จากความเดิมตอนที่แล้ว ซึ่งทิ้งช่วงนานมาก ... ถือโอกาสนี้มาสานต่อเขียนให้จบ
Log files มีความสำคัญในการทำ "Incident Response" หรือภาษาไทยแปลได้ว่าการรับมือเมื่อเกิดสถานการณ์ฉุกเฉิน ซึ่งถือได้ว่าเป็นกระบวนการที่สำคัญที่ทุกองค์กรควรมีไว้
ดังนั้น Log files จึงต้องเก็บอย่างมีเหมาะสม และตรวจหาเหตุการณ์ที่เกิดได้
ที่กล่าวมาในตอนที่แล้วผมขอสรุปเพื่อสร้างเข้าใจดังต่อไปนี้
(1) Log files ที่เกิดจาก Local Host server ที่สำคัญ เช่น Authentication Server (Radius , LDAP) หรือการ Remote Access (VPN, RDP , SSH, FTP) , Proxy Server , Web Server , Internal Mail Server , Files Server เป็นต้น เหล่านี้ เราสามารถเก็บ Log ได้อย่างสมบูรณ์ได้ ไม่ยากเย็น เนื่องจากมาจากแหล่งที่มาของ Server ที่ตั้งอยู่กับเราเอง
ส่วนใหญ่ทุกองค์กรที่มีความพร้อมสามารถเก็บในส่วนนี้ได้
ซึ่งองค์กรไหนให้ความสำคัญมีงบประมาณในส่วนนี้ก็จะจัดเก็บได้ครบถ้วน
แต่มีจุดอันตรายที่อาจตกในบางจุดได้ เช่น Proxy Server ในอดีต องค์กรที่มีความพร้อมด้าน ICT นั้น ใช้ Proxy Server ในการทำ Caching เพื่อเพิ่มความเร็วในการเข้าถึงข้อมูลผ่าน HTTP และป้องกันภัยคุกคามเช่นพวก files ที่อาจติดเชื้อไวรัส จนมีสินค้าเกี่ยวกับการป้องกันภัยโดยทำตัวเป็น Proxy Server มาขายดิบขายดีในช่วงเวลาหนึ่ง ปัจจุบันการทำ Caching มีบทบาทลดลง เนื่องจากความเร็วอินเทอร์เน็ตที่สูงขึ้น Web Portal ขนาดใหญ่ลงทุนทำ CDN เช่น google , facebook , line แม้กระทั่ง pantip ก็ยังทำ CDN หมดแล้ว และ เว็บสำคัญใหญ่ๆ ตอนนี้เป็น HTTPS หมดแล้ว ป้องกันการ Strip ด้วย protocol HSTS ด้วย ดังนั้น Proxy Server ในองค์กรจึงแทบหมดความหมายไป ที่ผมกล่าวเช่นนี้เพราะ HTTPS ที่องค์กรต้องเพิ่มค่าใช้จ่าย (Cost) ในการทำ caching และ การ interception เพื่อตรวจหาภัยคุกคาม และ ค่าใช้จ่ายส่วนนั้นมากกว่าที่คิดมากครับ จึงอาจมีหลายองค์กร (ที่มีความพร้อมด้าน ICT) อาจไม่ลงทุนในส่วนนี้ก็เป็นไปได้
(2) Log file ที่เกิดจากอุปกรณ์ระบบเครือข่าย และระบบรักษาความมั่นคงปลอดภัยในระบบเครือข่าย อันได้แก่ Firewall , NIDS , NAC , Vulnerability Assessment / Management เป็นต้น ซึ่ง หากเป็นอุปกรณ์ Appliance สมัยใหม่ ก็จะมีค่า syslog ซึ่ง System admin สามารถที่จะทำการโยน Log file นั้นไปสู่อุปกรณ์เก็บ Log ที่ส่วนกลางได้
(3) Log ที่เกิดจากพฤติกรรมการใช้งานพนักงานภายใน ซึ่งส่วนนี้จริงๆแล้วก็เกิดจาก Firewall log ได้ หรือ Proxy log ได้ แต่ที่ผมยกมาเป็นหัวข้อนั้น เนื่องจากส่วนนี้เป็นปัญหาที่สุด เนื่องจากภัยคุกคามสมัยใหม่ได้มีการพัฒนาตัวในการส่งข้อมูลแบบเข้ารหัส (Encryption) เพื่อหลบการตรวจจับจากอุปกรณ์ด้านการรักษาความมั่นคงปลอดภัยชนิดต่างๆ ทั้งที่เป็นการเข้ารหัสผ่าน Protocol HTTPS , หรือทำ Tunnel VPN หรือ Tunnel SSH ออกไปสู่ข้างนอก ผ่าน port มาตรฐานที่ทุกองค์กรต้องเปิดออก
และเรื่องสำคัญสำหรับองค์กรไหนที่จำเป็นต้องใช้ Social Network อันนี้แทบไม่มีการเก็บ Log ถึงพฤติกรรมได้เลย อันเนื่องจากผู้ให้บริการ ที่เรียกว่า Content Provider นั้นอยู่ต่างประเทศทั้งหมดไม่ว่าเป็น Facebook , Line , google การเก็บเกี่ยวกับพฤติกรรมเหล่านี้จึงทำได้ยากขึ้น
ดังนั้น Log ที่มีคุณภาพ สำหรับองค์กร ที่ยังต้องใช้งาน Social Network จำเป็นต้องมองเห็นพฤติกรรมภายในการรับส่งข้อมูล HTTPS หรือไม่ ?
คำตอบ คือ จำเป็น แล้วเราจะทำอย่างไง ถึงจะเก็บข้อมูลตรงส่วนนี้ได้
ระดับ Firewall แบบ NG Next Generation ทุกตัวทำได้หมด แต่ราคาแพงสุดขั้ว และ Log ที่เก็บบันทึกในตัว Firewall หรือ Proxy ระดับสูงเหล่านี้ เมื่อดูที่ค่า syslog ของอุปกรณ์ก็จะพบว่ามีแต่ Log ด้านภัยคุกคาม (Threat data traffic log) จะ log พฤติกรรมทั่วไป ก็หามีไม่ เนื่องจากปริมาณ Log จะเยอะมาก
ดังนั้นในมุมการเก็บ Log ของต่างประเทศคือดูภัยคุกคามจริงๆ เช่นการแฮก การโจมตี Cyber attack เพื่อเยียวยาได้ทันท่วงที
แต่ Log สำหรับคนไทย กับต้องคำนึงถึง ภัยที่เกิดจากการเนื้อหาที่ส่งข้อมูลกัน เนื้อหานี้แหละเป็นภัยคุกคามด้านความมั่นคงของประเทศไทย ทั้งการหมิ่นประมาท การส่งภาพ คลิปเสียง และวิดีโอ การส่งข้อความไม่เหมาะสม หมิ่นต่อสถาบันและความมั่นคงของชาติ เป็นต้น ซึ่งต่างประเทศมองในจุดนี้ว่าเป็นลักษณะการทำ Lawful interception มากกว่า Log ที่ Centralization log management ที่เป็นอยู่ที่เน้นไปด้าน การเกิด Cyber attack , internal Fraud ที่เกิดขึ้นทางเทคนิค
แต่อย่างไรนั้นหากจำเป็นต้องเก็บ Log การใช้งาน Social network ภายในองค์กรจริงๆ นั้นสามารถทำได้
ซึ่งปัจจุบันทีมงาน SRAN เราได้พัฒนาตัวเก็บ Log ประเภทนี้ขึ้นมาเรียกว่า "Net Approved" ซึ่งราคาเข้าถึงได้ และเก็บข้อมูล Social Network จากการถอดค่า HTTPS ออกเป็นข้อมูลที่อ่านออกได้
ปัจจุบันทางเราได้ทำอยู่รุ่นเดียว หากสนใจติดต่อได้ที่ info at gbtech.co.th ได้ตลอด
นนทวรรธนะ สาระมาน
Nontawattana Saraman
SRAN Dev Team
วันเสาร์, เมษายน 11
วันอาทิตย์, กุมภาพันธ์ 1
Log ที่มีคุณภาพนั้นเป็นอย่างไร ตอนที่ 1
ซึ่งไม่ต่างอะไรกับ กล้องวงจรปิด (CCTV) ในร้านค้า เช่นเซเว่น อีเลฟเว่น (7 eleven) ก็จะมีกล้องวงจรปิด เพื่อเก็บบันทึกหลักฐานหากพบเหตุการณ์อันไม่ปกติ จะทำการสืบค้นหา วันเวลา หรือช่วงเวลา ที่เกิดเหตุเพื่อใช้เป็นหลักฐานในการหาผู้ที่กระทำความผิดมาลงโทษ
เช่นเดียวกันในระบบคอมพิวเตอร์ก็มีการเก็บบันทึก ที่เรียกว่า Log Files
Log จะเฉลยสาเหตุ เมื่อเกิดปัญหากับระบบคอมพิวเตอร์ รวมถึงระบบเครือข่ายคอมพิวเตอร์ หรือในกฏหมายเรียกว่า "ข้อมูลจราจรคอมพิวเตอร์"
ยามใดที่เกิดอันไม่ปกติเกิดขึ้น เราจำเป็นต้องต้องใช้ Log files ในการสืบค้นเพื่อหาที่มาที่ไปเหตุการณ์จากอดีตอันเป็นสาเหตุของปัญหา ร่องรอยของการกระทำความผิด
(1) การกระทำความผิดที่เกิดจากพฤติกรรมมนุษย์ (Human Instinct) เช่น การหลอกลวง , การขโมยข้อมูลด้วยเจตนา (ตั้งใจกระทำ) , การดักรับข้อมูลด้วยเจตนา (ตั้งใจกระทำ) ด้วยอาการ รัก โลภ โกรธ หลง อันเป็นเกิดจากปัจเจกบุคคล เป็นต้น
(2) การการะทำความผิดที่เกิดจากโปรแกรมไม่พึ่งประสงค์ (Malicious Software) เช่น การติดเชื้อไวรัสคอมพิวเตอร์ ที่เกิดเป็น "Cyber Attack" จากเครื่องหนึ่งขยายไปยังระบบเครือข่าย และไปยันระดับประเทศได้ในชั่วข้ามคืน เป็นต้น
ทั้งหมดนี้จะนำมาสู่การวิเคราะห์ถึงสาเหตุการเกิดเหตุการณ์และการลำดับเรื่องราวที่มีการบันทึกลงหากมีการจัดเก็บที่ถูกต้องจะมีประโยชน์ต่อการปฏิบัติงานได้อย่างมาก จึงถือได้ว่า Log File เป็นสิ่งสำคัญ ที่ทุกๆองค์กรควรมีเก็บบันทึกไว้ ตามกำลังงบประมาณที่มี
"การเก็บ Log เป็นสิ่งจำเป็นที่ต้องมีทุกองค์กร"
การเก็บ Log ไม่ใช่เพื่อจับผิดใคร ไม่ว่าเป็น กล่องดำในเครื่องบิน หรือ กล้องวงจรปิดในร้านค้า จนมาถึง Log file ในระบบคอมพิวเตอร์ จุดประสงค์ล้วนเหมือนกัน นั้นคือเป็นการเก็บบันทึกเรื่องราว เพื่อว่าเมื่อเกิดเหตุการณ์ที่ไม่พึ่งประสงค์ (1)และ(2) จะสามารถสืบค้นหาความเชื่อมโยงและค้นพบสาเหตุที่ถูกต้องได้ คงไม่มีใครมานั่งดูเหตุการณ์เหล่านี้ได้ตลอดเวลา ซึ่งไม่ก่อให้เกิดประโยชน์อันใดกับเวลาที่ต้องสูญเสียไป
