรณ์ AP (Access Point) เพื่อกระจายสัญญาณ Wi-Fi ให้กับอุปกรณ์
โดยตั้งวงเป็นชุดไอพีเดียวกันหมดขึ้น LAN 192.168.150.x Wifi 192.168.1.x ใช้ช่องทางออกอินเทอร์เน็ตผ่าน 3BB
และเรามีอุปกรณ์จัดเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ โดยใช้ Network Log ที่ได้รับจากการสำเนาข้อมูลจากอุปกรณ์มาวิเคราะห์ ในที่นี้เราใช้ SRAN รุ่น LT50 Hybrid
เกมส์ Pokemon Go พัฒนาโดยบริษัท Niantic ทำบนระบบปฏิบัติการ iOS และ Android โดยเกมส์จะเน้นไปทางการใช้การค้นหาพิกัดทางภูมิศาสตร์เพื่อค้นหาตัวการ์ตูนโปเกมอน ทำให้ผู้เล่นเพลิดเพลินในการค้นหาจากโลกเสมือนไปยังโลกแห่งความจริงที่บางครั้งอาจพบข่าวว่าเดินจนตกน้ำ หรือ เกิดอุบัติเหตุจาการเล่นเกมส์ผ่านสมาร์ทโฟน (สังคมก้มหน้าอย่างแท้จริง)
เมื่อเริ่มต้นทำการดาวโหลดโปรแกรมโปเกมอน จะเห็นว่ามีการทำ SSO (Single Sign On) ผ่าน E-mail ของ Gmail หากใครมี Gmail ก็สามารถใช้งานโปรแกรมนี้ได้โดยไม่ต้องสมัครทางอื่น (ลองอ่านบทความเก่า หนึ่งในนั้น คนไม่มีตัวตนไม่มีสิทธิ )
เมื่อทำการสมัครเล่นเกมส์มีการติดต่อไปที่ seattleclouds.com การเชื่อมต่อในจุดนี้มีความเสี่ยงหากพื้นที่นั้นมีคนทำ MITM หรือ ดักรับข้อมูลอยู่ เนื่องจากข้อมูลที่ส่งไปเป็น Paint text
เช่น เห็น data leak จากข้อมูลพื้นฐานเครื่องของคนอื่นได้ เมื่ออยู่ LAN วงเดียวกัน หรืออยู่บนระบบเครือข่ายเดียวกันและมีอุปกรณ์ดังกล่าวอยู่ด้วย ก็มีโอกาสรั่วจากจุดนี้ได้
ผ่าน xml เป็นข้อมูลรั่วออกมา
ส่วนการเชื่อมต่อไปยัง โดเมนอย่างน้อยดังนี้
ภาพการเรียกข้อมูลผ่านค่า DNS ของเกมส์ Pokemon เมื่อทำการเริ่มใช้งานตอนแรก จะบอกโดเมนที่ติดต่อและค่าไอพีของ Server DNS เหล่านี้ ซึ่งตรงนี้เป็นฝั่ง Web Services หลังบ้าน Pokemon Go
ช่วงแรกในการสมัครอาจมี Data leak อยู่บ้าง โดยเฉพาะ domain ดังภาพด้านล่าง
ลองมาดูหากจะตรวจ Pokemon Go บน Network ขององค์กรเราจะเริ่มอย่างไร
อันดับแรกเราควรสำรวจอุปกรณ์ที่มีทั้งหมดก่อน ในที่นี้ใช้ SRAN เป็นตัวสำรวจอุปกรณ์บนระบบเครือข่าย
ทำการสำรวจระบบเครือข่ายเพื่อตรวจดูอุปกรณ์ทั้งหมดที่มี
และเครื่องที่จะใช้ทดสอบเกมส์ Pokemon Go คือ Private IP : 192.168.1.143 เราใช้ชื่อว่า "มือถือของนก" เป็นมือถือยี่ห้อซัมซุง ระบบปฏิบัติการ Android (ขอล็อคเป้าที่เครื่องนี้)
และทำการเพิ่มข้อมูลในระบบ Inventory ที่มีในเครื่อง SRAN จากนั้นเราก็มาดู Log file ที่เกิดขึ้นทาง ระบบเครือข่ายคอมพิวเตอร์ (Network Log)
โดยเข้าหน้าค้นหา Deep Search ว่า "pokemon" สิ่งที่ได้คือ User_agent ของอปุกรณ์ จะขึ้นมาทันทีว่า ใช้โปรแกรม Pogemon go อยู่ โดย User_agent จะแสดงค่าดังนี้
pokemongo/0 CFNetwork/758.5.3 Darwin/15.6.0
ภาพการติดต่อสื่อสาร จากไอพีต้นทาง ไปยังไอพีปลายทางระบบแม่ข่ายที่ให้บริการเกมส์ Pokemon Go รวมถึงรายละเอียดการติดต่อสื่อสาร ผ่าน Protocol HTTP (ตรวจในส่วนที่ไม่มีการเข้ารหัสข้อมูล)
เมื่อทำลงรายละเอียดของข้อมูลชุดไอพีในการติดต่อสื่อสาร
Host Name : lh3.ggpht.com , lh4.ggpht.com , lh6.ggpht.com
ส่วนค่าไอพีได้รับ มีค่าเดียวคือ IP 216.58.196.33 (Cloud Service จาก Google)
PING photos-ugc.l.googleusercontent.com (216.58.221.33) 56(84) bytes of data.
64 bytes from hkg08s13-in-f33.1e100.net (216.58.221.33): icmp_seq=1 ttl=54 time=25.4 ms
เดาได้ว่าเป็น IP (216.58.x.x) ช่วงดังกล่าวน่าจะเป็น Load Balancer แต่นี้ทำบนผู้ให้บริการ 3BB ซึ่งในแต่ละผู้ให้บริการอาจจะมีความแตกต่างกันไปก็ได้
ลองไม่เดาจริงๆ มันควรอยู่ย่านไอพีไหนบ้าง ตัว content ใน pokemon Go
จากภาพนี้ก็ย่านไอพี content ที่ใช้สำหรับเล่นเกมส์ Pokemon Go คงอยู่ประมาณนี้ คืออยู่ใน AS15169 นี้แหละ กินความไปอีกย่านคือ 172.217.24.0/24 ไปด้วย ดังนั้นหากใครคิดจะ block IP นี้คิดผิดเลยกระทบอย่างมาก เผลอๆ google map ใช้ไม่ได้
ใช้เครื่องมือ Shodan ตรวจให้
เปิด 80 , 443 Server จาก Google ส่วนใหญ่จะมีการ Harden เปลืองแรงเปล่าหากจะค้นหาต่อ
และยังไม่อยากเข้าลึกเพราะอาจเจอเส้นขนส่งข้อมูลแปลกๆ อยู่ (ไม่ขอกล่าวในที่นี้ ลองคิดดูประเทศมหาอำนาจหลายประเทศที่ไม่ใช่ขั้วฝั่งผู้ผลิต ก็ออกมาแบนกันแล้ว ซึ่งเขามองว่าเป็น Cyber war แบบหนึ่ง)
กลับมาต่อ ลองมาส่อง DNS Log สำหรับ Pokemon Go บ้างหน้าตาเป็นไง
แล้ว SSL Log ล่ะ
DNS Log ที่เกี่ยวกับ Pokemon หน้าตาเป็นอย่างงี้
ปรากฎว่า Pokemon ซ่อนตัวที่ HTTP Log ชอบเลยครับ
URI ที่พบบน HTTP Log พบว่าจุดแสดงภาพ ไม่มีการเข้ารหัสของรูปภาพ
ยกตัวอย่าง
http://lh3.ggpht.com/owWi6EWWDy1iPCHW1xfbSMwoZF5ZRqK2o-KClJS_Opy24OdDNfMx5UUV_TSLetDF4mIhrpEEE54EOydW5CQRGQ
(หากเปิดไม่ได้ เป็นเพราะ session หมดอายุ)
ภาพที่มาจาก URL ที่บอกนี้จะพบตัว Pokemon ซ่อนอยู่ ส่วนมากจะอยู่ใกล้ๆศาล ... อันนี้คงเกิดจากการเขียนโปรแกรมแบบสุ่ม (Random)
เมื่อทำการทดสอบการใช้งานของข้อมูล (Bandwidth)
ทำการค้นหา เวลาที่ใช้เปิดเกมส์ Pokemon Go
ทำการค้นหา Deep Search โดยทำการเลือก ค้นหาเวลา 09:01 ของวันที่ 8 สิงหาคม 2559 ผลลัพธ์
เมื่อได้ผลลัพธ์ทำการคัดกรองเฉพาะค่าไอพี 192.168.1.143 สิ่งที่ได้คือค่าการติดต่อสื่อสาร ของโปรแกรม Pokemon Go
ค่า Duration คือการระยะเวลาทั้งหมดของการสื่อสาร จะพบว่าติดต่อไปที่เครื่อง 220 วินาที นานที่สุดของการใช้งานบนเครื่องนี้ในช่วงเวลาที่ติดต่อไปที่ IP 216.58.196.33
การรับค่าคือ 70,145 Byte และอีกครั้งที่ 43,429 Byte ซึ่งเป็นประมาณไม่มากแต่มีการใช้งานต่อเนื่อง
ตลอดระยะเวลาที่เครื่องมือถือของนกใช้งานโปรแกรม Pogemon Go คือ 9:00 - 10:00 ใช้ Bandwidth ทั้งหมด
ใช้จำนวน Session ที่เชื่อมต่อทั้งหมด
การป้องกัน
สำหรับองค์กรที่ต้องการ Block ไม่ให้พนักงานเล่น อย่าเข้าใจผิดว่าเอา IP ที่ผมให้ไปนั้นใส่ Firewall นะ เพราะมันมีหลาย App วิ่งบน IP 216.58.196.33 หรือห้าม block domain ที่ชื่อ lhตัวเลข.ggpht.com จะทำให้ใช้งานไม่ได้บาง App บนมือถือ ส่งผลการทำงานที่ไม่ปกติ
การ Block ต้องใช้พวก Next Gen Firewall หรือ NIPS แบบ inline ขวางลำที่ระบบเครือข่าย โดยใช้การ block พวก User_agent ที่บ่งบอกว่าเป็น Pokemon เอาครับ
สรุปว่า Pokemon Go เกมส์ยอดฮิต สำหรับความเสี่ยงที่ผมพบ คือ ความเป็นส่วนตัวเรื่อง Location base จะถูกส่งไปชุดไอพีของ Google Cloud โดยมีบริษัทที่ทำเนื้อหาของเกมส์อยู่เบื้องหลัง ซึ่งตัวผมไม่โลกสวย ผมกลับมองว่าเป็นการเต็มใจเชิญเข้าถึงพื้นที่ Private เช่นภายในรั้วบ้าน ในตัวอาคาร ในหมู่บ้าน lสถานที่ราชการ หน่วยงานด้านความมั่นคง และอื่นๆ ก็เห็นถึง location ภายใน ได้ที่ในอดีต google street view ไปไม่ถึง แต่นี้ด้วยความยินยอมและสมัครใจ Big data ฝั่งผู้ให้บริการ ได้ว่าอัพเกรดคลังข้อมูลอีกครั้ง ซึ่งในอนาคตการค้นหาข้อมูลของเราคงพบอะไรลึกขึ้นอีกก็เป็นได้
งานนี้โตเร็วเกินขาดจึงละเลยความปลอดภัยไปบ้าง มีการหลุดให้เห็น เช่น ภาพที่มากับ Pokemon ปัจจุบันเท่าที่ทดสอบพบว่าไม่มีการเข้ารหัส จะทำให้ session ที่เกิดขึ้นบนเครือข่ายนั้นๆ หากมีโจร จะถูกขโมยค่า cookie ได้ไม่ยาก เช่นมีการดักรับข้อมูลกลางอากาศ MITM เป็นต้น ในกรณีที่มีการเก็บบันทึกข้อมูลจราจรทาง Network Log ก็จะมองเห็นเช่นกัน ทำให้สามารถมองเห็นภาพสถานที่ได้ จากข้อมูลที่ส่งผ่านทางระบบเครือข่าย นั้นหมายความว่ากรุณาเล่นอย่างคำนึงความเป็นส่วนตัวด้วยเพราะข้อมูลที่ส่งไปประมวลผล Big data มันลอยไปบนก้อนเมฆแห่งข้อมูล
จึงอย่าได้ไปส่องหา Pokemon ในห้องนอนล่ะกันนะ ถ้าไม่อยากให้ก้อนเมฆแห่งข้อมูลเก็บบันทึกไว้จงอย่าทำ
จบข่าว
08/08/59
Nontawatt
นนทวรรธนะ สาระมาน
พ่อบ้าน
วันศุกร์, มีนาคม 11
NetApprove กว่า 2 ปี ที่เป็นจริง
"กว่า 15 ปี SRAN ประสบการณ์ที่กลั่นกรองมาเป็นผลิตภัณฑ์การจัดเก็บบันทึกข้อมูลคอมพิวเตอร์ ที่คุ้มค่าที่สุด สำหรับผู้ใช้งาน"
NetApprove เกิดจากการพัฒนาวิจัยอย่างต่อเนื่อง ยาวนานกว่า 2 ปี โดยนำสิ่งที่คิดว่าเป็นประโยชน์สูงสุดสำหรับผู้ใช้งาน บนนิยามว่า "Every thing network logging evident Record and Reporting" เพราะเราเชื่อว่าการมองเห็นเป็นสิ่งสำคัญ มันจะทำให้เราประเมินสถานะการณ์ต่างๆได้