ภาพการแสดงผล SRAN รุ่น Hybrid เป็นค่า RAW log ที่ได้รับค่า syslog
จาก Network Devices
ในอดีตตัวนี้มีการวางจำหน่ายและใช้งานตั้งแต่ช่วงปี
2551เป็นต้นไป
ในปัจจุบันการเก็บข้อมูลจราจรทางคอมพิวเตอร์ ได้ถูกบังคับให้มีการเก็บเพื่อว่าหากมีเหตุการณ์ต่างๆที่ไม่คาดคิดและอาจจะสร้างความเสียหายต่อบุคคลและองค์กรทั้งด้านเศรษฐกิจและสังคมนั้นเป็นสิ่งที่ทุกหน่วยงานไม่ว่าภาครัฐและเอกชน จำเป็นเก็บข้อมูลจราจรทางคอมพิวเตอร์
เนื่องด้วยเทคโนโลยีมีการปรับเปลี่ยนแปลงปัญหาใหม่และทำให้การเก็บ Log ตาม พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี พ.ศ. 2550 และ ตัวฉบับร่างใหม่ ปี พ.ศ. 2558 นั้นก็คือการที่ไม่สามารถมองเห็นข้อมูลที่เข้ารหัสผ่าน Protocol HTTPS ได้ซึ่ง Protocol ดังกล่าวจะเห็นได้ว่าใช้กับพวก Content Provider รายใหญ่ไม่ว่าเป็น Google , Facebook , Line , Twitter และอื่นๆก็จะเข้ารหัสกันหมดแล้ว ซึ่งส่วนมาก Social Network ที่เป็นที่นิยมสำหรับคนไทย จะใช้ Protocol ที่ติดต่อสื่อสารแบบเข้ารหัสทั้งเส้นทางหมดทุกตัว ไม่ว่าเป็น Google , Facebook , Line , Twitter , Youtube ทำให้ไม่สามารถแกะดูถึงการการกระทำได้ด้วยวิธีปกติ
เป็นผลทำให้ในองค์กรที่ต้องใช้งานอินเทอร์เน็ตแล้วยังมีความจำเป็นในการติดต่อสื่อสารโดยใช้ Google , Facebook , Line , Twitter และ Youtube นั้นก็ต้องมีการจัดเก็บ Log File ตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ไม่ว่าเป็นฉบับเก่าหรือฉบับใหม่ นั้นจำเป็นต้องมีการปรับตัวในบริษัทหรือหน่วยงานที่มีพนักงานมากกว่า 1 คนขึ้นไปจำเป็นต้องมีการเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์เพื่อแยกแยะได้ว่าใครเป็นใครใครคือผู้ใช้งาน เพื่อที่ให้ทราบถึงพฤติกรรมการใช้งานและการกระทำที่สามารถตรวจสอบได้และใช้เป็นหลักฐานประกอบการทำงานได้อย่างมีประสิทธิภาพ
เพื่อสร้างความเข้าใจถึงการเก็บ Log อย่างมีคุณภาพนั้นทำได้อย่างไรนั้น ซึ่งก่อนจะไปถึงจุดนั้นผมขอทำการอธิบายถึง ประเภทการเก็บ Log โดยแบ่งได้ดังนี้
1. การเก็บ Log สำหรับองค์กรขนาดใหญ่ ที่มีบริการสาธารณะ
2. การเก็บ Log สำหรับองค์กรขนาดกลาง ที่มีบริการสาธารณะ และไม่มีบริการสาธารณะ
3. การเก็บ Log สำหรับองค์กรขนาดเล็ก ที่มีบริการสาธารณะ และไม่มีบริการสาธารณะ
4. การเก็บ Log สำหรับผู้ให้บริการอินเทอร์เน็ต ISP
1. การเก็บ Log สำหรับองค์กรใหญ่ ที่มีบริการสาธารณะ (Public Access)
คำว่าบริการสาธารณะ นั้นคือ การที่ใครก็ได้ในโลกนี้สามารถเข้าถึงข้อมูลนี้ได้ผ่านช่องทางอินเทอร์เน็ต เช่น Web site ที่เป็น Public Domain , E-mail Server ที่เป็น Public Domain และอาจมีเช่นพวก File Server ที่เปิด Public Domain/IP , SSH , Remote Server อื่นๆที่สามารถเข้าถึงได้ผ่านช่องทางอินเทอร์เน็ต
องค์กรในระดับนี้ มีเกณฑ์วัดดังนี้
(1) มีอุปกรณ์ Network Devices ที่มากกว่า 1 จุดที่มีการเชื่อมต่ออินเทอร์เน็ต เช่นมี Public IP ในองค์กรมากกว่า 1 ค่า , มีสาขาในการ access ข้อมูล และมีการติดต่อสื่อสารผ่านอุปกรณ์หลายชนิด เช่น มี Router , Firewall , NIDS/IPS , Load Balancing เป็นต้น
(2) มีเครื่องแม่ข่าย (Server) ที่มีความสัมพันธ์กับการใช้งานของบุคคลากรในองค์กรมากกว่า 1 คนขึ้น และกระทบต่อธุรกิจเมื่อมีการหยุดชะงัก เช่น AD (Active Directory หรือ Domain Controller) , Proxy Server และ Files Server เป็นต้น
และ ที่มีการตั้งชุดค่า IP Public เพื่อเข้าถึงเครื่องแม่ข่าย เช่น Web Server , Mail Server ขององค์กรเอง
(3) เครื่องลูกข่ายที่ใช้งาน (Client) มีจำนวนเครื่องมากกว่า 200 เครื่องขึ้นไป เพื่อได้คำนวณถึง ค่า concurrent session , ปริมาณ Throughput , ปริมาณ Bandwidth ของการใช้งานได้เป็นอย่างน้อย
(เกณฑ์ในการวัดนี้ ผมประมาณจากประสบการณ์ส่วนตัว ไม่ได้อิงกับข้อมูลอื่นใด )
จะต้องมีการเก็บ Log อย่างน้อย 3 ส่วน ดังนี้
1.1 ส่วนที่เป็นการใช้งานภายในองค์กรเอง เนื่องจากองค์กรระดับนี้จะต้องมีเครือข่ายภายใน หรือเรียกว่า LAN โดยมีการเชื่อมต่ออินเทอร์เน็ตให้กับเครื่องคอมพิวเตอร์ทั้งที่เป็นพนักงานและเครื่องแม่ข่ายที่ใช้งานเช่น
- อุปกรณ์เครือข่าย (Network Device) เช่น Firewall , Router อุปกรณ์เสริมที่สร้างความปลอดภัยเช่น NIDS/IPS (Network Intrusion Detection and Prevention System)
- เครื่องแม่ข่ายที่สำคัญ (Server) เช่น Proxy Server , Radius Server หรือ Domain Controller , Anti-virus server , File Sharing , Print Server และระบบงาน ERP อื่นๆ เป็นต้น ที่ไม่เปิดให้ภายนอกองค์กรเข้าถึงข้อมูล
- เครื่องลูกข่าย (Client)
1.2 ส่วนที่เป็นการใช้งานภายนอกองค์กร และให้บริการสาธารณะ อันได้แก่ Web Site ที่เผยแพร่ข้อมูลข่าวสารองค์กร ไมว่าเป็นพวกที่จดโดเมน *.go.th , *.or.th , *.co.th , *.com , *.net หรือ *.org
1.3 ส่วนที่ใช้ Social Network ในการสื่อสารองค์กร ได้แก่ใช้ Line , Youtube , Google , Twitter , Instragram เป็นต้น
ซึ่ง Log ของพวกนี้ผมขอเรียกว่า Log จาก Content Provider ซึ่ง Log ส่วนนี้เราไม่สามารถนำมาได้เนื่องจากเป็นบริการจากต่างประเทศ (ส่วนนี้ยังเป็นปัญหาในการจัดเก็บเนื่องจากการติดต่อสื่อสารมีการเข้ารหัส)
การจัดเก็บ Log ต้องคำนึง ถึง 3 ส่วน
โดยส่วนใหญ่จะใช้ SIEM (Security Information Event Management) มาเก็บซึ่งราคาเริ่มต้น 7 หลัก
อันนี้ยังไม่รวมการติดตั้งการออกแบบ และการเก็บบันทึกข้อมูล ไฟล์ที่ต้องใช้เก็บจากอุปกรณ์ Storage ที่ออกแบบมาเพื่อการเก็บที่เหมาะสมตรงตามระยะเวลาตามกฎหมายกำหนดได้ ซึ่งในประเทศไทย ที่ทำแบบนี้จริงๆ และ Implement ถูกต้อง มีไม่มากเพราะต้องใช้ ทุนในการจัดซื้อมาก
ถึงมี หรือลงทุนไปแล้วก็ไม่ได้หมายว่า "Log ที่ได้เก็บบันทึกไว้นั้นจะมีคุณภาพ"
เพราะที่หลายคนเข้าใจที่คิดว่าการเก็บ Raw log ให้ครบนั้นจะเป็นการดี แต่ความเป็นจริงแล้ว เราต้องเผื่อเรื่องระบบจัดเก็บที่รองรับปริมาณข้อมูลของ Log จากอุปกรณ์ Devices , Server , Content อื่นๆ ที่ผมยกตัวอย่างมาในข้อ 1.1 - 1.3 ไป ได้ เอาเข้าจริงๆ ก็จะไปหยุดที่ต้องเพิ่ม Storage จนไม่สามารถทำให้ตัวอ่านข้อมูลทำงานได้อย่างเต็มประสิทธิภาพ สุดท้ายก็ไม่สามารถหาข้อมูลอะไรได้อย่างสะดวก ซึ่งดูแล้วอาจเป็นการลงทุนที่เกินความจำเป็น และไม่ได้ผลลัพธ์ตามต้องการ
ท่านลองหันไปดูว่าองค์กรของท่านถ้าเข้าข่ายเป็นองค์กรขนาดใหญ่ นั้นเมื่อเกิดเหตุการณ์ที่ต้องการค้นหา หรือ ต้องสงสัยที่เข้าข่ายการกระทำความผิดฯ ไม่ว่าเป็นการทุจริตของพนักงานในองค์กร หรือ การสร้างความเสียหายให้กับองค์กรโดยการโพสข้อมูลหมิ่นประมาท หรือเกิดภัยคุกคามทาง Cyber Attack หรือแม้กระทั่งติดเชื้อไวรัสในเครื่องคอมพิวเตอร์ และอื่นๆ ที่เมื่อเกิดเรื่องมักจะลงที่ Log เพื่อทำการค้นหา เมื่อค้นหาแล้วไม่เจอทั้งที่ได้ทำการลงทุนติดตั้งและซื้อเทคโนโลยีมากด้วยมูลค่าที่สูง
ซึ่งปัญหาเหล่านี้จะไม่เกิด หากเราเข้าใจการเก็บ Log อย่างมีคุณภาพ
ในตอนหน้าผมจะเริ่มการจัดเก็บ Log อย่างมีคุณภาพ นั้นทำได้อย่างไร ?
ให้เกิดประโยชน์สูงสุดกับองค์กรของเรา
โปรดติดตามตอนต่อไป ...
Nontawattana Saraman
นนทวรรธนะ สาระมาน
1 / 02 / 58
วันจันทร์, มกราคม 19
ในที่สุดเราก็มองเห็น HTTPS ด้วย SRAN {{ Net Approve }}
ก่อนหน้านี้ผมได้กล่าวไปแล้วเรากำลังอยู่ในยุคจุดจบ sniffer การดักรับข้อมูลทางระบบเครือข่าย จะไม่สามารถมองเห็นได้ง่ายอีกต่อไป เนื่องจากทุก Application ในอนาคตจะมีการเข้ารหัสผ่าน Protocol ที่ปลอดภัยมากขึ้น
จึงเป็นโจทย์ใหญ่ที่เราต้องเตรียมตัวรับมือ
- ไม่ว่าการเข้ารหัสของมัลแวร์บางชนิดที่ส่งข้อมูลผ่าน SSL หรือ HTTPS ออกไปนอกองค์กร
- การที่ไม่สามารถยืนยันการกระทำความผิดได้ภายในองค์กรและหน่วยงานที่ยังต้องใช้พวก Social Network ในการทำงาน อันเนื่องจากไม่สามารถส่ง ค่า syslog จาก Content Provider ในต่างประเทศส่งมาให้เราเก็บข้อมูลได้
- การไม่สามารถปิดกั้นเว็บเพจ URI ผ่าน HTTPS ได้
ผมและทีมงานได้ค้นคว้าและคิดว่าเราต้องทำอะไรสักอย่างเพื่อการมองเห็นสิ่งนี้
และการมองเห็นนี้จะไม่ได้ไปใช้ในทางที่ผิด แต่กลับเป็นประโยชน์กับหน่วยงาน องค์กร และบริษัท ที่จำเป็นต้องมองเห็นพฤติกรรมดังกล่าว
"HTTPS ควรมองเห็น" เพราะเราไม่มีทางได้ Log จากต่างประเทศได้ตลอดทุกกรณี มันเป็นเกมส์ด้านความมั่นคงระดับประเทศ แต่การมองเห็น HTTPS มันควรเกิดขึ้นกับองค์กร หรือบริษัท มิใช่ระดับประเทศเพราะนั้นมีคนอีกมากมายอาจได้รับผลกระทบทั้งที่เขาเสียค่าบริการ แต่อย่างไรก็ดีเสรีภาพก็ย่อมมาด้วยความรับผิดชอบ
ซึ่งผมชัดเจนว่า "ไม่ส่งเสริมให้ทำที่ Gateway ระดับประเทศนะครับ" แต่ควรจะทำในระดับองค์กรการเก็บ Log ที่ควรระบุตัวตนผู้ใช้งานที่แท้จริงได้ หรือไม่ก็ปิดกั้นการเข้าถึง Application ที่ไม่สามารถมองเห็นได้ไปเลย ซึ่งจะทำได้เฉพาะในระดับองค์กร ห้างร้าน โรงเรียน บริษัทขนาดเล็ก และขนาดกลาง หรือพื้นที่มีความเสี่ยงในการกระทำความผิด อันได้แก่ Free wifi ร้านอินเทอร์เน็ต เป็นต้น ส่วนองค์กรขนาดใหญ่ต้องมีการศึกษาและออกแบบระบบก่อนติดตั้งเครื่องมือ
จึงเป็นโจทย์ใหญ่ที่เราต้องเตรียมตัวรับมือ
- ไม่ว่าการเข้ารหัสของมัลแวร์บางชนิดที่ส่งข้อมูลผ่าน SSL หรือ HTTPS ออกไปนอกองค์กร
- การที่ไม่สามารถยืนยันการกระทำความผิดได้ภายในองค์กรและหน่วยงานที่ยังต้องใช้พวก Social Network ในการทำงาน อันเนื่องจากไม่สามารถส่ง ค่า syslog จาก Content Provider ในต่างประเทศส่งมาให้เราเก็บข้อมูลได้
- การไม่สามารถปิดกั้นเว็บเพจ URI ผ่าน HTTPS ได้
ผมและทีมงานได้ค้นคว้าและคิดว่าเราต้องทำอะไรสักอย่างเพื่อการมองเห็นสิ่งนี้
และการมองเห็นนี้จะไม่ได้ไปใช้ในทางที่ผิด แต่กลับเป็นประโยชน์กับหน่วยงาน องค์กร และบริษัท ที่จำเป็นต้องมองเห็นพฤติกรรมดังกล่าว
"HTTPS ควรมองเห็น" เพราะเราไม่มีทางได้ Log จากต่างประเทศได้ตลอดทุกกรณี มันเป็นเกมส์ด้านความมั่นคงระดับประเทศ แต่การมองเห็น HTTPS มันควรเกิดขึ้นกับองค์กร หรือบริษัท มิใช่ระดับประเทศเพราะนั้นมีคนอีกมากมายอาจได้รับผลกระทบทั้งที่เขาเสียค่าบริการ แต่อย่างไรก็ดีเสรีภาพก็ย่อมมาด้วยความรับผิดชอบ
ซึ่งผมชัดเจนว่า "ไม่ส่งเสริมให้ทำที่ Gateway ระดับประเทศนะครับ" แต่ควรจะทำในระดับองค์กรการเก็บ Log ที่ควรระบุตัวตนผู้ใช้งานที่แท้จริงได้ หรือไม่ก็ปิดกั้นการเข้าถึง Application ที่ไม่สามารถมองเห็นได้ไปเลย ซึ่งจะทำได้เฉพาะในระดับองค์กร ห้างร้าน โรงเรียน บริษัทขนาดเล็ก และขนาดกลาง หรือพื้นที่มีความเสี่ยงในการกระทำความผิด อันได้แก่ Free wifi ร้านอินเทอร์เน็ต เป็นต้น ส่วนองค์กรขนาดใหญ่ต้องมีการศึกษาและออกแบบระบบก่อนติดตั้งเครื่องมือ
"ระดับองค์กรทำได้เลย แต่ระดับประเทศยังไม่แนะนำ"
ภาพ ห้องปฎิบัติการ (LAB) เล็กๆจากงบประมาณจำกัดของเรา ที่ใช้ทำการทดสอบ SSL Capture บนระบบเครือข่าย
ภาพการติดตั้งยังคงเป็นแบบ Transparent โดยใช้อุปกรณ์เสริมเช่น อุปกรณ์ Net optics /Network TAP
เราพัฒนาบน SRAN รุ่น Hybrid แต่เราไม่ทำการรับ syslog มีการเปลี่ยน Function การทำงานให้มีการระบุตัวตนการใช้งานก่อนถึงจะเข้าถึงอินเทอร์เน็ตได้
เราตั้งชื่อตัวใหม่นี้ว่า "Net Approve" ผมตั้งใจเป็นชื่อนี้ เนื่องจากมันต้องยืนยันบางสิ่งบางอย่างก่อนได้รับการเข้าถึงข้อมูลหรือออนไลน์
โดยมีฟังชั่นการทำงานที่เพิ่มมา ดังนี้คือ
(1) การ Redirect traffic เพื่อการ Authentication โดยต้องมี accounting ในระบบและยืนยันการใช้งานโดย Data Owner ในองค์กร
(2) ตรวจความเคลื่อนไหวและเครื่องผิดปกติ (Rouge Detection) เครื่องแปลกปลอมในองค์กร
ทั้งนี้รวมถึงเครื่องที่มีโอกาสติดเชื้อมัลแวร์ (Malware) และ บอตเน็ต (Botnet) ด้วยเทคนิค "Passive Inventory"
(3) การมองเห็นข้อมูลจราจรแบบ SSL ที่ผ่าน HTTPS พร้อมการระบุตัวตน ด้วยเทคนิค "SSL Capture" โดยไม่ทำให้บราวเซอร์ของผู้ใช้งานมองเห็นว่าเป็นใบรับรองความปลอดภัยที่ถูกต้อง (หน้าจอ https เป็นสีเขียว)
(4) การเก็บบันทึกข้อมูลจราจรที่รองรับได้ตาม พรบ. คอมพิวเตอร์ ทั้งฉบับเก่าและฉบับร่างใหม่ พร้อมการยืนยันการเข้าถึงและสิทธิในการเข้าถึงชั้นข้อมูล
(5) การสรุปปริมาณ Application Traffic ที่ใช้ในองค์กร เป็นเมนูใหม่เรียกว่า "Application Monitoring" จะทำให้เราทราบถึงปริมาณ Bandwidth แต่ละ Application ที่ใช้ในองค์กรได้
ภาพฮาร์ดแวร์ต้นแบบ {{ Net Approve }}
ภาพหน้าแสดงข้อมูลของ SRAN : {{ Net Approve }} ผลิตภัณฑ์ใหม่ของกลุ่ม SRAN กับการมองเห็น HTTPS หรือ SSL ได้
จากภาพจะพบว่าตอบได้ครบถ้วน Who , What , Where , When Why (How)
ในบริษัทแห่งหนึ่งที่ต้องการเก็บบันทึกข้อมูลจราจรคอมพิวเตอร์ ตามกฎหมาย ไม่ว่าเป็นกฎหมายเก่าหรือที่จะเกิดขึ้นใหม่ สิ่งสำคัญก็คือการระบุตัวผู้กระทำได้ ไม่เช่นนั้นก็ไม่เกิดประโยชน์ในการหาหลักฐานเมื่อเกิดเหตุการณ์ที่ต้องการขอดู Log file ย้อนหลัง
บริษัท หรือ หน่วยงานต่างๆ ก็ถือได้ว่าเป็นผู้ให้บริการ (ที่หมายถึงผู้ให้บริการ ก็เนื่องจากมีผู้ใช้งานมากกว่า 1 คน) โดยมีพนักงาน หรือบุคลากรในองค์กรนั้น เป็นผู้ใช้บริการ IP ที่ได้รับจาก ISP นั้นเมื่อใช้งานต้องสามารถระบุได้ว่าใคร ทำอะไร ที่ไหน อย่างไร
ถึงเป็น Log file ที่มีคุณภาพ
Log files ที่ดีต้องระบุตัวตนผู้ใช้งานพร้อมทั้งทราบถึงการกระทำสิ่งใดอยู่ได้ หากเก็บเยอะ แถมยังลงทุนสูง แต่ระบุส่วนนี้ไม่ได้ จะไม่เกิดประโยชน์เลย ในการจัดทำเรื่องนี้ต้องคำนึงถึงส่วนนี้ให้มาก ไม่เช่นนั้นจะเป็นการลงทุนโดยไม่เกิดประโยชน์
"สำคัญที่สุดคือเมื่อเกิดเหตุอันไม่พึ่งประสงค์ ต้องรู้ให้ได้ว่าคือใคร เป็นผู้กระทำ"
ภาพหน้าจอผู้ใช้งานในองค์กรเมื่อเข้า facebook (เพจ https://www.facebook.com/Defamily.Router จะไม่พบความผิดปกติ
ภาพแสดงหน้าจอ Passive Inventory เทคนิคใหม่ที่เราไม่จำเป็นต้องใช้ Protocol ประเภท Network Management หรือ SNMP เราใช้แบบ Agent less คือไม่ต้องลงซอฟต์แวร์ใดๆ แต่สามารถเก็บข้อมูลบนระบบเครือข่ายได้
หน้าจอ Application Monitoring ที่สามารถบ่งบอกถึง Application ที่ผู้ใช้งานระบบสารสนเทศในองค์กรใช้ปริมาณ Bandwidth ซึ่งจะทำให้เราทราบถึงค่าการใช้งานที่เกินความจำเป็นได้
เราคาดว่า Net Approve จะพร้อมจำหน่ายในเดือนเมษายน ปีนี้