ภาพรวมสถานะการณ์ข้อมูลที่เกิดขึ้นบนเครือข่ายองค์กร
บนหน้าจอของ SRAN NetApprove เพียงหน้าเดียวก็ทำให้ทราบถึงเหตุการณ์และสถานะการณ์ปัจจุบันที่เกิดขึ้น ทุกหน้าการแสดงผล กว่า 100 เมนูการแสดงผล ใน SRAN NetApprove สามารถปริ้นเป็นรายงานเพื่อผู้บริหารได้ (Print to PDF Report) รองรับค่าการแสดงผลผ่าน Web GUI และการออกแบบ Responsive Web Design ที่สามารถใช้งานได้ทั้งบนเครื่องคอมพิวเตอร์ และ มือถือ
SRAN NetApprove คือการให้แบบ Full Functional Network Security and Logging Report โดยมีคุณสมบัติ
1. การสำรวจข้อมูลแบบอัตโมมัติเพื่อระบุตัวตนอุปกรณ์บนระบบเครือข่ายคอมพิวเตอร์ (Automatic Identification Device)
การค้นหาอุปกรณ์บนระบบเครือข่ายอย่างอัตโนมัติ เพื่อระบุตัวตนผู้ใช้งาน โดยไม่ต้องปรับค่าอื่นใดในอุปกรณ์ก็สามารถทำการค้นหาอุปกรณ์ที่อยู่บนระบบเครือข่ายคอมพิวเตอร์ได้
1.1 รายงานการคัดแยกเครื่องที่รู้จัก (Known Device) และ ไม่รู้จัก (Unknown Device) ได้โดยการยืนยัน (Approve) เป็นที่มาของชื่อ "NetApprove" เมื่อทำการยืนยันค่าแล้วหากมีอุปกรณ์แปลกปลอมเข้าสู่ระบบเครื่อข่ายก็สามารถตรวจพบได้ (Rouge Detection)
1.2 รายงาน BYOD (Bring Your Own Device) แสดงค่าอุปกรณ์พกพาที่เข้าสู่เครือข่ายคอมพิวเตอร์ขององค์กรได้โดยแยก Desktop (คอมพิวเตอร์พกพา เช่นโน้ตบุ๊ค) และมือถือ (Mobile) และรู้ว่าใครนำเครื่องพกพามาใช้งานภายในเครือข่ายองค์กร
1.3 รายงานการเก็บบันทึกเป็นค่าอุปกรณ์ (Device Inventory) โดยแยกการเก็บค่าจากอุปกรณ์ (Device) ชื่อผู้ใช้งานจากระบบ Active Directory , จาก Radius ค่าจากการ Authentication , ค่า IP Address ผู้ใช้งาน , ค่า MAC Address , แผนก (Department) , ยี่ห้อรุ่นอุปกรณ์ เป็นต้น
1.4 รายงานการเก็บบันทึกค่าซอฟต์แวร์ (Software Inventory) ที่ใช้ซึ่งในส่วนซอฟต์แวร์จะทำการค้นพบประเภทซอฟต์แวร์ที่ใช้ได้แก่ ซอฟต์แวร์ประเภทเว็บบราวเซอร์ , ซอฟต์แวร์ประเภทมัลติมีเดีย , ซอฟต์แวร์ประเภทใช้งานในออฟฟิศ ซอฟต์แวร์ที่ไม่เหมาะสมเช่นโปรแกรม Bittorrent ก็สามารถตรวจและค้นพบได้
1.5 การวาดรูปความเชื่อมโยงระบบเครือข่าย (Topology) สร้างภาพเสมือนบนระบบเครือข่ายเป็น Network topology แบบ link chart ในการติดต่อสื่อสาร (Interconnection)
1.6 การสำรวจเครื่องที่มีโอกาสเปลี่ยนค่า Leak path เชื่อมต่อกับ gateway อื่นที่ไม่ใช่ขององค์กร
2. การวิเคราะห์และเทคโนโลยีในการตรวจจับความผิดปกติข้อมูล (Detect and Analyzer) ประกอบด้วย
2.1 Attack Detection รายงานการตรวจจับการโจมตี ที่เป็นพฤติกรรมที่ชัดเจนว่าทำการโจมตีระบบ ได้แก่การ Brute Force รหัสผ่านที่เกิดขึ้นบนตัวอุปกรณ์ และเครื่องแม่ข่ายที่สำคัญ เช่น Active Directory , Web Server , Mail Server เป็นต้น อีกทั้งยังสามารถตรวจพบการโจมตีโดยการยิง Exploit เข้าสู่เครื่องแม่ข่ายที่สำคัญ เป็นต้น
2.2 Malware/Virus Detection รายงานการตรวจจับมัลแวร์ /ไวรัสคอมพิวเตอร์ที่เกิดขึ้นบนระบบเครือข่าย สามารถทำการตรวจจับได้โดยไม่ต้องอาศัยการลงซอฟต์แวร์ที่เครื่องลูกข่าย (Client) แต่ทำการตรวจผ่านการรับส่งค่าที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์
2.3 Botnet Detection รายงานการตรวจบอทเน็ตภายในองค์กร และการโจมตีบอทเน็ตเข้าสู่ระบบเครือข่ายคอมพิวเตอร์ภายในองค์กร
2.4 Behavior Data Leak Detection รายงานการตรวจจับพฤติกรรมของพนักงานที่มีโอกาสสุ่มเสี่ยงในการลักลอบข้อมูลออกนอกบริษัท
2.5 Bittorrent Detection รายงานการตรวจจับการใช้งานโปรแกรมดาวโหลดไฟล์ขนาดใหญ่ที่ส่งผลกระทบต่อการใช้งานภายรวมภายในองค์กร
2.6 Anomaly Detection รายงานการตรวจจับภัยคุกคามที่มีความผิดปกติในการติดต่อสื่อสาร
2.7 Tor/Proxy Detection รายงานการตรวจจับซอฟต์แวร์ประเภทอำพรางการสื่อสารเพื่อใช้หลบเลี่ยงการตรวจจับข้อมูลภายในระบบเครือข่ายคอมพิวเตอร์
2.8 HTTP / SSL Analyzer รายงานการตรวจวิเคราะห์การใช้งานเว็บไซต์พร้อมจัดทำสถิติการใช้งานอินเทอร์เน็ตภายในองค์กร
2.9 APT (Advanced Persistent Threat) Detection รายงานการตรวจพฤติกรรมที่มีโอกาสเป็นภัยคุกคามประเภท APT และมีความเสี่ยงต่อองค์กร
3. การวิเคราะห์ข้อมูลจาก Log (Log Analytic)
3.1 Threat event correlation รายงานการวิเคราะห์ข้อมูลจากการรวบรวมเหตุการณ์ภัยคุกคามที่เกิดขึ้นภายในระบบเครือข่ายคอมพิวเตอร์องค์กร
3.2 Risk score รายงานการวิเคราะห์ความเสี่ยงเพื่อสร้างเป็นดัชนีชี้วัด (Indicator of Compromise) ภัยคุกคามภายในองค์กร
3.3 Risk Analyzer (High , Medium , Low) รายงานการวิเคราะห์ระดับเหตุการณ์ความเสี่ยงระดับสูง ความเสี่ยงระดับกลางและความเสี่ยงระดับต่ำ เพื่อแสดงค่าและการจัดทำรายงาน
3.4 Executive summary (Hour , Daily , Monthly) รายงานการจัดสรุปสถานะการณ์ทั้งหมดให้ระดับผู้บริหารองค์กร โดยกำหนดได้ที่เป็นรายชั่วโมง รายวัน และรายเดือน
3.5 Thai Cyber Law Act รายงานความเสี่ยงที่มีโอกาสเข้าข่ายตามมาตราฐานความผิดเกี่ยวกับการใช้งานคอมพิวเตอร์ภายในองค์กร โดยแยกแยะตามมาตรา 5,6,7,8,9,10 และ 11 ซึ่งเป็นจุดเด่นสำคัญที่มีความแตกต่างกับสินค้าอื่นและช่วยให้ออกรายงานสำหรับผู้บริหารได้อย่างครบถ้วน
4. การเฝ้าติดตามปริมาณการใช้งานข้อมูลภายในองค์กร (Bandwidth Monitoring)
4.1 Country / City monitoring (In-out organization) รายงานผลการเฝ้าติดตามปริมาณการใช้งานข้อมูลระดับประเทศ ระดับเมือง ที่ส่งข้อมูลเข้าในองค์กรเรา และที่องค์กรของเราติดต่อไปยังโลกภายนอก
เป็นการตรวจสอบข้อมูลวิ่งเข้าสู่องค์กร (Incoming data) และข้อมูลที่ถูกนำออกนอกองค์กร (Out going data) โดยผ่านเทคโนโลยี GeoData
4.2 Protocol and Service Bandwidth monitor จะสามารถคำนวณค่าปริมาณ Bandwidth ที่เกิดขึ้นบนระบบเครือข่ายได้โดยแยก Protocol TCP, UDP,ICMP และ Service ตาม well know port service จะทำให้ทราบถึงปริมาณการใช้งานข้อมูลได้อย่างละเอียดและประเมินสถานการณ์ได้อย่างแม่นยำ
4.3 Application Monitoring (Software bandwidth usage) รายงานการใช้แอพลิเคชั่นและปริมาณการใช้ข้อมูลภายในองค์กรกว่า 1,000 ชนิด ได้แก่ SAP , ERP , Orcal , Skyp, Microsoft และ Enterprise แอพลิเคชั่น SRAN รู้จักทำการเฝ้าติดตามและรายงานผ่านหน้าจอเพื่อดูปริมาณการใช้งานที่มีผลกระทบต่อองค์กร
4.4 Social Network Monitoring (Facebook , Line ,Youtube , Google Video , Twitter , Pantip) รายงานการใช้งานเครือข่ายสังคมออนไลน์เพื่อให้รู้ถึงปริมาณข้อมูลที่ใช้ภายในองค์กร ได้แก่ Facebook , Line , Youtube , Google Video , Twitter และ Pantip ทำให้ผู้บริหารองค์กรสามารถทราบความเคลื่อนไหวและการใช้ปริมาณข้อมูลภายในองค์กร
4.5 User Monitoring รายงานและจัดอันดับการใช้งาน Bandwidth ภายในองค์กร โดยจะเห็นรายชื่อผู้ใช้จากคุณสมบัติข้อ 1 ทำให้เราทราบถึงชื่อผู้ใช้งานและค่า Bandwidth ที่สูงสุดและทำเป็นรายงานผลได้เป็นรายชั่วโมง รายวัน และรายเดือน
5. การค้นหาข้อมูลในเชิงลึก (Deep Search)
5.1 การพิสูจน์หลักฐานทางข้อมูลสารสนเทศ (Network Forensic Evident data) ค้นหาเหตุการณ์ที่เกิดขึ้น แบ่งตามเนื้อหา (content search) ดังนี้ Web Access , Files Access , Network connection , SSL , Mail , Data Base , Syslog , VoIP , Remote Desktop , Radius และ Active Directory เหล่านี้สามารถค้นหา RAW Log ที่เกิดขึ้นได้ ทั้งแบบปัจจุบัน และ ย้อนหลังตามกฎหมาย
5.2 การค้นหาข้อมูลเชิงลึกสำหรับผู้บริหารและทรัพยากรบุคคล (HR /Top Manager query sensitivity data) การค้นหาเชิงลึกสำหรับผู้บริหารระดับสูง ที่ระบุถึงพฤติกรรมการใช้งานและการสื่อสารผ่านระบบอินเทอร์เน็ตและเครือข่ายคอมพิวเตอร์ภายในองค์กร
5.3 การค้นหารวดเร็ว และสามารถใช้เงื่อนไขในการค้นหา เช่น AND OR NOT เข้ามาเกี่ยวข้องเพื่อให้การค้นเป็นไปอย่างมีประสิทธิภาพที่สุด
6. การบริหารจัดการค่าการประเมินความเสี่ยง (Vulnerability Management)