นนทวรรธนะ สาระมาน
Nontawattana Saraman
19/01/58
วันอังคาร, มกราคม 13
แนวโน้มและทิศทางภัยคุกคามทางไซเบอร์ ปี 2558
แนวโน้มและทิศทางภัยคุกคามทางไซเบอร์ ปี พ.ศ. 2558 มีดังนี้
1. อาชญากรทางอินเทอร์เน็ตจะเข้ามาใช้ darknet และฟอรัมที่เข้าถึงได้เฉพาะตัว เพื่อแบ่งปัน และขายโปรแกรมมุ่งร้าย
ปี 2557 ได้มีการบุกทำลายเครือข่ายมัลแวร์เกิดขึ้นหลายครั้ง รวมถึงกรณีของเครือข่าย GameOver และการโจมตี Citadel ต่อธนาคารหลายแห่งในญี่ปุ่น และการจับกุมกลุ่มผู้ควบคุม SpyEye ซึ่งเป็น command-and-control server พัฒนาการเหล่านี้จะทำให้การปกปิดตัวตน เป็นสิ่งจำเป็นในการก่ออาชญากรรมทางอินเทอร์เน็ต เนื่องจากผู้วิจัยด้านความปลอดภัยและผู้บังคับใช้กฏหมาย สามารถเข้าถึงแหล่งข้อมูลใต้ดินได้อย่างรวดเร็ว โดยเฉพาะกรณีของภาพคนดังที่เก็บอยู่ใน iCloud ที่ถูกบุกรุก และเผยแพร่ในเว็บ Reddit และ 4chan และไปอยู่ใน Deep Web ในท้ายที่สุด
การใช้ Deep Web และบริการ darknet หรือการใช้เครือข่ายที่ปกปิดตัวตนและไม่สามารถตามรอยได้อย่างเช่น Tor I2P และ Freenet เพื่อแลกเปลี่ยน ขายเครื่องมือ และบริการ ไม่เป็นสิ่งใหม่อีกต่อไป เราได้เห็นอาชญากรใช้ top level domain (TLD) เพื่อเป็นโดเมนทางเลือกเพื่อในการปกปิดตลาดใต้ดินเช่น Silk Road ซึ่งถูกปิดตัวลงโดยหน่วยสืบสวนกลางของสหรัฐ ฯ หรือเอฟบีไอ หลังจากการดำเนินงานได้สองปีครึ่ง
เรายังได้เห็นอาชญากรทางอินเทอร์เน็ต รับเอาเทคนิค targeted attack เพื่อนำมาใช้ในการหลบหลีกการตรวจจับที่ดีขึ้น อย่างที่เราได้ทำนายไว้ในปี 2556 ในแอฟริกา แสดงให้เห็นโดยการโจมตีช่องโหว่ที่เกี่ยวข้องกับ targeted attack ผ่านทางการแจกจ่ายมัลแวร์อย่างเช่น ZeuS อาชญากรยังได้ใช้ remote access tool (RAT) อย่างเช่น Blackshades ในการโจมตีเพิ่มขึ้น
ราคาของข้อมูลที่ได้จากการจารกรรมในตลาดใต้ดินลดลง เนื่องจากปริมาณสินค้ามีมากขึ้น ราคาเฉลี่ยของข้อมูลหมายเลขบัตรเครดิตลดลง จาก 3 ดอลลาร์ในปี 2554 เป็น 1 ดอลลาร์ในปี 2556 ข้อมูลบัญชีที่ถูกบุกรุกในตลาดใต้ดินของรัสเซียก็ลดลงด้วย ข้อมูลบัญชีเฟซบุ๊คที่มีราคาอยู่ที่ 200 ดอลลาร์ในปี 2554 ก็ขายเพียง 100 ดอลลาร์ในปี 2556 เนื่องจากมีผู้เล่นเข้ามาในระบบนิเวศของอาชญากรอินเทอร์เน็ตใต้ดินเพิ่มมากขึ้น ทำให้ราคาข้อมูลข่าวสารนี้ลดราคาลง อีกไม่นาน การหาลูกค้าขึ้นได้มากน้อย อยู่กับว่าใครสามารถให้ความมั่นใจกับผู้ซื้อได้ว่าจะไม่ถูกจับคาหนังคาเขา ผู้ขายจะขยับเข้าไปใต้ดินมากกว่าเดิม
เนื่องจากคนร้ายจะมุ่งเป้าหมายไปเว็บมากกว่าขึ้น บริษัทด้านความปลอดภัยและผู้บังคับใช้กฏหมายจึงต้องเพิ่มการจับกุมให้ครอบคลุมถึง Deep Web และ darknet ซึ่งจำเป็นต้องอาศัยความพยายามและการลงทุนเพิ่มขึ้น จำเป็นต้องมีหุ้นส่วนจากภาครัฐและเอกชนที่มากกว่าเดิม ในการขัดขวางการดำเนินการของอาชญากรอินเทอร์เน็ต บริษัทด้านความปลอดภัยจึงควรจัดหาข่าวกรองด้านภัยคุกคามต่อภัย เพื่อช่วยให้ผู้บังคับใช้กฏหมายจับผู้กระทำผิด ผู้ออกกฏหมายทั่วโลก จำเป็นต้องเห็นพ้องในการบัญญัติกฏหมายอาชญากรรมทางอินเทอร์เน็ต เพื่อช่วยเหลือผู้บังคับใช้กฏหมาย ไม่ว่าเขตอำนาจศาลจะเป็นอย่างไร เพื่อนำผู้กระทำผิดมาสู่กระบวนการยุติธรรม
2. กิจกรรมทางอินเทอร์เน็ตที่เพิ่มขึ้น จะกลายเป็นเครื่องมือและความพยายามในการโจมตี ที่ดีขึ้น ใหญ่ขึ้น และประสบความสำเร็จมากขึ้น
การเติบโตอย่างต่อเนื่องของกิจกรรมอินเทอร์เน็ตทั่วโลกหมายความว่า ปัจเจกบุคคลและหน่วยงานต่าง ๆ จะยังคงพ่ายแพ้ต่อภัยคุกคามและการโจมตีออนไลน์ อย่างไรก็ตาม อาชญากรทางอินเทอร์เน็ตจะให้ความสนใจกับเป้าหมายที่ใหญ่กว่า แทนที่จะเป็นปัจเจกบุคคล เนื่องจากมีผลประโยชน์ที่สูงกว่า
เราได้เห็นอาชญากรทางอินเทอร์เน็ตใช้มัลแวร์ RAM scrapers เพื่อขโมยข้อมูลลูกค้าหลายล้านระเบียนจากร้านค้าปลีกขนาดใหญ่ทั่วโลก ก่อนจบปี 2556 Target ได้ถูกขโมยข้อมูลบัตรเครดิตของลูกค้า 70 ล้านราย จากการโจมตีโดยใช้มัลแวร์ที่โจมตีระบบ PoS ไม่ได้มีเพียงแต่ Target เท่านั้นที่ถูกโจมตี ยังมีองค์การอื่น ๆ เช่น P.F. Chang ที่ประสบชะตากรรมเดียวกัน และหลายเดือนก่อนจบปีค.ศ. 2014 Home Depot ก็ได้กลายเป็นเหยื่อที่ถูกขโมยข้อมูลที่ใหญ่ที่สุด แทนที่ Target ไป องค์การที่ถูกบุกรุกสูญเสียข้อมูลของลูกค้า ความเสียหายต่อชื่อเสียง และเสียค่าใช้จ่ายสูง
ถึงแม้การบุกรุกส่วนใหญ่จะมีผลมาจากการโจมตีภายนอก แต่มีบางแห่ง เช่น การบุกรุก Amtrak ที่เกิดจากภัยคุกคามภายใน รายงานต่าง ๆ เปิดเผยว่า มีพนักงาน Amtrak คนหนึ่งที่ได้ขายข้อมูลส่วนตัวของผู้โดยสาร (personally identifiable information (PII)) กว่าสองทศวรรษก่อนที่จะถูกจับได้
เราจะได้เห็นเหตุการณ์การขโมยข้อมูลครั้งใหญ่สองครั้งหรือมากกว่าในแต่ละเดือน ธนาคารและสถาบันทางการเงิน และหน่วยงานที่เก็บรักษาข้อมูลของลูกค้า จะเป็นเป้าหมายดึงดูดการโจมตีเสมอ ดังนั้น เราจะได้เห็นถึงการเปลี่ยนแปลงผู้บริหารระดับสูงทุกครั้งที่พวกเขาพ้ายแพ้ต่อการโจมตี
ดังนั้นองค์การและปัจเจกบุคคลจะตอบสนองอย่างไร เป็นการดีที่สุดที่จะคาดคะเนถึงการถูกโจมตี บุคคลทั่วไปควรเปลี่ยนรหัสผ่านอย่างสม่ำเสมอ ส่วนองค์การต่าง ๆ ควรเฝ้าดูเครือข่ายของตนอย่างต่อเนื่อง เพื่อป้องกันภัยคุกคามทุกชนิด และช่องโหว่ที่อาจถูกใช้เพื่อโจมตีได้
การเฝ้ารอโซลูชั่น อย่างเช่นระบบการจ่ายเงินที่ปลอดภัยมากขึ้น และการใช้การลงโทษทางกฏหมาย ถึงแม้จะอยู่ระหว่างการดำเนินการ แต่ก็ไม่เพียงพออีกต่อไป การตระหนักถึงภัยคุกคามที่มีจึงเป็นสิ่งที่ต้องทำ รวมถึงการมีแผนบรรเทาและเยียวยาความเสียหายจากการบุกรุกที่พร้อมใช้งาน เพราะไม่มีใครปลอดภัยจากการบุกรุก
3. exploit kit จะมุ่งเป้าไปที่แอนดรอยด์ เนื่องจากช่องโหว่ในโทรศัพท์มือถือ จะเป็นบทบาทหลักในการแพร่กระจายในโทรศัพท์มือถือ
นอกจากการทำนายว่าภัยคุกคามของแอนดรอยด์ในปี 2558 จะเพิ่มขึ้นจากปัจจุบันเป็นสองเท่าแล้ว จำนวนของช่องโหว่ในโทรศัพท์มือถือ แพลตฟอร์มและแอป จะทำให้เกิดความเสี่ยงด้านความปลอดภัยมากขึ้น ข้อมูลที่เก็บอยู่ในโทรศัพท์มือถือจะตกอยู่ในมือของอาชญากรทางอินเทอร์เน็ต เพื่อใช้ในการโจมตีหรือเพื่อจำหน่ายในตลาดใต้ดิน
ช่องโหว่ที่เราได้พบไม่เพียงแต่อยู่ในอุปกรณ์เท่านั้น แต่ยังอยู่ในแพลตฟอร์มและแอป ภัยคุกคามแพลตฟอร์ม เช่นช่องโหว่เกี่ยวกับ master key ยอมให้อาชญากรอินเทอร์เน็ตสามารถแทนที่แอปที่ถูกต้อง ด้วยเวอร์ชั่นปลอมหรือมุ่งร้าย เมื่อถูกโจมตี แอปจ่ายเงินจากจากผู้ผลิตจีน จะยอมให้คนร้ายสามารถหลอกล่อขโมยข้อมูลจากผู้ใช้ได้
เราจะได้เห็นผู้โจมตีโทรศัพท์มือถือใช้เครื่องมือที่คล้ายกับ Blackhole Exploit Kit (BHEK) เพื่อใช้ประโยชน์จากปัญหาในแอนดรอยด์ เช่น ปัญหาที่เรียกว่า Android OS fragmentation ความสำเร็จของ BHEK และเครื่องมือที่คล้าย ๆ กันในการแพร่กระจายในคอมพิวเตอร์ที่ใช้ระบบปฏิบัติการต่าง ๆ กันจะช่วยให้อาชญากรทางอินเทอร์เน็ตสามารถโจมตีอุปกรณ์ที่ใช้แอนดรอยด์ เนื่องจากผู้ใช้ส่วนใหญ่ไม่สามารถอัพเดทระบบและซอฟท์แวร์ของพวกเขาได้อย่างสม่ำเสมอ คนร้ายอาจเปลี่ยนเส้นทางของอุปกรณ์ที่มีช่องโหว่ไปยังเว็บไซต์มุ่งร้าย เช่น การโจมตีที่ทำสำเร็จอาจทำให้พวกเขาสามารถเข้าถึงข้อมูลทั้งหมดที่เก็บอยู่ในอุปกรณ์ที่ได้รับผลกระทบ ที่แย่กว่าคือ เป็นที่รู้กันว่า exploit kit สามารถแพร่กระจายได้ในหลายแพลตฟอร์ม
เราจะได้เห็นจำนวนที่เพิ่มขึ้นของมัลแวร์โจมตีบริการทางธนาคารสำหรับโทรศัพท์มือถือ ต้นปีที่ผ่านมา เราเห็นอาชญากรทางอินเทอร์เน็ตที่อยู่เบื้องหลังการโจมตีที่เรียกว่า Operational Emmental ซึ่งหลอกล่อให้ลูกค้าธนาคารในยุโรป ให้ติดตั้งแอปแอนดรอยด์มุ่งร้าย เพื่อให้สามารถเข้าถึงบัญชีของพวกเขาได้ เราจะได้เห็นการโจมตีแบบนี้อีก ท่ามกลางความนิยมในการใช้บริการทางธนาคารสำหรับโทรศัพท์มือถือที่เพิ่มขึ้น
ภัยคุกคามทางคอมพิวเตอร์แบบดั้งเดิม อย่างเช่น ransomware และยุทธวิธีอย่างเช่น การใช้บริการ darknet จะมีส่วนร่วมในส่วนของโทรศัพท์มือถือ เราได้เห็น ransomware สำหรับโทรศัพท์มือถือตัวแรกไปแล้วในรูปแบบของมัลแวร์ REVETON ในปีที่ผ่านมา พร้อมกับมัลแวร์ที่ใช้ Tor เพื่อหลบหลีกการตรวจจับที่ดีกว่าเดิม
การติดตั้งแอปและการเยี่ยมชมเว็บไซต์มุ่งร้าย จะไม่เป็นเพียงหนทางเดียวในการแพร่กระจายมัลแวร์ผ่านโทรศัพท์มือถือ การโจมตีช่องโหว่ผ่านทางแพลตฟอร์มต่าง ๆ จะเป็นภัยคุกคามกับโทรศัพท์มือถือมากขึ้น ผู้จำหน่ายผลิตภัณฑ์ด้านความปลอดภัยจึงควรขยายการป้องกันการโจมตีช่องโหว่ ที่สามารถป้องกันโทรศัพท์มือถือ ในท้ายที่สุดผู้ผลิตโทรศัพท์มือถือและผู้ให้บริการ ควรทำงานใกล้ชิดกันมากขึ้น เพื่อหาโซลูชั่นในการแก้ไขช่องโหว่ เพื่อป้องกันการแพร่กระจายมัลแวร์และการขโมยข้อมูล
4. targeted attack จะเป็นอาชญากรรมทางอินเทอร์เน็ตที่เกิดขึ้นแพร่หลาย
การโจมตีแบบ targeted attack ที่ประสบความสำเร็จ และเป็นข่าวดัง จะทำให้เกิดการตระหนักว่าการโจมตีทางอินเทอร์เน็ตเป็นวิธีในการหาข่าวกรองที่ได้ผล การโจมตีแบบ targeted attack จะไม่เชื่อมโยงกับสหรัฐฯ หรือรัสเซียเท่านั้น เราได้เห็นการโจมตีที่มีต้นกำเนิดมาจากประเทศอื่น ๆ เช่น เวียตนาม อินเดีย และสหราชอาณาจักร เราได้เห็นผู้ก่อภัยคุกคามที่มุ่งเป้าหมายการโจมตีไปที่ อินโดนีเซีย และมาเลเซียเช่นเดียวกัน
ภายในสองสามปี เราจะได้เห็นต้นตอ และเป้าหมายการโจมตีที่หลากหลายมากขึ้น โดยมีแรงจูงใจในการโจมตีที่หลากหลาย โดยเป้าหมายหลักยังคงเป็นข้อมูลรัฐบาลระดับลับสุดยอด ข้อมูลทางด้านการเงิน ทรัพย์สินทางปัญญา พิมพ์เขียวทางอุตสาหกรรม และสิ่งอื่น ๆ ที่คล้ายกัน
ถึงแม้การโจมตี targeted attack ส่วนใหญ่ที่เห็นในปัจจุบันจะเริ่มต้นด้วยการใช้อีเมลแบบ spear-phishing หรือ watering hole โซเชียลมีเดียจะถูกใช้เป็นอีกหนึ่งหนทางหนึ่งในการแพร่กระจายในอนาคตเพิ่มขึ้น ผู้ก่อภัยคุกคามจะสำรวจความเป็นไปได้ในการโจมตีช่องโหว่ในเราเตอร์ เพื่อใช้เป็นวิธีในการเข้าถึงเครือข่ายเป้าหมาย องค์การที่ตกเป็นเป้าหมายในอดีตไม่ควรประมาท เพราะว่าพวกเขาเคยถูกบุกรุกมาก่อน ไม่ได้หมายความว่าพวกเขาจะปลอดภัยจากการโจมตีในอนาคต ผู้ก่อภัยคุกคามอาจใช้เครือข่ายนี้เพื่อโจมตีเป้าหมายที่ใหญ่กว่า ซึ่งอาจเป็นหุ้นส่วนหรือลูกค้า
จะเกิดความต้องการโซลูชั่นแบบคลาวด์ ที่สามารถป้องกันตัวเองจากความเสี่ยงได้ ความนิยมของโซลูชั่นทางด้านเครือข่ายอย่างเช่นไฟร์วอลล์และ unified threat management (UTM) จะลดลง ระบบการวิเคราะห์ด้านความปลอดภัยที่ดีขึ้นจะเป็นส่วนสำคัญมากในการต่อสู้กับ targeted attack องค์การต่างๆ ควรตระหนักถึงสิ่งที่เป็นภาวะปกติ และตั้งไว้เป็นพื้นฐาน (baseline) เมื่อต้องเฝ้าดูภัยคุกคาม เทคโนโลยีด้านความปลอดภัยแบบดั้งเดิมหรือธรรมดาทั่วไป จะไม่เพียงเพียงพออีกต่อไป
5. วิธีใหม่ในการจ่ายเงินผ่านมือถือจะทำให้เกิดภัยคุกคามใหม่ขึ้นมา
การวางจำหน่าย Iphone 6 พร้อมกับระบบจ่ายเงินดิจิตัลแบบใหม่ที่เรียกว่า Apple Pay ในขณะเดียวกันกับการใช้งานเพิ่มขึ้นของ Google Wallet และวิธีจ่ายเงินอื่น ๆ ที่คล้ายกัน จะเป็นตัวเร่งให้การจ่ายเงินผ่านโทรศัพท์มือถือให้กลายเป็นกระแสหลัก เราจะได้เห็นภัยคุกคามใหม่ที่มุ้งเป้ามาที่แพลตฟอร์มการจ่ายเงินผ่านโทรศัพท์มือถือในไม่กี่เดือนข้างหน้า เหมือนกับช่องโหว่ FakeIP ในแอนดรอยด์ที่ยอมให้อาชญากรทางอินเทอร์เน็ตสามารถขโมยบัญชีผู้ใช้ Google Wallet ได้
ปีที่ผ่านมา แอป WeChat ยอมให้ผู้ใช้สามารถซื้อสินค้าโดยใช้ “เครดิต” (credits) ถ้าบริการนี้ได้รับความนิยม เราจะได้เห็นคนร้ายใช้ประโยชน์จากช่องโหว่จากแอปที่คล้ายกัน เพื่อขโมยเงินจากผู้ใช้
ถึงแม้เราจะยังไม่ได้เห็นความพยายามในการโจมตีระบบ Apple Pay ซึ่งประกอบด้วย NFC (near-field communications) และ Passbook ซึ่งเก็บข้อมูลบัตรเครดิตของผู้ใช้ อาจสันนิษฐานได้ว่าในขณะนี้ คนร้ายกำลังหาช่องโหว่เพื่อโจมตี Apple Pay รวมถึงกำลังตรวจสอบ NFC เช่นเดียวกัน
เพื่อให้ปลอดภัยจากภัยคุกคามที่กำลังปรากฏขึ้น ผู้ใช้งานควรปฏิบัติตามหลักความปลอดภัยในการใช้คอมพิวเตอร์ โดยเฉพาะที่เกี่ยวข้องกับการใช้ NFC บุคคลทั่วไปที่ใช้ NFC reader ผ่านทางโทรศัพท์มือถือ ควรปิดการทำงานเหล่านี้ เมื่อไม่ใช้งาน การล็อคอุปกรณ์จะช่วยป้องกันไม่ให้ตกเป็นเหยื่อ องค์การที่รับการจ่ายเงินผ่านโทรศัพท์มือถือ ควรติดตั้งและใช้โซลูชั่นด้านความปลอดภัยที่ป้องกันจากภัยคุกคามด้าน NFC และด้านอื่น ๆ ที่เกี่ยวข้อง
6. เราจะได้เห็นความพยายามค้นหา และโจมตีช่องโหว่ในซอฟท์แวร์โอเพ่นซอร์ส
ช่องโหว่ในโปรโตคอลแบบโอเพ่นซอร์สเช่น Heartbleed และการประมวลผลคำสั่งอย่าง Shellshock ที่ตรวจไม่พบมาเป็นเวลาหลายปี ได้ถูกโจมตีเป็นอย่างหนักในปีที่ผ่านมา นำไปสู่ผลเสียหายร้ายแรง ไม่กี่ชั่วโมงหลังจากมีการค้นพบช่องโหว่ Shellshock เราได้เห็น payload ของมัลแวร์ในวงกว้าง พบการโจมตีแบบ Distributed denial-of-service (DDoS) และ Internet Relay Chat (IRC) bots ที่เกี่ยวข้องกับการโจมตีช่องโหว่นี้ ซึ่งสามารถทำความเสียหายให้กับการดำเนินธุรกิจ การโจมตีนี้มีผลกระทบมากกว่าการโจมตีผ่านทางเว็บ ยังทำให้ผู้ใช้ลีนุกซ์และแอป ที่ต้องอาศัยโปรโตคอลอย่างเช่น HTTP, FTP และ DHCP ตกอยู่ในความเสี่ยงอีกด้วย
ช่องโหว่ Shellshock ทำให้นึกถึงช่องโหว่ Heartbleed ที่โจมตีผ่านทาง World Wide Web ซึ่งทำให้เว็บไซต์และแอปทางมือถือจำนวนมากที่ใช้ Open SSL ตกอยู่ในความเสี่ยงเมื่อต้นปีที่ผ่านมา การสแกน Top Level Domain (TLD) จำนวน 1 ล้านชื่อจากข้อมูลของ Alexa พบว่าร้อยละ 5 มีช่องโหว่แบบ Heartbleed เมื่อถูกโจมตี ช่องโหว่นี้จะยอมให้ผู้โจมตีสามารถอ่านส่วนของความจำในเครื่องคอมพิวเตอร์ที่ได้รับผลกระทบ ซึ่งอาจมีข้อมูลข่าวสารที่เป็นความลับอยู่
ผู้โจมตีจะยังคงค้นหาช่องโหว่แบบเดียวกับ Heartbleed และ Shellshock ในปีที่กำลังจะมาถึง พวกเขายังคงตรวจสอบแพลตฟอร์ม โปรโตคอล และซอฟท์แวร์บ่อย ๆ และอาศัยข้อปฏิบัติในการเขียนโค้ดอย่างไม่รับผิดชอบ เพื่อเข้าถึงเป้าหมายของพวกเขา อย่างในปี 2556 เราได้เห็นช่องโหว่ในเว็บมากขึ้น รวมถึง injection, cross-site-scripting (XSS) และการโจมตีทาง web apps อื่น ๆ เพื่อขโมยข้อมูลความลับ การโจมตีเช่นที่เกิดขึ้นกับ JPMorgan Chase & CO ทำให้ข้อมูลลูกค้ากว่า 70 ล้านรายตกอยู่ในความเสี่ยง กรณีเช่นนี้จะยังคงเกิดขึ้นต่อไป