6.1 Passive Vulnerability scanner : เป็นการทำงานต่อเนื่องเพื่อตรวจสอบและประเมินความเสี่ยงโดยทำการตรวจสอบจากค่า CVE (Common Vulnerabilities and Exposures) การค่า SSL Heartbleed Poodle, Shellsock ที่พบเครื่องแม่ข่ายและลูกข่ายภายในองค์กรที่มีโอกาสเกิดความเสี่ยงจากช่องโหว่นี้, การตรวจสอบการรับใบ Certification ที่ไม่ถูกต้อง ที่อาจตกเป็นเหยื่อการทำ MITM (Man in The Middle Attack) การตรวจสอบการรับใบ Certification ที่หมดอายุ expired date SSL certification) การตรวจสอบการรับส่งไฟล์ขนาดใหญ่ที่เกิดขึ้นในองค์กร , การตรวจสอบ backdoor และการสื่อสารที่ผิดวิธีจากมาตรฐาน และทำการแจ้งเตือนผ่าน Incident response notices
6.2 Active Vulnerability scanner : การตรวจสอบโดยตั้งค่า ตรวจสอบความปลอดภัยให้กับเครื่องแม่ข่ายที่ใช้ทำเป็น Active Directory การตรวจสอบรายชื่อผู้ใช้งาน ค่าความปลอดภัย รวมถึงการตรวจสอบเครื่องที่มีโอกาสติดเชื้อและมีช่องโหว่ตาม CVE
6.3 IPv6 checklist : การตรวจสอบค่า IPv6 โดยทำการส่งค่าตรวจสอบแบบ Broadcast เพื่อสำรวจเครือข่ายว่าอุปกรณ์ไหนที่รองรับค่า IPv6 และจัดทำรายงานการสำรวจ
8. การเก็บบันทึกค่าสำหรับให้ IT Audit ในการตรวจสอบข้อมูลและใช้เป็นหลักฐาน (Log Audit)
9. การวิเคราะห์ไฟล์ที่ติดเชื้อจากการติดต่อสื่อสารบนระบบเครือข่ายคอมพิวเตอร์ (Malware Analytic)
บนหน้าจอของ SRAN NetApprove เพียงหน้าเดียวก็ทำให้ทราบถึงเหตุการณ์และสถานะการณ์ปัจจุบันที่เกิดขึ้น ทุกหน้าการแสดงผล กว่า 100 เมนูการแสดงผล ใน SRAN NetApprove สามารถปริ้นเป็นรายงานเพื่อผู้บริหารได้ (Print to PDF Report) รองรับค่าการแสดงผลผ่าน Web GUI และการออกแบบ Responsive Web Design ที่สามารถใช้งานได้ทั้งบนเครื่องคอมพิวเตอร์ และ มือถือ
SRAN NetApprove คือการให้แบบ Full Functional Network Security and Logging Report โดยมีคุณสมบัติ
1. การสำรวจข้อมูลแบบอัตโมมัติเพื่อระบุตัวตนอุปกรณ์บนระบบเครือข่ายคอมพิวเตอร์ (Automatic Identification Device)
การค้นหาอุปกรณ์บนระบบเครือข่ายอย่างอัตโนมัติ เพื่อระบุตัวตนผู้ใช้งาน โดยไม่ต้องปรับค่าอื่นใดในอุปกรณ์ก็สามารถทำการค้นหาอุปกรณ์ที่อยู่บนระบบเครือข่ายคอมพิวเตอร์ได้
1.1 รายงานการคัดแยกเครื่องที่รู้จัก (Known Device) และ ไม่รู้จัก (Unknown Device) ได้โดยการยืนยัน (Approve) เป็นที่มาของชื่อ "NetApprove" เมื่อทำการยืนยันค่าแล้วหากมีอุปกรณ์แปลกปลอมเข้าสู่ระบบเครื่อข่ายก็สามารถตรวจพบได้ (Rouge Detection)
1.2 รายงาน BYOD (Bring Your Own Device) แสดงค่าอุปกรณ์พกพาที่เข้าสู่เครือข่ายคอมพิวเตอร์ขององค์กรได้โดยแยก Desktop (คอมพิวเตอร์พกพา เช่นโน้ตบุ๊ค) และมือถือ (Mobile) และรู้ว่าใครนำเครื่องพกพามาใช้งานภายในเครือข่ายองค์กร
1.3 รายงานการเก็บบันทึกเป็นค่าอุปกรณ์ (Device Inventory) โดยแยกการเก็บค่าจากอุปกรณ์ (Device) ชื่อผู้ใช้งานจากระบบ Active Directory , จาก Radius ค่าจากการ Authentication , ค่า IP Address ผู้ใช้งาน , ค่า MAC Address , แผนก (Department) , ยี่ห้อรุ่นอุปกรณ์ เป็นต้น
1.4 รายงานการเก็บบันทึกค่าซอฟต์แวร์ (Software Inventory) ที่ใช้ซึ่งในส่วนซอฟต์แวร์จะทำการค้นพบประเภทซอฟต์แวร์ที่ใช้ได้แก่ ซอฟต์แวร์ประเภทเว็บบราวเซอร์ , ซอฟต์แวร์ประเภทมัลติมีเดีย , ซอฟต์แวร์ประเภทใช้งานในออฟฟิศ ซอฟต์แวร์ที่ไม่เหมาะสมเช่นโปรแกรม Bittorrent ก็สามารถตรวจและค้นพบได้
1.5 การวาดรูปความเชื่อมโยงระบบเครือข่าย (Topology) สร้างภาพเสมือนบนระบบเครือข่ายเป็น Network topology แบบ link chart ในการติดต่อสื่อสาร (Interconnection)
1.6 การสำรวจเครื่องที่มีโอกาสเปลี่ยนค่า Leak path เชื่อมต่อกับ gateway อื่นที่ไม่ใช่ขององค์กร
ภาพการแสดงผลการเชื่อมต่อข้อมูลบนระบบเครือข่าย
2. การวิเคราะห์และเทคโนโลยีในการตรวจจับความผิดปกติข้อมูล (Detect and Analyzer) ประกอบด้วย
2.1 Attack Detection รายงานการตรวจจับการโจมตี ที่เป็นพฤติกรรมที่ชัดเจนว่าทำการโจมตีระบบ ได้แก่การ Brute Force รหัสผ่านที่เกิดขึ้นบนตัวอุปกรณ์ และเครื่องแม่ข่ายที่สำคัญ เช่น Active Directory , Web Server , Mail Server เป็นต้น อีกทั้งยังสามารถตรวจพบการโจมตีโดยการยิง Exploit เข้าสู่เครื่องแม่ข่ายที่สำคัญ เป็นต้น
2.2 Malware/Virus Detection รายงานการตรวจจับมัลแวร์ /ไวรัสคอมพิวเตอร์ที่เกิดขึ้นบนระบบเครือข่าย สามารถทำการตรวจจับได้โดยไม่ต้องอาศัยการลงซอฟต์แวร์ที่เครื่องลูกข่าย (Client) แต่ทำการตรวจผ่านการรับส่งค่าที่เกิดขึ้นบนระบบเครือข่ายคอมพิวเตอร์
2.3 Botnet Detection รายงานการตรวจบอทเน็ตภายในองค์กร และการโจมตีบอทเน็ตเข้าสู่ระบบเครือข่ายคอมพิวเตอร์ภายในองค์กร
2.4 Behavior Data Leak Detection รายงานการตรวจจับพฤติกรรมของพนักงานที่มีโอกาสสุ่มเสี่ยงในการลักลอบข้อมูลออกนอกบริษัท
2.5 Bittorrent Detection รายงานการตรวจจับการใช้งานโปรแกรมดาวโหลดไฟล์ขนาดใหญ่ที่ส่งผลกระทบต่อการใช้งานภายรวมภายในองค์กร
2.6 Anomaly Detection รายงานการตรวจจับภัยคุกคามที่มีความผิดปกติในการติดต่อสื่อสาร
2.7 Tor/Proxy Detection รายงานการตรวจจับซอฟต์แวร์ประเภทอำพรางการสื่อสารเพื่อใช้หลบเลี่ยงการตรวจจับข้อมูลภายในระบบเครือข่ายคอมพิวเตอร์
2.8 HTTP / SSL Analyzer รายงานการตรวจวิเคราะห์การใช้งานเว็บไซต์พร้อมจัดทำสถิติการใช้งานอินเทอร์เน็ตภายในองค์กร
2.9 APT (Advanced Persistent Threat) Detection รายงานการตรวจพฤติกรรมที่มีโอกาสเป็นภัยคุกคามประเภท APT และมีความเสี่ยงต่อองค์กร
รายงานผลการใช้งานอินเทอร์เน็ตภายในองค์กร
3. การวิเคราะห์ข้อมูลจาก Log (Log Analytic)
3.1 Threat event correlation รายงานการวิเคราะห์ข้อมูลจากการรวบรวมเหตุการณ์ภัยคุกคามที่เกิดขึ้นภายในระบบเครือข่ายคอมพิวเตอร์องค์กร
3.2 Risk score รายงานการวิเคราะห์ความเสี่ยงเพื่อสร้างเป็นดัชนีชี้วัด (Indicator of Compromise) ภัยคุกคามภายในองค์กร
3.3 Risk Analyzer (High , Medium , Low) รายงานการวิเคราะห์ระดับเหตุการณ์ความเสี่ยงระดับสูง ความเสี่ยงระดับกลางและความเสี่ยงระดับต่ำ เพื่อแสดงค่าและการจัดทำรายงาน
3.4 Executive summary (Hour , Daily , Monthly) รายงานการจัดสรุปสถานะการณ์ทั้งหมดให้ระดับผู้บริหารองค์กร โดยกำหนดได้ที่เป็นรายชั่วโมง รายวัน และรายเดือน
3.5 Thai Cyber Law Act รายงานความเสี่ยงที่มีโอกาสเข้าข่ายตามมาตราฐานความผิดเกี่ยวกับการใช้งานคอมพิวเตอร์ภายในองค์กร โดยแยกแยะตามมาตรา 5,6,7,8,9,10 และ 11 ซึ่งเป็นจุดเด่นสำคัญที่มีความแตกต่างกับสินค้าอื่นและช่วยให้ออกรายงานสำหรับผู้บริหารได้อย่างครบถ้วน
รายงานความเสี่ยงที่เกิดขึ้นภายในองค์กรที่สามารถออกรายงานได้ รายชั่วโมง รายวัน และรายเดือน
4. การเฝ้าติดตามปริมาณการใช้งานข้อมูลภายในองค์กร (Bandwidth Monitoring)
4.1 Country / City monitoring (In-out organization) รายงานผลการเฝ้าติดตามปริมาณการใช้งานข้อมูลระดับประเทศ ระดับเมือง ที่ส่งข้อมูลเข้าในองค์กรเรา และที่องค์กรของเราติดต่อไปยังโลกภายนอก
เป็นการตรวจสอบข้อมูลวิ่งเข้าสู่องค์กร (Incoming data) และข้อมูลที่ถูกนำออกนอกองค์กร (Out going data) โดยผ่านเทคโนโลยี GeoData
ภาพ SRAN ได้นำเทคโนโลยี GeoData เข้ามาเพื่อแสดงผลเหมาะสำหรับการเฝ้าระวังผ่านห้อง War room เพื่อประเมินสถานะการณ์ที่เกิดขึ้นภายในองค์กร
4.3 Application Monitoring (Software bandwidth usage) รายงานการใช้แอพลิเคชั่นและปริมาณการใช้ข้อมูลภายในองค์กรกว่า 1,000 ชนิด ได้แก่ SAP , ERP , Orcal , Skyp, Microsoft และ Enterprise แอพลิเคชั่น SRAN รู้จักทำการเฝ้าติดตามและรายงานผ่านหน้าจอเพื่อดูปริมาณการใช้งานที่มีผลกระทบต่อองค์กร
4.4 Social Network Monitoring (Facebook , Line ,Youtube , Google Video , Twitter , Pantip) รายงานการใช้งานเครือข่ายสังคมออนไลน์เพื่อให้รู้ถึงปริมาณข้อมูลที่ใช้ภายในองค์กร ได้แก่ Facebook , Line , Youtube , Google Video , Twitter และ Pantip ทำให้ผู้บริหารองค์กรสามารถทราบความเคลื่อนไหวและการใช้ปริมาณข้อมูลภายในองค์กร
ภาพ Facebook Monitoring ทำให้ทราบถึงการใช้ปริมาณการใช้งานข้อมูลเครือข่ายสังคมออนไลน์