การพัฒนาความปลอดภัยอย่างต่อเนื่องใน Microsoft Windows และระบบปฏิบัติการที่มีชื่อเสียงอื่น ๆ จะนำไปสู่การลดลงของช่องโหว่ในระบบปฏิบัติการของพวกเขา จะทำให้ผู้โจมตีหันเหความสนใจไปที่การหาช่องโหว่ในแพลตฟอร์มโอเพ่นซอร์สแทน และแอพพลิเคชั่นอย่างเช่น OpenSSL v3 และ OS kernel บุคคลทั่วไป และองค์การต่าง ๆ สามารถป้องกันตัวเองโดยการ patch และอัพเดทระบบและซอฟท์แวร์ของพวกเขาอยู่เสมอ นอกจากนี้ยังมีการแนะนำให้ลงทุนในโซลูชั่นด้านความปลอดภัยแบบ intelligence-base ที่หนุนโดยแหล่งข้อมูลข่าวสารภัยคุกคามที่ได้รับความเชื่อระดับโลกมากขึ้น ซึ่งสามารถขัดขวางความพยายามในการโจมตีช่องโหว่ได้ ถึงแม้จะยังไม่มี patch สำหรับแก้ไขช่องโหว่นั้นออกมาก็ตาม
7. ความหลากหลายทางเทคโนโลยีจะช่วยป้องกันอุปกรณ์แบบ Internet of Everything / Internet of Things (IoE/IoT)
จากการโจมตีขนาดใหญ่ แต่จะไม่ช่วยป้องกันข้อมูลที่พวกมันประมวลผลได้ผู้โจมตีจะหาอุปกรณ์เป้าหมาย IoE/IoT ที่สามารถโจมตีได้ เพราะความเป็นไปได้ในการใช้งานที่ไม่จำกัดของมัน เราจะได้เห็นการนำอุปกรณ์อัจฉริยะมาใช้งานมากขึ้น อย่างเช่น กล้องถ่ายรูปและทีวีอัจฉริยะ ภายในไม่กี่ปีข้างหน้านี้ พร้อมกับการโจมตีผู้ใช้งานอุปกรณ์เหล่านี้ เนื่องจากมีการกดดันจากตลาดที่ทำให้ผู้ผลิตอุปกรณ์ต้องออกผลิตภัณฑ์อัจฉริยะ เพื่อตอบสนองกับความต้องการที่เพิ่มขึ้น ดังน้นผู้โจมตีจึงเพิ่มการค้นหาช่องโหว่เพื่อประโยชน์ของตน
ถึงแม้จะมีการทำระบบอัจฉริยะให้กับอุปกรณ์ต่าง ๆ มากมาย แต่การโจมตีอุปกรณ์อัจฉริยะที่เราจะได้เห็น รวมทั้งในอุปกรณ์สวมใส่ได้ และอุปกรณ์ IoE/IoT อื่น ๆจะไม่ได้เกิดจากแรงจูงใจด้านการเงิน แต่จะเกิดจากการค้นคว้าวิจัยจากพวก whitehat ที่ต้องการเน้นให้เห็นความเสี่ยงและช่องโหว่ด้านความปลอดภัย เพื่อให้ผู้ผลิตสามารถปรับปรุงผลิตภัณฑ์ของพวกเขาได้ โดยเฉพาะวิธีที่พวกเขาจัดการกับข้อมูล เมื่อใดก็ตามที่อุปกรณ์เหล่านี้ถูกเจาะเพื่อจุดประสงค์อื่นนอกเหนือไปจากการแสดงให้เห็นช่องโหว่ เมื่อนั้นอาชญากรทางอินเทอร์เน็ตจะใช้การโจมตีแบบ sniffer, denial-of-service (DoS - ความพยายามในการทำให้บริการออนไลน์ให้บริการไม่ได้ โดยการทำให้การจราจรในเครือข่ายท่วมท้น จากการติดต่อสื่อสารจำนวนมากมายมาที่เป้าหมาย) และ man-in-middle (MiTM - การดักจับการสื่อสารระหว่างสองระบบ)
เนื่องจากอุปกรณ์ IoE/IoT ยังคงมีความหลากหลายมากเกินไป และยังไม่มี “killer app” เกิดขึ้น คนร้ายจึงยังไม่สามารถเริ่มการโจมตีได้อย่างแท้จริง ผู้โจมตีจึงมีแนวโน้มจะต้องการข้อมูลที่เก็บอยู่ในอุปกรณ์เหล่านี้มากกว่า ในปี 2558 เราคาดว่าผู้โจมตีจะเจาะฐานข้อมูลของผู้ผลิตอุปกรณ์อัจฉริยะ เพื่อขโมยข้อมูลข่าวสารในรูปแบบเดียวกับการโจมตีทางอินเทอร์เน็ตทั่วไป
อย่างไรก็ตาม จากการช่วยเหลือโดยการก่อตั้ง Open Interconnect Consortium (IOC) และการเปิดตัว HomeKit เราคาดหวังจะได้เห็นการเปลี่ยนแปลง เนื่องจากมีโปรโตคอลและแพลตฟอร์มต่างๆ ปรากฏตัวออกมาอย่างช้า ๆ เนื่องจากผู้โจมตีเริ่มเข้าใจถึงระบบนิเวศของ IoE/IoT มากขึ้น พวกเขาจะใช้วิธีการที่น่ากลัวมากขึ้นโดยใช้มัลแวร์ เพื่อข่มขู่เอาเงินจากผู้ใช้อุปกรณ์เหล่านี้ ตัวอย่างเช่น พวกเขาอาจขู่กรรโชกผู้ขับขี่รถยนต์อัจฉริยะ จนกระทั่งเจ้าของรถยนต์ยอมจ่ายเงิน เมื่อรถดังกล่าวออกวางตลาดในปี 2558 ดังนั้นผู้ผลิตรถยนต์อัจฉริยะจึงควรออกแบบระบบเครือข่ายในรถยนต์อัจฉริยะ ให้มีการป้องกันผู้ใช้จากภัยคุกคามดังกล่าวด้วย
8. ภัยคุมคามธนาคารออนไลน์และทางการเงินอื่น ๆ จะเกิดขึ้น
ข้อปฏิบัติด้านความปลอดภัยที่เปราะบาง แม้แต่ในประเทศที่พัฒนาแล้วอย่างสหรัฐ ฯ อย่างเช่นการไม่บังคับใช้ two-factor authentication และการใช้เทคโนโลยี Chip-and-PIN มีส่วนทำให้เกิดภัยคุกคามต่อบริการธนาคารทางอินเทอร์เน็ตและทางการเงินอื่น ๆ ที่เพิ่มขึ้น
เราได้เห็นจำนวนที่เพิ่มขึ้นของมัลแวร์ที่โจมตีบริการธนาคารทางอินเทอร์เน็ต ตลอดช่วงครึ่งปีแรกของค.ศ. 2014 นอกจากมัลแวร์ ZeuS ที่ขโมยข้อมูลแล้ว VAWTRAK ยังกระทบกับลูกค้าที่ใช้บริการธนาคารทางอินเทอร์เน็ตจำนวนมากมาย โดยเฉพาะในญี่ปุ่น ปฏิบัติการการโจมตีที่ซับซ้อนอย่าง Emmental ก็ได้พิสูจน์ให้เห็นว่า แม้แต่การใช้มาตรการ two-factor authentication ที่ธนาคารใช้ก็อาจยังมีช่องโหว่ได้
ในอีกไม่กี่ปีข้างหน้า อาชญากรทางอินเทอร์เน็ตจะไม่เพียงแต่เปิดการโจมตีโดยใช้แรงจูงใจทางการเงินกับผู้ใช้คอมพิวเตอร์เพียงเท่านั้น แต่จะมุ่งมาที่ผู้ใช้โทรศัพท์มือถือเช่นเดียวกัน พวกเขามีแนวโน้มที่จะใช้แอปปลอมและ Domain Name System (DNS) และโจมตี phishing กับผู้ใช้โทรศัพท์มือถือ คล้ายกับที่เราเคยเห็นในอดีต พวกเขาจะไม่หยุดอยู่กับการเข้าถึงบัญชีธนาคารทางอินเทอร์เน็ตเท่านั้น แต่จะไปไกลถึงการขโมยเอกลักษณ์ส่วนบุคคลด้วย และจะเป็นภัยคุมคามทางโทรศัพท์มือถือที่ตรวจจับได้ยากมากยิ่งขึ้น โดยใช้เทคนิคหลบหลีกการตรวจจับคล้ายกับมัลแวร์ในคอมพิวเตอร์
ความสำเร็จของการโจมตีแบบ targeted attack ในการได้มาซึ่งข้อมูลของผู้ใช้ยังดลบัลดาลให้อาชญากรทางอินเทอร์เน็ตใช้การสอดแนมที่ดีขึ้น เพื่อให้สามารถทำเงินได้มากกว่าเดิม
ภัยคุกคามด้านบริการธนาคารทางอินเทอร์เน็ตที่กำลังเติบโตขึ้นเรื่อย ๆ ควรเป็นแรงผลักดันให้ปัจเจกบุคคลและองค์การต่าง ๆ ใช้มาตรการ two-factor authentication และ hardware หรือ session token ที่ธนาคารและสถาบันการเงินต่าง ๆ ให้มา ผู้ให้บริการบัตรจ่ายเงินในสหรัฐ ฯและประเทศอื่น ๆ ควรใช้การป้องกันข้อมูลโดยการใช้บัตรแบบ Chip-and-PIN
คำศัพท์
darknet เป็นเครือข่ายส่วนตัวซึ่งจะมีการเชื่อมโยงเกิดขึ้นจากคอมพิวเตอร์ระดับเดียวกันที่ให้ความเชื่อถือกัน บางครั้งเดียวว่า "friends" (F2F) โดยใช้โปรโตคอลและพอร์ตที่ไม่เป็นมาตรฐาน darknet แตกต่างจากเครือข่ายแบบ peer-to-peer แบบกระจาย เนื่องจากใช้การแบ่งปันกันที่ไม่เปิดเผยตัว (ไม่มีการเปิดเผย IP address)
Deep Web (ยังเรียกด้วยว่า Deepnet หรือ Invisible Web หรือ Hidden Web) เป็นเนื้อหาส่วนหนึ่งของ World Wide Web ที่ search engine มาตรฐานไม่ได้ทำดัชนีไว้ Mike Bergman ผู้ที่คิดวลีนี้ ได้กล่าวไว้ว่า การค้นหาในอินเทอร์เน็ตอาจเปรียบได้กับการลากแหไปทั่วพื้นมหาสมุทร อาจจะพบอะไรได้มากในอินเทอร์เน็ต แต่ยังมีข้อมูลข่าวสารที่อยู่ลึกและยังไม่ค้นพบ ข้อมูลข่าวสารในเว็บโดยส่วนใหญ่จะถูกฝังลึก และ search engine มาตรฐานไม่สามารถค้นพบได้ search engine แบบดั้งเดิมไม่สามารถเห็น หรือเรียกคืนเนื้อหาใน deep web ส่วนของเว็บที่ search engine มาตรฐานทำดัชนีไว้เรียกว่า Surface Web
Tor เป็นซอฟท์แวร์แจกฟรี ทำให้ผู้ใช้สามารถท่องอินเทอร์เน็ตโดยไม่ต้องเปิดเผยตัวตน ดังนั้นหน่วยงานรัฐบาล บริษัท หรือคนอื่น ๆ จึงไม่สามารถค้นหากิจกรรมและที่ตั้งของพวกเขาได้
targeted attack เป็นการโจมตีที่มุ่งเป้าไปที่ผู้ใช้คนใดคนหนึ่ง บริษัทหนึ่ง หรือองค์การหนึ่ง การโจมตีเหล่านี้ไม่ได้แพร่ไปทั่ว แต่จะออกแบบมาเพื่อโจมตี และบุกรุกเป้าหมายหนึ่งโดยเฉพาะ