4.5 User Monitoring รายงานและจัดอันดับการใช้งาน Bandwidth ภายในองค์กร โดยจะเห็นรายชื่อผู้ใช้จากคุณสมบัติข้อ 1 ทำให้เราทราบถึงชื่อผู้ใช้งานและค่า Bandwidth ที่สูงสุดและทำเป็นรายงานผลได้เป็นรายชั่วโมง รายวัน และรายเดือน
รายงานปริมาณการใช้งาน Bandwidth ภายในองค์กร
5. การค้นหาข้อมูลในเชิงลึก (Deep Search)
5.1 การพิสูจน์หลักฐานทางข้อมูลสารสนเทศ (Network Forensic Evident data) ค้นหาเหตุการณ์ที่เกิดขึ้น แบ่งตามเนื้อหา (content search) ดังนี้ Web Access , Files Access , Network connection , SSL , Mail , Data Base , Syslog , VoIP , Remote Desktop , Radius และ Active Directory เหล่านี้สามารถค้นหา RAW Log ที่เกิดขึ้นได้ ทั้งแบบปัจจุบัน และ ย้อนหลังตามกฎหมาย
5.2 การค้นหาข้อมูลเชิงลึกสำหรับผู้บริหารและทรัพยากรบุคคล (HR /Top Manager query sensitivity data) การค้นหาเชิงลึกสำหรับผู้บริหารระดับสูง ที่ระบุถึงพฤติกรรมการใช้งานและการสื่อสารผ่านระบบอินเทอร์เน็ตและเครือข่ายคอมพิวเตอร์ภายในองค์กร
5.3 การค้นหารวดเร็ว และสามารถใช้เงื่อนไขในการค้นหา เช่น AND OR NOT เข้ามาเกี่ยวข้องเพื่อให้การค้นเป็นไปอย่างมีประสิทธิภาพที่สุด
6. การบริหารจัดการค่าการประเมินความเสี่ยง (Vulnerability Management)
6.1 Passive Vulnerability scanner : เป็นการทำงานต่อเนื่องเพื่อตรวจสอบและประเมินความเสี่ยงโดยทำการตรวจสอบจากค่า CVE (Common Vulnerabilities and Exposures) การค่า SSL Heartbleed Poodle, Shellsock ที่พบเครื่องแม่ข่ายและลูกข่ายภายในองค์กรที่มีโอกาสเกิดความเสี่ยงจากช่องโหว่นี้, การตรวจสอบการรับใบ Certification ที่ไม่ถูกต้อง ที่อาจตกเป็นเหยื่อการทำ MITM (Man in The Middle Attack) การตรวจสอบการรับใบ Certification ที่หมดอายุ expired date SSL certification) การตรวจสอบการรับส่งไฟล์ขนาดใหญ่ที่เกิดขึ้นในองค์กร , การตรวจสอบ backdoor และการสื่อสารที่ผิดวิธีจากมาตรฐาน และทำการแจ้งเตือนผ่าน Incident response notices
6.2 Active Vulnerability scanner : การตรวจสอบโดยตั้งค่า ตรวจสอบความปลอดภัยให้กับเครื่องแม่ข่ายที่ใช้ทำเป็น Active Directory การตรวจสอบรายชื่อผู้ใช้งาน ค่าความปลอดภัย รวมถึงการตรวจสอบเครื่องที่มีโอกาสติดเชื้อและมีช่องโหว่ตาม CVE
6.3 IPv6 checklist : การตรวจสอบค่า IPv6 โดยทำการส่งค่าตรวจสอบแบบ Broadcast เพื่อสำรวจเครือข่ายว่าอุปกรณ์ไหนที่รองรับค่า IPv6 และจัดทำรายงานการสำรวจ
7. การเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์และดูย้อนหลัง (Log Record and Archive)
7.1 การเก็บบันทึกข้อมูลแบบ Raw full data การเก็บข้อมูลที่เป็นประโยชน์ในการสืบสวนสอบสวนและการหาผู้กระทำความผิด ด้วยการเก็บบันทึกที่สามารถทำได้แบบ Hybrid ซึ่ง SRAN เป็นต้นฉบับของการทำวิธีนี้ คือการรับข้อมูลจราจรคอมพิวเตอร์แบบ Passive mode และ รับค่าจากอุปกรณ์อื่นได้
7.2 รองรับค่า Log จาก AD (Active Directory) , Router / Firewall / VPN ,Mail Server (Support Exchange , Lotus note) , DHCP , DNS, SNMP , Radius Wi-Fi Controller และทำการแยกแยะค่าการเก็บ Log โดยแบ่งเป็นหมวดให้ได้โดยอัตโนมัติ
7.3 รองรับ SCP , sFTP และการ mount files log จากเครื่องอื่นมาเก็บแบบรวมศูนย์ (Centralization Log) และมีความสามารถใน Export Data ออกเพื่อใช้ในการพิสูจน์หาหลักฐาน การ Export ข้อมูลเรียงตามชั่วโมง วันและเดือนปี
7.3 รองรับ SCP , sFTP และการ mount files log จากเครื่องอื่นมาเก็บแบบรวมศูนย์ (Centralization Log) และมีความสามารถใน Export Data ออกเพื่อใช้ในการพิสูจน์หาหลักฐาน การ Export ข้อมูลเรียงตามชั่วโมง วันและเดือนปี
7.4 การเก็บบันทึกข้อมูลสามารถเก็บได้ยาวนายกว่า 90 วันตามกฎหมายกำหนด มีซอฟต์แวร์ SRAN Logger Module รวมอยู่ในอุปกรณ์ ผ่านมาตรฐาน NECTEC มศอ.๔๐๐๓.๑ - ๒๕๕๒ (NECTEC STANDARD NTS 4003.1-2552) ระบบเก็บบันทึกข้อมูลจราจร ตาม พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ปี 2550
7.5 การเก็บบันทึกข้อมูลมีการยืนยันความถูกต้องข้อมูล Integrity hashing confidential files
ภาพการเก็บบันทึกข้อมูลจาก Syslog มีการทำ File integrity เพื่อยืนยันความถูกต้องข้อมูล ผู้ที่เข้าถึงไฟล์ได้ต้องเป็นระดับ Data Keeper ที่องค์กรได้มอบหมายรับผิดชอบในส่วนนี้
8. การเก็บบันทึกค่าสำหรับให้ IT Audit ในการตรวจสอบข้อมูลและใช้เป็นหลักฐาน (Log Audit)
8.1 การเก็บบันทึกค่า Active Directory Login active / Login fail
8.2 การเก็บบันทึกค่า SSH Login active / Login fail
*8.3 การเก็บบันทึกค่า Active Directory user security check ตาม AAA Authentication เพื่อตรวจสอบรายชื่อพนักงาน รหัสผ่านที่ยังไม่ได้ทำการแก้ไข และอายุระยะเวลาของรายชื่อ (Account) , Authorization สิทธิในการเข้าถึงข้อมูล
รายงานการ Login ผิดพลาดที่เกิดขึ้นจากการใช้
9. การวิเคราะห์ไฟล์ที่ติดเชื้อจากการติดต่อสื่อสารบนระบบเครือข่ายคอมพิวเตอร์ (Malware Analytic)
9.1 Files Integrity monitoring การตรวจสอบค่าความถูกต้องจากการสื่อสาร โดยสามารถมองเห็นประเภทของไฟล์ที่เกิดขึ้นบนระบบเครือข่าย ไฟล์ประเภทเอกสาร (pdf,doc,docx,xls ,ppt เป็นต้น) , ไฟล์ประเภทมัลติมีเดีย (mp3,mp4 เป็นต้น) , ไฟล์ประเภทบีบอัดข้อมูล (zip , rar เป็นต้น) , ไฟล์ประเภททำงานได้ในตัว (exe ,dll เป็นต้น), ไฟล์เกี่ยวกับภาพ (jpg,png,gif เป็นต้น)
*9.2 นำค่าการตรวจพบในข้อ 9.1 เข้ามาทำการวิเคราะห์เพื่อหามัลแวร์ (Malware Analytic file with virustotal) โดยใช้การตรวจสอบไฟล์ผ่านโปรแกรมแอนตี้ไวรัสกว่า 50 ชนิด ผ่าน API Virustotal
10. การป้องกันภัยคุกคามที่เกิดขึ้นจากการใช้งานอินเทอร์เน็ต (Internet Protection)
ทั้ง 10 ข้อที่กล่าวมาบรรจุลงบนเครื่อง SRAN Appliance ที่พร้อมใช้งาน
สามารถติดตั้งและเห็นผลภายใน 5 นาที ไม่จำเป็นต้องใช้ผู้เชี่ยวชาญก็สามารถติดตั้งได้ และเมื่อใช้อุปกรณ์ SRAN NetApprove ก็เปรียบเสมือนกับมีผู้เชี่ยวชาญระดับมืออาชีพทำงานให้เรา ทำงานรายงานผล สรุปให้ผู้บริหาร เฝ้าระวังและคุ้มครองให้องค์กรและหน่วยงานเรามีความมั่นคงและปลอดภัยทางข้อมูล 24 x 7 โดยไม่มีวันเหนื่อยล้า
หมายเหตุ ค่า * คือเป็น Feature ที่ทดลองใช้งานจริง
Nontawattana Saraman
นนทวรรธนะ สาระมาน
SRAN Dev Team
10/3/58
10.1 Passive internet blocking ทำงานอย่างต่อเนื่องและตรวจจากการ Query ข้อมูลผ่านระบบเครือข่าย
10.2 Blacklist blocking การป้องกันภัยคุกคามจากค่าบัญชีดำ (Blacklist)ทั้ง 10 ข้อที่กล่าวมาบรรจุลงบนเครื่อง SRAN Appliance ที่พร้อมใช้งาน
สามารถติดตั้งและเห็นผลภายใน 5 นาที ไม่จำเป็นต้องใช้ผู้เชี่ยวชาญก็สามารถติดตั้งได้ และเมื่อใช้อุปกรณ์ SRAN NetApprove ก็เปรียบเสมือนกับมีผู้เชี่ยวชาญระดับมืออาชีพทำงานให้เรา ทำงานรายงานผล สรุปให้ผู้บริหาร เฝ้าระวังและคุ้มครองให้องค์กรและหน่วยงานเรามีความมั่นคงและปลอดภัยทางข้อมูล 24 x 7 โดยไม่มีวันเหนื่อยล้า
หมายเหตุ ค่า * คือเป็น Feature ที่ทดลองใช้งานจริง
Nontawattana Saraman
นนทวรรธนะ สาระมาน
SRAN Dev Team
10/3/58
วันจันทร์, มกราคม 9
แนวโน้มภัยคุกคาม ปี 2012
แนวโน้มภัยคุกคามทางคอมพิวเตอร์และอินเทอร์เน็ต ปีค.ศ. 2012 (พ.ศ 2555)
ถือ เป็นธรรมเนียมปฏิบัติไปแล้วสำหรับบริษัทและบล็อกด้านความปลอดภัยต่าง ๆ ที่เมื่อสิ้นปีจะทำนายแนวโน้มของภัยคุมคามคอมพิวเตอร์และอินเทอร์เน็ตสำหรับ ปีถัดไป ทีมงาน SRAN ได้ค้นหาและอ่านบทความทำนายแนวโน้มจากหลายสำนักจนได้รวบรวมเกิดเป็นบทความ นี้ขึ้นหวังว่าหลังจากที่ได้อ่านแล้วจะทำให้ผู้อ่านได้ความคิดใหม่ ๆ ในการป้องกันตัวเองและครอบครัวจากจากภัยที่คุณอาจจะต้องพบเจอเข้าในสักวัน หนึ่ง เพราะคอมพิวเตอร์และอินเทอร์เน็ตเป็นเรื่องใกล้ตัวที่คุณไม่อาจมองข้ามได้ อีกต่อไป
1. การโจมตีเป้าหมายเจาะจง (targeted attack) จะทำให้เกิดความเสียหายและมีความซับซ้อนมากขึ้น
สอง ปีที่ผ่านมามีข่าวเกี่ยวกับการโจมตีต่อเป้าหมายเจาะจง เนื่องจากกลุ่มที่ใช้คอมพิวเตอร์และเครือข่าย เพื่อเคลื่อนไหวทางการเมือง (เรียกว่า hacktivist มาจากคำว่า hack รวมกับ activist) อย่าง Anonymous และ LulzSec รวมถึงการเพิ่มขึ้นของอาชญากรรมทางอินเทอร์เน็ต ที่มุ่งเป้าไปที่รัฐบาล ธุรกิจและนักเคลื่อนไหวทางการเมือง ที่ต้องอาศัยเทคโนโลยีขั้นสูงและระยะเวลาที่ยาวนาน เรียกว่า Advanced Persistent Threats (APTs)