Point of Sale หรือที่เรียกกันสั้น ว่า POS นั้น คือการเก็บข้อมูลการขาย และข้อมูลการจ่ายเงินที่เกิดขึ้น เมื่อมีการขายสินค้าหรือบริการ โดยทั่วไปแล้ว POS นั้นจะมีความเกี่ยวข้องกับเทคโนโลยีหรืออุปกรณ์เช่น คอมพิวเตอร์ การอ่านบาร์โค๊ต การอ่านแถบแม่เหล็ก หรือ หลาย ๆ เทคโนโลยีผสมกัน
Android OS fragmentation การที่มีจำนวนของแพลตฟอร์มแอนดรอยด์ที่สร้างขั้นมาโดยเฉพาะเกิดขึ้นมากมาย ทำให้เกิดความกังวลว่าความสามารถในการทำงานร่วมกันจะด้อยลง เป็นผลเนื่องมาจากความเป็นไปได้ที่แอพพลิเคชั่นที่สร้างขึ้นมาสำหรับแอนดรอยด์แพลตฟอร์มหนึ่งโดยเฉพาะ หรือการที่อุปกรณ์หนึ่งไม่สามารถทำงานร่วมกันกับอุปกรณ์แอนดรอยด์อื่น ๆ ได้
Ransomware เป็นมัลแวร์ที่จำกัดการเข้าถึงคอมพิวเตอร์ที่มันเข้าไปควบคุม และเรียกร้องค่าไถ่สำหรับผู้สร้างมัลแวร์ เพื่อให้ผู้ใช้สามารถใช้งานคอมพิวเตอร์ได้ตามเดิม ransomware บางรูปแบบใช้การเข้ารหัสไฟล์ในฮาร์ดไดรฟ์ของระบบ บางแบบอาจทำเพียงแต่ยึดระบบ และแสดงข้อความเพื่อให้ผู้ใช้จ่ายเงินให้
Spear-phishing เป็นความพยายามหลอกลวงผ่านทางอีเมล โดยมีเป้าหมายที่องค์การหนึ่งโดยเฉพาะ เพื่อให้สามารถเข้าถึงข้อมูลความลับโดยไม่ได้รับอนุญาต โดยปกติแล้วจะไม่เกิดจากผู้บุกรุกทั่วไปแบบสุ่ม แต่จะเกิดจากคนร้ายที่หวังได้รับผลตอบแทนทางการเงิน หรือเพื่อขโมยความลับทางการค้า หรือข้อมูลข่าวสารทางทหาร
Watering hole เป็นกลยุทธ์หนึ่งในการโจมตีคอมพิวเตอร์ ซึ่งเหยื่อจะเป็นกลุ่มหนึ่งโดยเฉพาะ ในการโจมตีนี้ ผู้โจมตีจะเดาหรือสังเกตการณ์ว่าเว็บไซต์ใดที่กลุ่มนี้ใช้อยู่ และแพร่กระจายมัลแวร์เข้าไปในเว็บไซต์เหล่านี้ ในที่สุดสมาชิกบางคนในกลุ่มเป้าหมายก็จะถูกโจมตีด้วยมัลแวร์
UTM เป็นวิวัฒนาการของไฟร์วอลล์แบบดั้งเดิม มาเป็นผลิตภัณฑ์ที่รวมทุกอย่างเข้าไว้ด้วยกัน ที่สามารถทำงานด้านความปลอดภัยหลายอย่างในเครื่องเดียว ได้แก่ network firewalling, network intrusion prevention และ gateway antivirus (AV), gateway anti-spam, VPN, content filtering, load balancing, data leak prevention และ on-appliance reporting
NFC เป็นเทคโนโลยีสื่อสารไร้สายระยะสั้นระยะประมาณ 4 ซม. ที่ใช้ได้ดีกับโครงสร้างพื้นฐานแบบไร้สัมผัส ช่วยสนับสนุนรองรับการสื่อสารระหว่างเครื่องมืออิเล็กทรอนิกส์ในระยะใกล้ๆ การประยุกต์ใช้งานส่วนใหญ่มักนำ NFC มาใช้กับการชำระเงินที่ต้องการความรวดเร็วและมีมูลค่าไม่สูง ซึ่งจะทำให้โทรศัพท์เคลื่อนที่ สามารถใช้เพื่อการชำระเงิน โดยวิธีการแตะบนเครื่องอ่านหรือเครื่องชำระเงิน เช่น การให้บริการในร้านอาหารจานด่วน ร้านขายสินค้า ระบบการซื้อขายตั๋ว และระบบการแลกเปลี่ยนข้อมูลแบบ peer-to-peer เช่น เพลง เกม และรูปภาพ การชำระเงินค่าโดยสารในระบบขนส่งมวลชน เป็นต้น การชำระเงินแบบไร้สัมผัสนี้ก่อให้เกิดการชำระเงินที่ง่ายและรวดเร็ว ลดการเข้าคิวชำระเงินในร้านค้า ห้างสรรพสินค้า และร้านสะดวกซื้อต่างๆ
Passbook เป็น application ใน iOS ที่ยอมให้ผู้ใช้สามารถเก็บคูปอง บัตรโดยสาร ตั๋วงาน บัตรเครดิต และบัตรเดบิตผ่านทาง Apple Pay
Chip and PIN เป็นชื่อที่คิดขึ้นโดยธุรกิจธนาคารในสหราชอาณาจักรและไอร์แลนด์ ใช้เรียกระบบจ่ายเงินสำหรับบัตรเครดิต เดบิตและเอทีเอ็ม ที่ใช้ EMV smart card
แปลและเรียบเรียงโดยทีม SRAN Dev
ข้อมูลอ้างอิง
http://www.trendmicro.com/vinfo/us/security/predictions/
http://en.wikipedia.org/wiki/Darknet_%28file_sharing%29
http://en.wikipedia.org/wiki/Deep_Web
http://en.wikipedia.org/wiki/Tor_%28anonymity_network%29
http://www.webopedia.com/TERM/T/targeted_attack.html
http://www.webopedia.com/TERM/A/Android_fragmentation.html
http://en.wikipedia.org/wiki/Ransomware
http://searchsecurity.techtarget.com/definition/spear-phishing
http://en.wikipedia.org/wiki/Watering_Hole
http://en.wikipedia.org/wiki/Unified_threat_management
http://en.wikipedia.org/wiki/Chip_and_PIN
http://en.wikipedia.org/wiki/Killer_application
http://www.9t.com/library/pdf/Point_of_Sale_POS_and_Retail.pdf
http://th.wikipedia.org/wiki/เนียร์ฟีลด์คอมมูนิเคชัน
http://en.wikipedia.org/wiki/Passbook_%28application%29
http://en.wikipedia.org/wiki/White_hat_%28computer_security%29
http://clpark.rmuti.ac.th/suthep/ideas/two-factor-authentication-wordpress-google-authenticator
http://en.wikipedia.org/wiki/Packet_analyzer
http://www.digitalattackmap.com/understanding-ddos/
https://www.owasp.org/index.php/Man-in-the-middle_attack
http://en.wikipedia.org/wiki/Darknet_%28file_sharing%29
http://en.wikipedia.org/wiki/Deep_Web
http://en.wikipedia.org/wiki/Tor_%28anonymity_network%29
http://www.webopedia.com/TERM/T/targeted_attack.html
http://www.webopedia.com/TERM/A/Android_fragmentation.html
http://en.wikipedia.org/wiki/Ransomware
http://searchsecurity.techtarget.com/definition/spear-phishing
http://en.wikipedia.org/wiki/Watering_Hole
http://en.wikipedia.org/wiki/Unified_threat_management
http://en.wikipedia.org/wiki/Chip_and_PIN
http://en.wikipedia.org/wiki/Killer_application
http://www.9t.com/library/pdf/Point_of_Sale_POS_and_Retail.pdf
http://th.wikipedia.org/wiki/เนียร์ฟีลด์คอมมูนิเคชัน
http://en.wikipedia.org/wiki/Passbook_%28application%29
http://en.wikipedia.org/wiki/White_hat_%28computer_security%29
http://clpark.rmuti.ac.th/suthep/ideas/two-factor-authentication-wordpress-google-authenticator
http://en.wikipedia.org/wiki/Packet_analyzer
http://www.digitalattackmap.com/understanding-ddos/
https://www.owasp.org/index.php/Man-in-the-middle_attack
วันศุกร์, มกราคม 9
จุดจบของ Sniffer ที่ส่งผลกระทบต่อการทำ Lawful Interception
คำว่า "Lawful Interception" ปัจจุบันมีการพูดถึงคำศัพท์ตัวนี้กันมากขึ้น
ผมเขียนเรื่องนี้ราวปี 2552 ช่วงนั้นในประเทศฝั่งที่คิดว่าเป็นประเทศแห่งเสรีทั้งการแสดงออกทางความคิดและการปฏิบัติได้มี Lawful Interception ชนิดที่เป็นเรื่องเป็นราวมีกฎเกณฑ์มีกฎระเบียบอย่างชัดเจน ไม่ว่าเป็นประเทศในยุโรป และอเมริกา ก็มีการทำ Lawful Interception ทั้งสิ้น ถึงจะให้
เสรีภาพสูง แต่ก็ต้องมาพร้อมกับความรับผิดชอบในการกระทำ
เพื่อเป็นการควบคุมและตรวจสอบผลการกระทำที่อาจจะละเมิดผู้อื่น การโจรกรรมข้อมูล รวมไปถึงการโจมตีบนไซเบอร์จนถึงการกระทำความผิดด้านอาชญากรรมทางคอมพิวเตอร์ฯ (Cyber Crime) ดังนั้นในประเทศที่พัฒนาแล้วมักจะมีการลงระบบที่เรียกว่า Lawful Interception ซึ่งในตอนนั้นผมคิดว่ามันน่าจะนำมาใช้ในประเทศไทย ที่เรากำลังใช้ พรบ.คอมพิวเตอร์ฯ กันอย่างมึนงงกับเรื่องฐานความผิดในมาตราที่ 8 ในการดักรับข้อมูล หรือเทียบได้กับเทคนิคการ sniff ข้อมูล
อ่านที่
http://nontawattalk.blogspot.com/search?q=lawful
http://nontawattalk.blogspot.com/search?q=sniffer
ซึ่งการทำ Lawful Interception มีทั้งที่ใช้ด้านเทคโนโลยี และ มีส่วนที่ไม่ได้ใช้เทคโนโลยี (ไม่แสดงรายละเอียดในบทความนี้) ในส่วนที่เป็นด้านเทคโนโลยีนั้น มีส่วนประกอบที่สำคัญคือต้องมีการทำ "การสนิฟ (Sniff)" หรือ การดัก-รับ ข้อมูล
ขอย้ำว่า Sniffer เป็นเพียงเครื่องหนึ่งในการทำ Lawful Interception
มิใช่ Lawful Interception = sniffer นั้นเป็นความหมายที่แคบไป
ย้อนหลังไปราว 12 ปี คือปี 2546 ผมและทีมงานได้นำเครื่องแม่ข่าย (Server) ที่มีอย่างน้อย 2 การ์ดแลนเพื่อทำ Bridge mode บน linux เป็น interface br0 (ในเวลาต่อมาไม่นานเทคนิคนี้ถูกเรียกว่าการติดตั้งแบบ In-line mode และเป็นที่มาของอุปกรณ์ประเภท NIPS) ในสมัยนั้นเราทำเพื่อดักข้อมูลหลังจากอุปกรณ์ Router ในองค์กรหนึ่งที่ได้รับอนุญาติจากเจ้าของบริษัทเพื่อตรวจหาความผิดปกติ ซึ่งต่อมาเทคนิคนี้ได้พัฒนากลายเป็นอุปกรณ์ SRAN ในยุคปัจจุบัน
เราก็เริ่มจากการดักรับข้อมูลบนระบบเครือข่าย ซึ่งเมื่อก่อนนั้นข้อมูลที่ส่งผ่านระบบเครือข่ายจะวิ่งบน Protocol ที่สำคัญคือ HTTP , FTP , Telnet ซึ่งล้วนแต่เป็น Plain text (อ่านออกได้ด้วยสายตามนุษย์) ยังไม่มีการเข้ารหัสอย่างเก่ง Telnet กลายร่างเป็น SSH แต่ที่สำคัญเรามักดักรับข้อมูลและเรียนรู้พฤติกรรม เทคนิคนี้ใช้ได้เป็นอย่างดี ตราบที่พบ Protocol ที่กล่าวมา
การมองเห็นข้อมูลบนระบบเครือข่ายคอมพิวเตอร์นั้นโดยใช้ Sniffer ประกอบด้วยดังนี้
(1) Time วัน เวลา
(2) Source IP ไอพีแอดเดรสต้นทาง
(3) Destination IP ไอพีแอดเดรสปลายทาง
(4) ค่า MAC Address ทั้ง Source และ Destination (หากติดตั้งใน LAN ค่า MAC นี้จะเป็นค่าของอุปกรณ์ Switch ดังนั้นผู้ที่ใช้ Sniffer ในการวิเคราะห์ปัญหาระบบเครือข่ายต้องมีประสบการณ์พอที่แยกแยะให้ออก)
(5) Source Port
(6) Destination Port
(7) ประเภท Protocol
(8) Payload ที่บรรจุเนื้อหา (Content)
ซึ่งส่วนที่เป็นเนื้อหา มีด้วยกัน 2 ชนิด คือ
(8.1) เนื้อหาของข้อมูลที่ไม่มีการเข้ารหัส (Plain text)
(8.2) เนื้อหาของข้อมูลที่มีการเข้ารหัส (Encryption)
ซึ่งทั้ง 2 ชนิดเนื้อหาของข้อมูลนี้ขึ้นกับข้อ (7) คือ ประเภท Protocol
Protocol ที่นิยมใช้กันและข้อมูลสามารถมองเห็นเนื้อหาของข้อมูลได้จากโปรแกรม Sniffer ได้แก่ HTTP (80) , Telnet (23) , FTP (21) เป็นต้น
ส่วนที่เข้ารหัส ได้แก่ Protocol ในการรับส่ง E-mail , Protocol ในการทำ VPN และการ Remote ระยะไกล และสำคัญสุดคือ HTTPS(443)
และ HTTPS ที่ใช้การเข้ารหัสแบบ SSL (Secure Socket Layer) นี้แหละที่บอกว่า
"เรากำลังเข้าสู่ยุค จุดจบของ Sniffer"
ที่กล่าวเช่นนี้เป็นเพราะว่าปัจจุบันนี้ Content Provider รายใหญ่ที่คนไทยเมื่อออนไลน์ต้องใช้บริการไม่ว่าเป็น Google ,Youtube , Facebook , Twitter แม้กระทั่ง Blognone ยังเข้ารหัส เป็น https:// ทั้งสิ้น
จากภาพ เมื่อ Capture ข้อมูลบนระบบเครือข่าย ที่มีการติดต่อสื่อสาร HTTPS ด้วยโปรแกรม Wireshark จะพบว่าค่า Payload ที่ผ่านการติดต่อสื่อสารแบบ HTTPS นั้นไม่สามารถอ่านออกได้เนื่องจากมีการเข้ารหัสข้อมูล
ดังนั้นโลกอินเทอร์เน็ตในยุคนี้และยุคหน้าจะประสบปัญหาการตรวจจับข้อมูล (Interception) โดยเฉพาะเจ้าหน้าที่ ที่ปฏิบัติงานในด้านนี้ ที่มีหน้าที่หาผู้กระทำความผิดฯ หรือจะใช้วิเคราะห์แก้ไขปัญหาระบบเครือข่ายอาจไม่สามารถใช้วิธีการดังกล่าวอย่างเต็มประสิทธิภาพ ไม่เหมือนก่อนอีกต่อไป
ภัยคุกคามที่เกิดขึ้นก็จะแฝงตัวมากับการเข้ารหัสผ่านช่องทาง SSL มากขึ้นเพราะมันหลบเลี่ยงการตรวจจับได้จากอุปกรณ์ป้องกันภัยคุกคามในองค์กรได้ระดับหนึ่ง
การซ่อนตัวบนโลกอินเทอร์เน็ตผ่านโปรแกรมอำพรางไอพีแอดเดรสก็มีการเข้ารหัสไม่สามารถมองเห็นการกระทำในค่า Payload หรือ Content (8.2) ได้เลย จึงเป็นเครื่องมือของแฮกเกอร์ได้ใช้ช่องทางนี้ปกปิดเส้นทางการทำงานของตนเองได้เป็นอย่างดี
การแกะรอยผู้กระทำความผิดเป็นไปได้ยากขึ้น ปัจจุบันเว็บการพนัน, เว็บลามกอนาจาร, รวมถึงแอฟลิเคชั่นบนมือถือหลายตัวมีการติดต่อสื่อสารแบบ SSL (HTTPS) หมดแล้ว
แล้วใครล่ะจะมองเห็น HTTPS ?
ตามหลักการที่ถูกต้องก็คือไม่มีใครมองเห็น แต่ในโลกความเป็นจริง การมองเห็นจะเห็นได้ที่ Provider หรือผู้ให้บริการ ที่ไม่ใช่ผู้ให้บริการอินเทอร์เน็ตในประเทศไทยเรา แต่เป็นผู้ให้บริการชนิดที่เรียกว่า "Content Provider" ส่วนมากตอนนี้คือจากประเทศสหรัฐอเมริกา ไม่ว่าเป็น Google , Facebook , Microsoft มีการชิงพื้นที่กันอยู่คือ จีน Baidu และ ญี่ปุ่น + เกาหลีใต้ ที่ Line
Content Provider เหล่านี้จะมองเห็น โดยการมองเห็นจะเกิดจาก Log ของ Application ถึงแม้จะมี Server ในการประมวลผลอยู่หลายร้อยหลายพันเครื่อง และการติดตั้งอาจกระจายไปอยู่ในที่ต่างๆ แต่ Log file ชนิดที่เป็น local application log ที่ออกมาจากเครื่องแม่ข่าย (Server) จะทำให้แกะรอยได้
ซึ่งใน Log ที่กล่าวมานั้นจะสามารถอธิบายลักษณะผู้ใช้งานประเภทผู้ใช้งาน ผู้ชาย ผู้หญิง อายุ ประเทศ การศึกษา รสนิยม ความสนใจ รวมถึงชีวประวัติของบุคคลนั้นได้เลย
ที่เรียกว่า การทำ Data Mining จาก Big Data
ในด้านความมั่นคง ข้อมูลดังกล่าวก็ต้องเป็นเครื่องมือสำคัญของประเทศมหาอำนาจ ได้ช่วงชิงความได้เปรียบอีกต่อไป ประเทศที่กลับตัวทันมักจะพัฒนาเองขึ้นมาจะไม่ยึดติดกับสิ่งที่ทำมา เช่นจีนตอนนี้สร้าง Baidu เป็นต้น
สรุป
Network Sniffer จะปรับตัวให้มองเห็นการเข้ารหัสในอนาคตจะพบการทำ MITM (Man In The Middle) เพื่อดักรับข้อมูลที่เข้ารหัสโดยเฉพาะ HTTPS มากขึ้น ซึ่งส่วนนี้จะเกิดขึ้นก่อนใครคือในองค์กร บริษัทเอกชน ที่ต้องการควบคุมพนักงานตามกฏระเบียบองค์กร
การทำ MITM ในองค์กรจะแตกต่างกับในระดับประเทศพอสมควร ทั้งการออกแบบและผลกระทบที่เกิดจากผู้ใช้งาน โดยเฉพาะด้านความรู้สึก การวิพากษ์วิจารณ์ ประเทศไหนที่คิดจากทำนั้นคงต้องดูหลายส่วนโดยเฉพาะผลกระทบต่อเสรีภาพที่ชอบอ้างกัน
Log file never die จะขอใช้คำนี้คงได้เพราะถึงอย่างไร Log ที่มาจาก Application ที่ติดตั้งใน Server นั้นๆ ย่อมมองเห็นทุกอย่างถ้าต้องการทำให้เห็น
และผู้ที่ครอบครอง Log นี้คือ Content Provider ที่คนไทยเราติดอยู่ จนถึงติดอันดับ 1 ใน 5 ของโลกเกือบทุกตำแหน่ง
เช่น https://www.sran.net
คนที่ดักรับข้อมูลทางระบบเครือข่ายจะมองไม่เห็นเพราะ https แต่เจ้าของเว็บ sran.net จะมองเห็น Log อันได้มาจาก Application Log ที่ทำหน้าที่เป็น Web Application คือ Log Apache เป็นต้น
รัฐบาลควรศึกษาให้ดี หากลงทุน Lawful interception โดยใช้ MITM มาเกี่ยวข้องต้องลงทุนสูงมาก และเมื่อเทคโนโลยีเปลี่ยน จะใช้งานไม่ได้อย่างที่คิดไว้ ควรหาที่ปรึกษาที่เคยผ่านการทำงานประเภทนี้ไว้เพื่อเป็นแนวทางการทำงานที่ยั้งยืน
หากทำ MITM บนเครือข่ายคอมพิวเตอร์พบว่าหน้าจอจะเปลี่ยนไปดังภาพ
ถ้าเห็นแบบนี้บน google , facebook , youtube ก็ให้รู้ไว้เลยว่ามีการดักข้อมูลอยู่ ซึ่งจะทำให้ไม่