ตัวอย่างได้แก่ การโจมตีอย่างต่อเนื่องที่ทำให้โซนี่ต้องหยุดให้บริการเพลย์สเตชั่นเป็นเวลา นาน ทำให้เกิดความเสียหายทางการเงิน และการรั่วไหลของข้อมูลผู้ใช้ และการโจมตีเครือข่ายของล็อกฮีด มาร์ติน (Lockheed Martin) บริษัทผู้ผลิตเครื่องบินระหว่างประเทศและเทคโนโลยีที่ก้าวหน้า ที่อาจมีจุดมุ่งหมายเพื่อจารกรรมข้อมูลการออกแบบเครื่องบินรบ
เรา สังเกตได้ถึงระดับความซับซ้อนของการโจมตีเหล่านี้ เช่น ในขณะที่การโจมตีโซนี่เกิดจากการบุกรุกเครื่องแม่ข่ายเว็บ (web server) ที่ไม่ได้แก้ไขช่องโหว่ของโซนี่เอง แต่การโจมตีล็อกฮีด มาร์ตินเป็นผลมาจากการโจมตีบริษัท RSA ทางอีเมล เริ่มแรก พนักงานของ RSA ได้รับอีเมลแนบไฟล์สเปรดชีท ที่โจมตีช่องโหว่ Adobe Flash Playerและติดตั้งประตูหลัง (backdoor) และส่วนประกอบอื่น ๆ ของมัลแวร์ จากนั้นมัลแวร์ดังกล่าวจึงถูกใช้เพื่อเข้าถึงระบบของRSA และขโมยข้อมูลทางเทคนิคของ SecurID ซึ่งเป็นการยืนยันตัวตนสองปัจจัย (two-factor authentication) RSA ยืนยันว่าข้อมูลดังกล่าวถูกใช้เพื่อโจมตีล็อกฮีด มาร์ติน
เห็นได้ชัดว่าเหยื่อของการโจมตีเหล่านี้ได้รับความเสียหายมาก รวมถึงการเสียชื่อเสียง เสียความเชื่อมั่นของลูกค้า
ราคาหุ้นตกและเสียค่าใช้จ่ายในการแก้ไขปัญหาในทางเทคนิค
เมื่อเร็ว ๆ นี้ APTs ได้แสดงให้เห็นถึงความสามารถของมัน หนอน Stuxnet เป็นหนึ่งในตัวอย่างที่ดี อีกทั้ง
Stuxnet ยังใช้ใบรับรองอิเล็กทรอนิกส์ (digital certificate) ที่ถูกต้องอีกด้วย เมื่อพิจารณาถึงกรณีที่ใบรับรองถูกขโมยจากผู้ให้บริการออกใบรับรอง อิเล็กทรอนิกส์ DigiNotar เชื่อว่าการโจมตีต่อเป้าหมายเจาะจงจะมีเพิ่มขึ้น
โดยมีความซับซ้อนมากขึ้น ใช้การโจมตีช่องโหว่แบบ zero-day (ช่องโหว่ที่ยังไม่มีวิธีแก้ไขจากผู้ขายผลิตภัณฑ์)
และใช้หลายขั้นตอนในการโจมตี
2. จะมีการหลอกลวงในเครือข่ายสังคมออนไลน์เพิ่มมากขึ้น
เครือ ข่ายสังคมเป็นหนึ่งในวิธีสำคัญในการสื่อสาร ปฏิสัมพันธ์และร่วมแบ่งปัน ระหว่างผู้บริโภคและธุรกิจผ่านทางเว็บ โชคไม่ดีที่บริการเหล่านี้ตกเป็นเป้าหมายในการก่ออาชญากรรมทางอินเทอร์เน็ต เช่นกัน
แคมเปญที่มีจุดประสงค์ร้ายแพร่หลายไปทั่วสังคมออนไลน์ หนึ่งในวิธีการหลักที่แคมเปญทางเฟซบุ๊คแพร่หลายไป
คือวิธีที่เรียกว่า "likejacking" รูปแบบหนึ่งของเทคนิค clickjacking เมื่อผู้ใช้ถูกหลอกให้กด "Like" ในหน้าเว็บหนึ่งซึ่งจะมีผลให้แสดงข้อความหน้า Wall ในเฟซบุ๊ค บ่อยครั้งที่ข้อความเหล่านี้จะเป็นข้อความที่น่าตื่นเต้น เช่น การตายของอุซามะฮ์ บิน ลาดิน หรือ เอมี ไวน์เฮาส์ ซึ่งจะนำไปสู่หน้าเว็บมุ่งร้ายหรือน่าสงสัย รูปแบบหนึ่งที่พบทั่วไปคือแบบสำรวจออนไลน์ที่บังคับให้ผู้ใช้กรอกข้อมูลก่อน ดูวิดีโอที่ต้องการ ผู้ที่หลอกล่อให้ผู้ใช้กรอกแบบสำรวจได้สำเร็จจะได้เงินตอบแทน ส่วนแคมเปญมุ่งร้ายอื่น ๆ เช่น ใช้บริการย่อ URL เพื่อเปลี่ยนเส้นทางผู้ใช้ไปยังหน้าเว็บมุ่งร้าย หรือหลอกล่อให้ผู้ใช้ copy / paste URL ที่อ้างว่าเป็นวิดีโอลงไปใน address bar โดยตรง
ผู้ให้ บริการเครือข่ายสังคมอย่างเฟซบุ๊คและทวิตเตอร์มีผู้ใช้หลายร้อยล้านคน และตามมาด้วยรายใหม่อย่าง Google+ ถึงแม้จะมีพัฒนาการด้านมาตรการด้านความปลอดภัยใหม่ ๆ ออกมาจากบริษัทผู้ให้บริการเหล่านี้ แต่เนื่องจากผู้ใช้และข้อมูลที่มีจำนวนมากจากผู้ให้บริการไม่กี่แห่ง จึงเป็นที่ดึงดูดอาชญากรทางอินเทอร์เน็ต และก่อให้เกิดการล่อลวงในสังคมออนไลน์เพิ่มมากขึ้นในปีค.ศ. 2012
3. มัลแวร์สำหรับอุปกรณ์พกพาคุกคามผู้ใช้และองค์การ
ในปีค.ศ. 2011 เพียงปีเดียวมีการเติบโตของมัลแวร์สำหรับอุปกรณ์พกพาอย่างมีนัยสำคัญ สิ้นปีค.ศ. 2010
มีมัลแวร์กว่า 2,500 ตัวอย่าง แต่ในปีค.ศ. 2011 เพิ่มขึ้นมากกว่า 7,500 ตัวอย่าง
ในปีค.ศ. 2011 ได้มีมัลแวร์สำหรับแพลตฟอร์มแอนดรอยด์เพื่อดักข้อมูล SMS ที่ธนาคารต่าง ๆ ใช้เพื่อป้องกัน
ลูกค้าจากโทรจัน เป็นตัวอย่างที่ดีของ "เกมแมวไล่จับหนู" ระหว่างผู้โจมตีและผู้ป้องกัน แอนดรอยด์ได้
กลายเป็นแพลตฟอร์มที่ตกเป็นเป้าหมายของมัลแวร์มากที่สุด มากกว่ามัลแวร์ซิมเบียนในครึ่งแรกของปี 2011 อีกด้านหนึ่งของมัลแวร์สำหรับอุปกรณ์พกพาที่เพิ่งเริ่มต้นขึ้น ได้แก่การใช้อุปกรณ์พกพาเป็นบ็อท (bots) ในเครือข่ายbots ที่แพร่หลายในคอมพิวเตอร์ตั้งโต๊ะ เนื่องจากมีอุปกรณ์และคอมพิวเตอร์ที่เชื่อมต่อเครือข่ายมากขึ้น ผู้โจมตีจึงพยายามนำทรัพยากรเหล่านี้มาใช้เพื่อประโยชน์ของตัวเอง
แอน ดรอยด์ตกเป็นเหยื่อของความสำเร็จของตัวมันเองในหลายแง่มุม เนื่องจากคนแห่กันไปใช้อุปกรณ์ที่ใช้ระบบปฏิบัติการนี้ ผู้โจมตีก็ทำเช่นเดียวกัน นอกจากนี้แอนดรอยด์ยังมีข้อเสียที่นักพัฒนาสามารถเผยแพร่แอพพลิเคชั่นใด ๆ เข้าไปในMarketplace ได้อย่างง่ายดาย การพัฒนาหนึ่งที่น่าสนใจคือการเปิดตัว Amazon Kindle Fire ซึ่งปกติแล้วจะเชื่อมต่อกับ Amazon application store เท่านั้น หวังว่าทาง Amazon จะให้ความใส่ใจกับแอพพลิเคชั่นที่ยอมให้เผยแพร่ใน application store มากกว่า Marketplaceของกูเกิล
ทุกองค์การควรให้ความสนใจกับจำนวนที่ เพิ่มขึ้นของพนักงานที่ใช้อุปกรณ์ของพวกเขาเองในที่ทำงานและดาวน์โหลดข้อมูล ขององค์การ เช่น อีเมลและไฟล์ต่าง ๆ เข้ามาในอุปกรณ์โดยไม่มีการควบคุม เป็นแนวโน้มที่เรียกว่า consumerization of ITหรือ Bring-Your-Own-Device (BYOD) องค์การจำเป็นต้องเตรียมพร้อมสำหรับปัญหาด้านความปลอดภัยและความร่วมมือที่ เกิดจากการนำอุปกรณ์ที่บริษัทจัดหามาให้ใช้งาน และที่พนักงานนำมาใช้เองด้วย
ใน ปีค.ศ. 2012 เราจะได้เห็นมัลแวร์สำหรับอุปกรณ์พกพาที่มีความซับซ้อนและผลกระทบมากขึ้น มัลแวร์ที่มุ่งเป้าที่สื่อสังคมออนไลน์จะแพร่กระจายมากขึ้น เนื่องจากมีการใช้อุปกรณ์พกพาเพื่อเข้าถึง และอัพเดทสังคมออนไลน์เพิ่มขึ้น โดยมัลแวร์ไม่เพียงแต่มุ่งเป้าที่ข้อมูลของผู้ใช้ แต่สามารถติดตามตำแหน่งของผู้ใช้ด้วย อาจเป็นเรื่องใหญ่ของความปลอดภัยสำหรับเด็ก ผู้ถ่ายภาพลามกเด็กและโจรลักพาตัวอาจสนใจภาพส่วนตัวที่เก็บอยู่ในอุปกรณ์พก พา ซึ่งจะมีข้อมูลพิกัดจีพีเอส (GPS) ของสถานที่ถ่ายภาพ ถึงแม้จะเก็บอยู่ในอุปกรณ์พกพาของผู้ปกครองก็ตาม
ข้อควรกังวลมาก ที่สุดเกี่ยวกับมัลแวร์ในอุปกรณ์พกพาคือ ข้อจำกัดของความสามารถของผลิตภัณฑ์ด้านความปลอดภัยในปัจจุบัน และจุดอ่อนในส่วนของผู้ใช้ เครื่องพีซีที่อยู่ในองค์การจะได้รับการดูแลจากฝ่ายไอที แต่อุปกรณ์พกพาของพนักงาน ที่ใช้เพื่อเข้าถึงและเก็บข้อมูลของบริษัท ดูเหมือนจะถูกละเลย องค์การจำเป็นต้องเพิ่มนโยบายด้านความปลอดภัย ช่วยให้อุปกรณ์พกพาสามารถเปิดเว็บได้อย่างปลอดภัย โดยที่อุปกรณ์พกพาส่วนตัวที่เข้าถึงเครือข่ายของบริษัทนั้นต้องใช้นโยบาย เดียวกันด้วย
4. ช่องโหว่ในซอฟท์แวร์เสริมการทำงานเว็บบราวเซอร์
ซอฟท์แวร์ เสริมสำหรับบราวเซอร์อย่าง Java, Flash Player และ Adobe Reader มีผู้ใช้ทั่วโลกเป็นจำนวนมาก มีช่องโหว่ในผลิตภัณฑ์เหล่านี้ที่พบและถูกโจมตีจำนวนมาก และเป็นเรื่องลำบากสำหรับผู้ดูแลฝ่ายไอทีในการอัพเดทผลิตภัณฑ์เหล่านี้ใน องค์การ ผลิตภัณฑ์เหล่านี้จึงกลายเป็นช่องทางที่ใช้ในการโจมตีที่ได้ผล ผู้ใช้งานเจอความท้าทายเดียวกัน ในบางครั้งฟีเจอร์การทำงานบางอย่างก็ไม่จำเป็นสำหรับผู้ใช้งาน การปิดการทำงานของฟีเจอร์เหล่านั้นช่วยลดความเสี่ยงในการถูกโจมตีได้อย่างมี ประสิทธิภาพ
นอกจากการเติบโตในแง่ของจำนวนแล้ว การโจมตีเหล่านี้ยังมีความซับซ้อนเพิ่มมากขึ้นอีกด้วย เช่น การซ่อนไฟล์มุ่งร้ายในไฟล์อื่นเพื่อหลีกเลี่ยงการตรวจจับ การโจมตีที่ใช้ไฟล์ flash มุ่งร้ายที่ฝังในไฟล์เอกสาร และรูปแบบที่คล้าย ๆ กันพบเห็นได้บ่อยขึ้น
สามารถอ่านต่อจนจบบทความได้ที่ http://sran.org/tl
วันจันทร์, มกราคม 2
สถิติภัยคุกคาม ที่เกิดขึ้นในประเทศไทยในรอบปี 2011
เริ่มต้นปีใหม่เราจะทำอะไร เหตุการณ์ข้างหน้าจะเป็นอย่างไร เรามีแต่การคาดการณ์ แต่หากเราเรียนรู้กับอดีตที่เคยเกิดขึ้นมาเป็นบทเรียนและเตรียมรับมือ พร้อมทั้งเรียนรู้ให้เท่าทันถึงภัยคุกคามที่อาจขึ้นน่าจะเป็นสิ่งที่ดี สำหรับการดำเนินชีวิตอย่างไม่ประมาท
ดั่งคำกล่าวที่ว่า "จะรู้ทิศทางอนาคต ก็ต้องรู้จักเหตุการณ์จากอดีต"
จึงเป็นที่มาให้ทีมพัฒนา SRAN ได้ทุ่มเท ความรู้ ที่มีจัดทำฐานข้อมูลภัยคุกคามที่เกิดขึ้นเพื่อเป็นการรายงานผล จัดในรูปแบบสถิติที่เกิดจากการใช้งานอินเทอร์เน็ตภายใน ประเทศไทยขึ้น โดยพัฒนาระบบนี้มานานกว่าจะออกเป็นผลลัพธ์ในเว็บ www.sran.net ซึ่งในปีนี้ก็คิดว่าระบบดังกล่าวจะสมบูรณ์มากขึ้นและเป็นประโยชน์ต่อสังคมให้ ได้เรียนรู้ถึงทิศทางภัยคุกคามที่เกิดขึ้นจากอดีตจนถึงปัจจุบันได้
เป้า หมายที่ตั้งไว้ คือ ต้องการระบบที่ตรวจสอบและแจ้งผลเว็บไซต์ Website / domain / IP Address ที่เป็นภัยอันตรายต่อการใช้งานนักท่องอินเทอร์เน็ต และทำให้ผู้ดูแลระบบที่ประสบภัยคุกคามได้มีมาตรการในการป้องกันภัยและแก้ไข ได้ทันสถานการณ์มากขึ้น โดยมีการจัดการข้อมูลในรูปแบบของสถิติซึ่งสามารถอ่านรายละเอียดได้ที่ http://nontawattalk.blogspot.com/2011/09/blog-post_04.html หรือ http://blog.sran.net/archives/640
ดัง นั้นก่อนที่จะคาดการณ์ภัยคุกคามในอนาคต เราจึงควรเรียนรู้ภัยคุกคามในรอบปีที่แล้วที่ผ่านมาเพื่อมาวิเคราะห์ถึง ทิศทางของภัยคุกคามที่เกิดขึ้นในประเทศไทยได้อย่างถูกต้องและแม่นยำมากขึ้น
โดยในรอบปี 2011 ที่ผ่านมานั้น สรุปภัยคุกคามที่เกิดขึ้นได้ดังนี้
SRAN : Thailand Internet Threat Statistic 2011
ภาพที่ 1 : สถิติภัยคุกคามที่เกิดขึ้นในประเทศไทยในรอบปี 2011
1. Malware : คือ Website / Domain / IP Address ภายในประเทศไทย ที่เป็นพาหะที่ทำให้ผู้ใช้งานติดไวรัสคอมพิวเตอร์ หรือ file ที่ไม่เหมาะสม ที่ทำให้เครื่องคอมพิวเตอร์ (computer) คอมพิวเตอร์พกพา (notebook ,tablet) และสมาร์ทโฟม (smart phone/mobile ) ที่ขาดระบบป้องกันที่ทันสมัยอาจมีโอกาสติดเชื้อไปด้วย
สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 1,057 ครั้ง ลงเมื่อเทียบกับปี 2010
2. Web Attack : คือ Website / Domain / IP Address ภายในประเทศไทย ที่ถูกโจมตี (Hacking) เข้าถึงระบบและเปลี่ยนข้อมูลในหน้าเพจเว็บไซต์
สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 6,331 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010
3. Phishing : คือ Website / Domain / IP Address ภายในประเทศไทย ที่เป็นการหลอกลวงทำให้ผู้ใช้งานเข้าใจผิดและส่งผลกระทบต่อการใช้งานปกติ ซึ่งทำให้เครื่องคอมพิวเตอร์ (computer) คอมพิวเตอร์พกพา (notebook ,tablet) และสมาร์ทโฟม (smart phone/mobile ) ที่ขาดระบบป้องกันที่ทันสมัยอาจมีโอกาสติดเชื้อ Malware หรือเป็นเหยื่อของนักโจมตีระบบได้อีกด้วย
สรุปภาพรวมทั้งปี 2011 เกิดขึ้นเป็นจำนวน 875 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010
4. Vulnerability : คือ ช่องโหว่ของโปรแกรม, แอฟลิเคชั่น (Application), OS (Operating System) ที่สามารถเข้าระบบ หรือทำให้ระบบไม่สามารถทำงานได้อย่างปกติ เป็นผลให้เกิดการโจมตีขึ้นได้
สรุปภาพรวมทั้งปี 2011 เกิดขึ้นจำนวน 5,442 ครั้ง ลงเมื่อเทียบกับปี 2010
5. Proxy : คือ Website / Domain / IP Address ที่ทำตัวเองเป็นตัวกลางในการติดต่อสื่อสาร ซึ่งมีโอกาสที่เป็นเครื่องมือของผู้ไม่ประสงค์ดี และเป็นช่องทางในการกระทำความผิดเกี่ยวกับอาชญากรรมคอมพิวเตอร์ เพื่อปิดบังค่า IP Address ที่แท้จริงของผู้ใช้งานได้
สรุปภาพรวมทั้งปี 2011 เกิดขึ้นจำนวน 12,709 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010
ทั้งปี 2011 สรุปภัยคุกคามทั้ง 5 ประเภทรวมทั้งเป็น 26,394 ครั้ง เพิ่มขึ้นเมื่อเทียบกับปี 2010 ดูรายละเอียด
ประเภทองค์กรภายในประเทศไทย ที่พบภัยคุกคามเป็นภาพรวม
แบ่งเป็น 3 ชนิดภัยคุกคาม 7 กลุ่ม คือ ชนิดภัยคุกคามจะประกอบด้วย 7 กลุ่ม ดังนี้
ชนิดของภัยคุกคามทั้ง 3 ชนิดประกอบด้วย
ชนิดที่ 1 : เว็บไซต์ในประเทศไทยที่ถูกโจมตี ได้แก่ การโจมตีชนิดที่มีการเปลี่ยนแปลงข้อมูลในเว็บไซต์ (web defacement)
ชนิดที่ 2 : เว็บไซต์ในประเทศไทย ที่ตกเป็นฐานของฟิชชิ่ง (Phishing) จนกลายเป็นเว็บหลอกลวง
ชนิด ที่ 3 : เว็บไซต์ในประเทศไทย ที่ติดไวรัสคอมพิวเตอร์ ซึ่งส่วนใหญ่แล้วจะเป็นเว็บไซต์ที่ถูกโจมตีแล้วสามารถเข้าถึงระบบได้จากนั้น จึงนำ file ที่ติดไวรัสเข้ามาใส่ในเว็บไซต์เพื่อใช้หลอกให้ผู้ใช้งานติดไวรัสต่อไป
ภาพที่ 2 ภาพรวมค่าสะสมจากอดีตจนถึงปัจจุบันบนระบบฐานข้อมูลภัยคุกคามที่เกิดขึ้นในประเทศไทย เมื่อแยกตามประเภทขององค์กร
ในรอบปี 2011 ที่ผ่านประเภทองค์กรที่พบภัยคุกคามดังนี้
ภาพที่ 3 สถิติภัยคุกคามเมื่อทำแยกแยะตามประเภทขององค์กร ที่เกิดในรอบปี 2011
ซึ่งแยกแยะตามรายชื่อโดเมนตามชื่อหน่วยงาน ได้ 7 กลุ่ม
1. สำหรับการศึกษา (Academic) จำนวนที่พบภัยคุกคามคือ 1,433 ครั้ง
2. สำหรับบริษัทห้างร้าน (Commercial Companies) จำนวนที่พบภัยคุกคามคือ 1,162 ครั้ง
2. สำหรับบริษัทห้างร้าน (Commercial Companies) จำนวนที่พบภัยคุกคามคือ 1,162 ครั้ง
3. สำหรับรัฐบาล (Governmental Organizations) จำนวนที่พบภัยคุกคามคือ 3,406 ครั้ง
4. สำหรับทหาร (Military Organizations) จำนวนที่พบภัยคุกคามคือ 129 ครั้ง
4. สำหรับทหาร (Military Organizations) จำนวนที่พบภัยคุกคามคือ 129 ครั้ง
5. สำหรับหน่วยงานที่ไม่หวังผลทางการค้า (Registered Non-profit Organizations) จำนวนที่พบภัยคุกคามคือ 90 ครั้ง
6. สำหรับผู้ให้บริการอินเทอร์เน็ต (officially registered Internet Service Providers) จำนวนที่พบภัยคุกคาม คือ 2 ครั้ง
7. สำหรับหน่วยงานทั่วไป (Individuals or any others) จำนวนที่พบภัยคุกคาม คือ 528 ครั้ง
บทวิเคราะห์
โดย รวมทิศทางข้อมูลเชิงสถิติภัยคุกคามที่เกิดขึ้นในประเทศไทยโดยรวมนั้นมีอัตรา สูงขึ้นอย่างต่อเนื่อง ซึ่งเป็นไปตามการเข้าถึงเทคโนโลยีอินเทอร์เน็ตที่มีอัตราการใช้งานเพิ่มขึ้น ทุกปีเช่นกัน ภัยคุกคามในแต่ละประเภทที่จัดทำเป็นสถิตินั้นเป็นภัยคุกคามที่เชื่อมโยง ถึงกันซึ่งอาจเกิดจากส่วนใดส่วนหนึ่งก่อนแล้วเกิดผลตามมา ยกตัวอย่างเช่น เกิดจาก Web Attack ก่อน เมื่อนักโจมตีระบบ (Hackers) เข้าถึงระบบ Web Application ได้แล้วก็จะทำการเข้าถึง Web Server และระบบปฏิบัติการ OS ตามลำดับจากนั้นทำการติดตั้ง Malware และทำให้ Website / Domain / IP Address นั้นเป็นพาหะที่ทำให้เกิดติดเชื้อ และแพร่กระจายกลายข้อมูลผ่าน Link ต่างๆ ตาม Web board , Social network หรือ e-mail ในลักษณะ Phishing เป็นต้น
ซึ่งผู้ใช้งานควรมีความตระหนักรู้เท่าทันภัยคุกคามและหมั่นตรวจ สอบความปลอดภัยข้อมูลเป็นระยะโดยดูช่องโหว่ (Vulnerability) ของซอฟต์แวร์ , OS ที่ตนเองมีอยู่ ใช้อยู่ หากมีการแจ้งเตือนช่องโหว่ควรศึกษาว่าช่องโหว่นั้นมีผลต่อการใช้งานอย่างไร หากเป็นช่องโหว่ที่เข้าถึงเครื่องคอมพิวเตอร์เราได้นั้นควรรีบแก้ไขโดยเร็ว อย่างมีสติ หากเป็นผู้ดูแลระบบนั้นต้องหมั่นดูแลเรื่องนี้เป็นพิเศษ
ที่น่าสนใจคือทิศทางของการใช้งาน Proxy ทั้งที่เป็น Proxy Server , Anonymous Proxy ซึ่งมีการใช้งานที่สูงขึ้นมากอาจเป็นต้องการรักษาความลับและความเป็นส่วนตัว ของผู้ใช้งานมากขึ้น และอีกประเด็นคือที่ระบบ SRAN ตรวจพบ Proxy เยอะก็เพราะอาจมีการเข้าถึงระบบโดยเข้ายึดเครื่องและแปลงสภาพเครื่องที่ยึด ได้นั้นมาเชื่อมต่อการใช้งานแบบ Proxy เพื่ออำพรางการกระทำใดบางอย่าง ซึ่งเทคนิคดังกล่าวนี้จะส่งผลให้การสืบสวนทางอินเทอร์เน็ตทำได้ยากลำบากมาก ขึ้นนั้นเอง โดย IP Address ที่พบในฐานข้อมูลก็บ่งบอกว่ามีทั้งเครื่องแม่ข่าย (Server) และ เครื่องลูกข่าย หรือเครื่องผู้ใช้งานทั่วไป จากเมื่อก่อนการทำ Proxy ได้นั้นควรจะเป็นเครื่องแม่ข่าย แต่นี้ก็แสดงถึงการยึดระบบนั้นเข้าถึงเครื่องใช้งานทั่วไปของคนปกติที่ ออนไลน์ตลอดเวลาไม่ว่าเป็นเครื่องตามบ้านผ่าน ADSL ความเร็วสูงหรือแม้กระทั่งบนสมาร์ทโฟนที่ online อินเทอร์เน็ตตลอดเวลา ซึ่งเทียบได้กับ Server ในอดีตแต่การเปลี่ยนค่า IP Address จะไม่คงที่เท่ากับเครื่อง Server ซึ่งเท่ากับว่าเราๆท่านๆอาจมีโอกาสเป็นเครื่องมือของผู้กระทำความผิดได้เช่น กัน
ด้วยความปรารถนาดีจาก ทีมพัฒนา SRAN
SRAN Dev Team
สวัสดีปีใหม่ครับ
ปล. ข้อมูลสถิติที่เกิดขึ้นนั้นเกิดจากซอฟต์แวร์ zemog bot (สีหมอกบอท) ที่เป็นงานวิจัยและพัฒนาขึ้นจากทีมงาน SRAN สร้างขึ้น หลักการณ์เป็นการทำงานแบบ crawler โดยสร้างเป็นบอท (robot) พิเศษที่มีความชาญฉลาดกว่า crawler ทั่วไป หน้าที่คือตรวจสอบข้อมูลเมื่อพบ ASN (Autonomous System Number)ในประเทศไทยแล้วค้นหาตาม IP Address / Domain ที่พบภัยคุกคามจากแหล่งข่าวต่างๆ บนโลกอินเทอร์เน็ต แล้วนำมานำรวบรวมข้อมูล คัดแยกข้อมูลแล้วนำเสนอเป็นข้อมูลเชิงสถิติ ซึ่งไม่ได้หมายความว่าตัวเลขที่พบเป็นภัยคุกคามที่เกิดขึ้นทั้งหมด แต่เป็นการเกิดจากบอทที่สร้างขึ้นและค้นพบในโลกอินเทอร์เน็ต
รายละเอียดเพิ่มเติมดูได้ที่ http://www.sran.net/statistic
วันเสาร์, กันยายน 17
SRAN First Help : แผนที่สถานการณ์
FIRST Help : แผนที่สถานการณ์ เพื่อใช้สำหรับสถานการณ์ฉุกเฉิน หรือ "Crisis map" เป็นแนวคิดที่จะช่วยเหลือผู้คนผ่านช่องทางอินเทอร์เน็ตสำหรับแจ้งเบาะแส และทำให้ผู้ที่ต้องการข้อมูลได้ทราบเพื่อเตรียมรับมือต่อสถานการณ์ที่เกิดขึ้น
ตั้งแต่ช่วงต้นปีที่ผ่านมานี้ประเทศไทยของเราประสบปัญหาภัยพิบัติทางธรรมชาติอยู่เป็นระยะๆ โดยเฉพาะปัญหาน้ำท่วม ดินถล่ม ถนนหลักใช้การไม่ได้ ดังนั้นกำลังเพียงเล็กน้อยของทีมงานเราได้แค่เพียงการจัดทำเทคโนโลยีเพื่อช่วยแจ้งเบาะแส ผ่านแผนที่สถานการณ์เพื่อช่วยบอกตำแหน่ง กำหนดจุดเกิดเหตุ และ สืบค้นหาข้อมูลย้อนหลังในแผนที่สถานะการณ์ได้ เพื่อประเมินสถานการณ์ได้อีกด้วย อีกทั้งมีการส่งข้อมูลผ่านช่องทางที่หลากหลาย เช่น ผ่านเว็บไซต์ ผ่านโปรแกรมมือถือ ซึ่งปัจจุบันเรามีการส่งผ่านมือถือเฉพาะ Android ซึ่งสามารถ download ได้ในเว็บไซต์ http://firsthelp.me ซึ่งในการส่งข้อมูลนั้นสามารถส่งได้ทั้งเป็น SMS , วิดีโอ , รูปภาพ ข่าวที่ผ่านช่องทาง RSS Feed จากเว็บไซต์ข่าว หรือ ช่องทาง Twitter และ Social Network ได้อีกด้วย
ภาพตัวอย่างระบบแผนที่สถานการณ์ SRAN Firsthelp
เพื่อเป็นการเพิ่มช่องทางการแจ้งเตือนภัย ให้ครอบคลุมปัญหาต่างๆ ทางทีมงานพัฒนา SRAN จึงทำเป็น 5 หมวดหมู่ ดังนี้
1. ภัยพิบัติทางธรรมชาติ ซึ่งแยกได้เป็นภัยพิบัติ ดังนี้- ภัยที่เกิดจากน้ำท่วม
- ภัยที่เกิดจากพายุ
- ภัยที่เกิดจากพายุ
- ภัยที่เกิดจากแผ่นดินไหว
- ภัยที่เกิดจากสึนามิ
- ภัยที่เกิดจากไฟไหม้ป่า
- ภัยแล้ง
- ดินถล่ม
- ฝนตกหนัก
ภาพหน้าจอ Firsthelp : ที่แสดงถึงแผนที่สถานการณ์สำหรับภัยพิบัติทางธรรมชาติ
2. การแพทย์ฉุกเฉิน สำหรับการช่วยเหลือผู้ป่วยฉุกเฉิน
3. เกี่ยวกับสาธารณูปโภค ประกอบด้วย น้ำไม่ไหล , ไฟฟ้าใช้การไม่ได้ , ถนนหลักไม่สามารถใช้งานได้ , ระบบสื่อสารขัดข้อง เป็นต้น
4. เหตุด่วนเหตุร้าย เช่น การแจ้งคนหาย , อุบัติเหตุ การลักขโมยทรัพย์สิน และการแจ้งเบาะแส อื่นๆ
เมื่อผู้ใช้งานที่ต้องการแจ้งเหตุส่งข้อความมายังระบบ First Help จะทำประมวลความถูกต้องโดยต้องมีทีมปฏิบัติการคอยตรวจสอบความถูกต้องข้อมูลถึง 2 ขั้นตอนคือ ขั้นตอน รับรองข้อมูล (Approve) และ ขั้นตอน ยืนยันข้อมูล (Verify) เพื่อให้ข้อความที่ปรากฏในระบบรับแจ้งเหตุได้มีความน่าเชื่อถือมากขึ้น
เมื่อข้อมูลที่ผ่านการรับรอง (Approve) จะขึ้นปรากฏที่หน้าเว็บไซต์ http://firsthelp.me และผ่านเข้ามือถือระบบ Firsthelp Android
ภาพหน้าจอรายงานผล
SRAN First Help มีความยินดีที่จัดทำระบบนี้ให้กับผู้สนใจที่ต้องการระบบแผนที่สถานการณ์ เพื่อเป็นศูนย์กลางในการรับแจ้งเหตุ และเบาะแสอื่นๆ ที่พึ่งเป็นประโยชน์ต่อประชาชน สามารถติดต่อทางเราได้ที่ info@gbtech.co.th เรายินดีทำระบบแจ้งเหตุเตือนภัยที่เป็นแบบแผนที่สถานการณ์ได้
นนทวรรธนะ สาระมาน
Nontawattana Saraman
Nontawattana Saraman
วันอาทิตย์, กันยายน 4
SRAN จัดทำระบบสถิติภัยคุกคามทางอินเทอร์เน็ตในประเทศไทย
ทางทีมพัฒนา SRAN ไม่เคยหยุดน่ิงที่จะคิดค้นหาวิธีการเพื่อที่ทำให้สังคมไทยมีความตื่นตัวในด้านการรักษาความมั่นคงปลอดภัยข้อมูล
ก่อนหน้านี้ก็มีการจัดทำ SRAN Comic การ์ตูนเสริมสร้างความเข้าใจวิธีการป้องกันภัยคุกคามที่เกิดจากการใช้ระบบสารสนเทศและอินเทอร์เน็ตมาแล้วในเว็บ http://comic.sran.org ซึ่งเหมาะกับคนทั่วไปและผู้ที่เริ่มต้นศึกษาด้าน IT Security
อีกทางหนึ่ง SRAN Technology ได้มีการรวบรวมสถิติภัยคุกคามทางอินเทอร์เน็ตในประเทศไทยขึ้นด้วยประสบการณ์วิจัยและพัฒนาเทคโนโลยีสารสนเทศด้านความมั่นคงปลอดภัยข้อมูลมากว่า 10 ทำให้ SRAN คิดว่าควรจัดทำระบบที่เกี่ยวข้องกับสถิติภัยคุกคามเพื่อเป็นการแจ้งเหตุ และเตือนภัยให้กับหน่วยงานที่เกี่ยวข้องได้รับรู้ถึงภัยคุกคามที่เกิดขึ้นกับตนเอง เพื่อการปรับปรุงและพัฒนาให้เกิดความตะหนักและป้องกันภัยในอนาคตโดยตั้งชื่อว่า "ระบบสถิติภัยคุกคามทางอินเทอร์เน็ตในประเทศไทย"
ที่มา
ก่อนหน้านั้นหากเราต้องการหาข้อมูลในเชิงสถิติที่เกี่ยวข้องกับกับภัยคุกคามที่เกิดขึ้นทางอินเทอร์เน็ต โดยเฉพาะเจาะจงไปที่ประเทศไทยแล้ว ยังไม่มีหน่วยงานใดได้มีการจัดทำสถิติอย่างเป็นทางการ
โดยกลุ่มพัฒนา SRAN ได้ติดตามผลภัยคุกคามเหล่านี้มาโดยตลอด และเล็งเห็นว่าสมควรที่จะจัดทำเป็นระบบสถิติเพื่อเป็นการเตือนภัยหน่วยงานที่ถูกบุกคุกคาม จากนักโจมตีระบบโดยนักโจมตีระบบนั้นอาศัยช่องโหว่ตามระบบปฏิบัติการ ช่องโหว่ของระบบแอฟลิเคชั่น จนทำให้เว็บไซต์จำนวนหนึ่งในประเทศไทยตกเป็นเหยื่อ และเกิดผลพ่วงตามมาคือเป็นแหล่งเพาะเชื้อยิ่งถ้าเป็นเว็บหน่วยงานราชการหรือระบบการศึกษา กองทัพ บริษัทห้างร้าน นั้นแล้ว จะมีภัยคุกคามต่อผู้ใช้งานโดยตรงได้
ดังนั้นระบบที่ทาง SRAN ได้จัดทำขึ้นก็เพื่อเป็นการเตือนภัยให้ปรับปรุง/แก้ไข สำหรับผู้ดูแลเว็บไซต์ของหน่วยงานได้ปรับปรุงและให้บริการอย่างปลอดภัยมากขึ้นในอนาคต
เป้าหมายของระบบสถิติภัยคุกคามทางอินเทอร์เน็ตในประเทศไทย
1. เพื่อจัดทำเป็นสถิติภัยคุกคามทางอินเทอร์เน็ตในประเทศไทย ที่มีความน่าเชื่อถือ ความถูกต้องของข้อมูลและสามารถอ้างอิงเป็นเอกสารได้
2. เพื่อเตือนภัยให้กับหน่วยงานที่ประสบเหตุได้ปรับปรุงแก้ไขให้ปลอดภัย และป้องกันการแพร่เชื้อไม่ให้ติดต่อแก่ผู้ใช้งานทั่วไป
3. เพื่อจัดทำเป็นประวัติข้อมูลเพื่อสามารถสืบค้นข้อมูลย้อนหลังได้
4. เพื่อให้ผู้ดูแลระบบที่ระบบที่เกิดช่องโหว่ได้มีการพัฒนาปรับปรุงเพื่อปรับไม่ให้เกิดช่องโหว่ของระบบของหน่วยงานที่ตนเองได้ดูแลอยู่ได้
การดำเนินการ
รูปแบบการจัดทำสถิติภัยคุกคามทางอินเทอร์เน็ตในประเทศไทย ทีมพัฒนา SRAN ได้ตั้งเป้าเฉพาะการตรวจสอบที่เกิดจากเว็บไซต์ที่มี IP Address และ Domain name ที่เป็นสาธารณะ (Public) ที่บุคคลทั่วไปก็สามารถเข้าถึงข้อมูลได้
โดยแบ่งเป็น 3 ชนิดภัยคุกคาม 7 กลุ่ม คือ ชนิดภัยคุกคามจะประกอบด้วย 7 กลุ่ม ดังนี้
ซึ่งแยกแยะตามรายชื่อโดเมนตามชื่อหน่วยงาน
1. สำหรับการศึกษา (Academic) หรือ โดเมน ac.th
2. สำหรับบริษัทห้างร้าน (Commercial Companies) หรือ โดเมน co.th
2. สำหรับบริษัทห้างร้าน (Commercial Companies) หรือ โดเมน co.th
3. สำหรับรัฐบาล (Governmental Organizations) หรือ โดเมน go.th
4. สำหรับทหาร (Military Organizations) หรือ โดเมน .mi.th
4. สำหรับทหาร (Military Organizations) หรือ โดเมน .mi.th
5. สำหรับหน่วยงานที่ไม่หวังผลทางการค้า (Registered Non-profit Organizations) หรือ โดเมน or.th
6. สำหรับผู้ให้บริการอินเทอร์เน็ต (officially registered Internet Service Providers) หรือ โดเมน net.th
7. สำหรับหน่วยงานทั่วไป (Individuals or any others) หรือ โดเมน in.th
ชนิดของภัยคุกคามทั้ง 3 ชนิดประกอบด้วย
ชนิดที่ 1 : เว็บไซต์ในประเทศไทยที่ถูกโจมตี ได้แก่ การโจมตีชนิดที่มีการเปลี่ยนแปลงข้อมูลในเว็บไซต์ (web defacement)
ชนิดที่ 2 : เว็บไซต์ในประเทศไทย ที่ตกเป็นฐานของฟิชชิ่ง (Phishing) จนกลายเป็นเว็บหลอกลวง
ชนิดที่ 3 : เว็บไซต์ในประเทศไทย ที่ติดไวรัสคอมพิวเตอร์ ซึ่งส่วนใหญ่แล้วจะเป็นเว็บไซต์ที่ถูกโจมตีแล้วสามารถเข้าถึงระบบได้จากนั้นจึงนำ file ที่ติดไวรัสเข้ามาใส่ในเว็บไซต์เพื่อใช้หลอกให้ผู้ใช้งานติดไวรัสต่อไป
จะเห็นว่าทั้ง 3 ชนิดภัยคุกคาม เป็นการเผยแพร่ข้อมูลทั่วไปผ่านระบบอินเทอร์เน็ต ซึ่งทำให้ผู้ใช้งานทั่วไปอาจตกเป็นเหยื่อได้ทุกเมื่อหากหลงผิดเข้าเว็บไซต์ดังกล่าว
โดยทางกลุ่มพัฒนา SRAN ได้จัดทำระบบ Crawler Honeypot เพื่อสืบเสาะหาแหล่งข้อมูลจากหลายที่ ที่ได้รับความน่าเชื่อถือจากทั่วโลก และทำการกรองข้อมูลที่ได้มาจัดทำเป็นสถิติเพื่อใช้ในการวิเคราะห์ภัยคุกคามและเตือนภัยให้กับหน่วยงานที่พบช่องโหว่ต่อไป
ผลการจัดทำ
จะพบว่าสถิติที่พบจนถึงวันที่ 3 กันยายน 2554 พบว่า
ชนิดที่ 1 : เว็บไซต์ในประเทศไทยที่ถูกโจมตี เริ่มมีการจัดเก็บข้อมูลตั้งแต่ปี ค.ศ. 1999 จนถึงปัจจุบัน
จะเห็นว่าเว็บไซต์ในประเทศไทยที่ถูกโจมตีเป็นอันดับหนึ่งคือภาครัฐบาล (go.th) ตั้งแต่ปี ค.ศ. 1999 เป็นต้นมาจนถึงปัจจุบัน (3 กันยายน 2011) มีจำนวนถึง 4936 ครั้ง คิดเป็น 41.53% จากจำนวน 7 กลุ่มโดเมน
ชนิดที่ 2 เว็บไซต์ในประเทศไทยที่ตกเป็นฐานในการทำฟิชชิ่ง
พบว่าหน่วยงานที่เกี่ยวข้องกับการศึกษา (.ac.th) เป็นฐานของการทำฟิชชิ่งมากที่สุด คิดเป็นจำนวน 42.3% จำนวนจนถึงปัจจุบันถึง 512 ครั้ง
ชนิดที่ 3 เว็บไซต์ในประเทศไทย ที่ติดไวรัสคอมพิวเตอร์
พบว่าหน่วยงานที่เกี่ยวข้องกับการศึกษา (.ac.th) เป็นฐานของการไวรัสคอมพิวเตอร์มากที่สุด คิดเป็นจำนวน 48.3% จำนวนจนถึงปัจจุบันถึง 616 ครั้ง
บทวิเคราะห์สถานการณ์ปัจจุบัน
จากสถิติที่นำเสนอ จะพบว่าหน่วยงานราชการและหน่วยงานด้านการศึกษา โดยส่วนใหญ่มีเว็บไซต์ประจำหน่วยงาน ซึ่งหลายเว็บไซต์นั้นยังมีช่องโหว่ที่ทำให้ผู้ไม่ประสงค์ดี (Attacker) สามารถเข้ามายึดระบบและใช้เป็นฐานในการเผยแพร่ข้อมูลที่เป็นภัยคุกคาม ซึ่งผู้ไม่ประสงค์ดีนั้นอาจตั้งใจโจมตี หรือไม่ตั้งใจโจมตีระบบก็ได้ โดยการสร้างสคิปต์ค้นหาช่องโหว่ที่เป็นภัยคุกคามในปัจจุบันแล้วหากพบเว็บไซต์ที่มีช่องโหว่ก็ทำการเข้ายึดโดยอัตโนมัติ จากนั้นก็ทำเป็นฐานในการโจมตีต่อไป ซึ่งถือได้ว่าเป็นกลายเป็นกองทัพ botnet ในอนาคต
ดังนั้นเว็บไซต์หน่วยงานที่มีรายชื่อในฐานข้อมูล http://www.sran.org ควรทำการจัดทำระบบให้แข็งแรง ปิดช่องโหว่ที่เป็นภัยคุกคามต่อระบบเว็บไซต์ได้ (Hardening) ซึ่งสามารถตรวจหาช่องโหว่ที่เป็นภัยคุกคามในปัจจุบันได้จากข้อมูล CVE (Common Vulnerability Exposures) ซึ่งทางทีมงานพัฒนา SRAN
ได้จัดทำไว้ดูข้อมูลแบบอัพเดทวันต่อวันที่ http://www.sran.net/statistic/#vulnerabiltiy
และสำหรับผู้ดูแลระบบเว็บไซต์ จึงคำนึงถึงความมั่นคงปลอดภัยอยู่ตลอดเวลาว่าในวันที่ประกาศเป็นเว็บไซต์ มี Public IP Address มีรายชื่อ Domain name แล้ว ก็ต้องมีระบบที่ปลอดภัยด้วยเพราะคนทั่วโลกก็สามารถเข้าถึงข้อมูลที่นำเสนอได้ตลอด ดังนั้นควรมีการหมั่นอัพเดทระบบที่เป็นช่องโหว่ให้ผู้บุกรุกเข้าถึงข้อมูลได้
เพิ่มเติม
สถิติ SRAN ถูกนำไปออกอากาศในรายการแบไต๋ไฮเทค เมื่อวันที่ 22 สิงหาคม 2554 ทางช่อง C-Channel โดยพูดถึงรายงานสถิติที่เว็บไทยโดนโจมตี ตั้งแต่ปี ค.ศ. 1999 จนถึงปัจจุบัน โดย SRAN เก็บรวบรวมข้อมูลไว้ อธิบายโดย อ.Supadej Sutthiphongkanasai
เผยแพร่โดย กลุ่ม SRAN พัฒนา (SRAN Dev)
นนทวรรธนะ สาระมาน
Nontawattana Saraman
วันอาทิตย์, สิงหาคม 14
Wi-Ride บนเส้นทางไร้สาย
ในต่างประเทศในยุคหนึ่งนิยมการทำ wardriving กันมาก wardriving เป็นกิจกรรมของนักเจาะระบบ (hacker) ที่นิยมงัดแงะ แคะรหัสผ่านที่มีการเข้ารหัสไว้เฉพาะกลุ่มคนที่มีสิทธิเข้าใช้งาน หรืออาจจะโชคดีหน่อยที่พบสัญญาณ Wi-Fi ที่พบไม่มีการเข้ารหัสเสียเลยก็สบายแฮ แต่หากพบว่าประเภท แสบเจอแสบล่ะยุ่งเหมือนกัน ประเภทที่ว่า เปิดให้ Wi-Fi ใช้ฟรี แต่ขอดักข้อมูลเสียสักหน่อย เจอประเภทนี้เราจะรู้ตัวได้อย่างไรกัน ? เป็นคำถามที่หลายๆ คนก็อย่างจะรู้และเตรียมรับพร้อมเพื่อรับมือกับมันอยู่ไม่น้อย
ก่อนที่จะหาวิธีป้องกัน ผมจึงเตรียมพร้อมด้วยการท่องเทียว + ซอฟต์แวร์ที่ประยุกต์พัฒนาขึ้นเอาเอง เพื่อเก็บสถิติและเก็บข้อมูล
ผมจึงตั้งเป็น Project เล็กๆ ที่ถือได้ว่าเป็นงานอดิเรกส่วนตัวผมก็ได้ ชื่อ "Wi-Ride" ย่อมาจาจ Wi-Fi Ride ขี่วายไฟร์ ด้วยเครื่องมือระบุตัวตน SRAN เพราะเรามาดี ไม่ได้มา hack เราจึงไม่ขอใช่คำว่า "wardriving" เพราะเรามีหลักการ ที่เราทำขึ้นก็เพื่อตรวจสอบความเสี่ยงของผู้ให้บริการอินเทอร์เน็ตไร้สาย (Wi-Fi) ตามจุดต่างๆ สิ่งที่บันทึกลงในระบบซึ่งแสดงผลใน www.sran.net/internet นั้นคือสถิติของจำนวน Access point ตามรายชื่อผู้ให้บริการอินเทอร์เน็ต และย่านที่มีความเสี่ยง ซึ่งความเสี่ยงที่ผมได้จัดประเภทขึ้นนั้นมี 3 ระดับคือ
- Access point (Hotspot) ที่ไม่มีความเสี่ยง (ปกติ)
- Access point (Hostspot) ที่มีความเสี่ยง ที่ไม่ได้รหัสในการเข้าใช้บริการ
- Access point (Hostspot) ที่มีความเสี่ยงสูง เป็น Access point ปลอมใช้เพื่อดักข้อมูล หรือที่เรียกว่า Rogue access point
เมื่อระบุความเสี่ยงตามเกณฑ์ที่กำหนดไว้แล้ว ซอฟต์แวร์ที่เราเขียนขึ้นไว้พร้อมแล้ว เราก็เริ่มออกเดินทางได้
โปรแกรมค้นหา wi-fi hotspot ที่เราถนัด ส่วนตัวผมใช้ Wifi-where บน iphone บางก็ใช้ kismet ที่ modify โดย wigle บน tablet android (Galaxy tab)
ส่ิงที่กระทำต่อไปคือเปิดเว็บไซต์ http://checkspeed.me เพื่อทดสอบความเร็วเน็ต หากพบ Free Wifi หรือที่ไหนใจบุญเปิดให้คนนอกใช้เน็ตฟรี (Free Internet) ต้องเรียนว่าโปรแจค checkspeed.me นั้นเราทำขึ้นเพื่อสนองความต้องการของเราเอง .. ทำกันเองโดยใช้เทคนิคใหม่ที่ได้มาคือ geolocation ผ่าน HTML5 ซึ่งทำให้เราระบุตำแหน่ง / พิกัด ที่เราอยู่ได้โดยไม่ต้องผ่าน GPS และ Cell site แต่ถึงอย่างไรเทคนิคนี้ต้องผ่านอินเทอร์เน็ต ..
เส้นทางจริงที่ผมได้สำรวจขึ้นเนื่องจากต้องเดินทางเส้นทางนี้บ่อยกว่าทุกเส้น นั้นคือ ถนนมิตรภาพ ทางไปภาคอีสานบ้านของเฮา นั้นเอง การเดินทางของผม ก็ได้เริ่มต้นขึ้นจากถนนเส้นนี้เอง ผลลัพธ์ที่ปรากฏขึ้นเป็นภาพของการส่งข้อมูลไปยังระบบ SRAN Wi-Ride ประมวลผลผ่านระบบอินเทอร์เน็ตไร้สาย และเครื่องมือสำรวจของเราก็คืออุปกรณ์มือถือและ Tablet ที่ไปไหนก็ไปด้วย (เหมือนคนเป็นโรคติดเน็ต)
ภาพจาก www.sran.net/internet
จุดที่ได้ถูกพอตลงในแผนที่ทางภูมิศาสตร์ เกิดจากการสุ่มสำรวจและขับรถผ่านจะพบว่าเส้นทางในกรุงเทพฯมีการเปิดให้บริการ Internet Wireless (Wi-Fi) จำนวนมาก แต่ส่วนใหญ่จะไม่มีฟรี และโดยมากมาจากผู้ให้บริการอินเทอร์เน็ต ในขณะที่ผมเขียน blog อยู่นี้ข้อมูลที่เราสำรวจมานั้นพบว่า
True Internet มีจำนวน Access Point ที่ให้บริการอินเทอร์เน็ต จำนวน 1525 จุด ซึ่งถือว่าเป็นอันดับ 1 (การสำรวจนี้เกิดขึ้นจากการขับรถและจากแหล่งข้อมูลอื่นเช่น wigle , wefi และ gwifi เป็นต้น มิได้เป็นข้อมูลทั้งหมดที่ผู้ให้บริการอินเทอร์เน็ตในประเทศไทยเป็นผู้ให้บริการแก่สมาชิกแต่อย่างใด)
รองลงมาเป็น 3BB Broadband Internet ที่กำลังมาแรง จำนวน Access Point ที่ค้นพบจากการเดินทางนั้นถึง 692 จุด
รายละเอียดสถิติตัวเลขต่างๆ สามารถดูที่ http://www.sran.net/internet
เท่าที่สำรวจมาพบว่ามีโอกาสไม่น้อยเลยที่อาจจะมีการหลอกลวงโดยตั้งค่า SSID ให้ตรงกับผู้ให้บริการเพื่อหลอกเหยื่อมาติดกับดัก หรือที่เรียกภาษาทางเทคนิคว่า "Rogue Access point" ที่กล่าวในขั้นต้น ซึ่งเทคนิคดังกล่าวนี้จะทำให้เกิดผู้เสียหายขึ้นจำนวนมากในอนาคต ซึ่งหากเรามีระบบแจ้งเตือนและเก็บประวัติข้อมูลเหล่านี้ไว้เสียหน่อยก็น่าจะทำให้สังคมออนไลน์ของเรามีความปลอดภัยมากขึ้น
ยิ่งไปกว่านั้นที่ต้องขอเตือนภัยในอนาคตสำหรับประเทศไทย โดยเฉพาะ นโยบายของรัฐบาลชุดใหม่นี้ มีเรื่อง Free Internet Wi-Fi ทั่วประเทศแล้ว จะพบว่าโอกาสที่จะมีการใช้อินเทอร์เน็ตในการสร้างอาชญากรรมคอมพิวเตอร์มากขึ้น โดยเฉพาะการที่ไม่ได้วางแผนเรื่องการระบุตัวตนผู้ใช้งานอินเทอร์เน็ต และการเก็บบันทึกข้อมูลจราจร (Log) ขึ้น
ดังนั้นผู้ใช้งานแบบตรงไปตรงมา หรือผู้ใช้ทั่วไปที่ไม่คิดจะคดโกงและทำร้ายทำลายใครในโลกอินเทอร์เน็ตเขาจะป้องกันภัยเหล่านี้ได้อย่างไร ส่วนหนึ่งที่เราเห็นคุณค่าแล้วก็คือการหยิบสถิติที่เราค้นพบขึ้นนี้มานำเสนอให้กับสังคมรับรู้ และจะเป็นกระบอกเสียงหนึ่งผ่านเว็บไซต์ www.sran.net ที่ช่วยเป็นหูเป็นตาสำหรับเครื่องไม้เครื่องมือที่จะใช้เป็นเครื่องมือก่อให้เกิดอาชญากรรมคอมพิวเตอร์ได้อีกทาง
นนทวรรธนะ สาระมาน
Nontawattana Saraman
สมัครสมาชิก:
บทความ (Atom)
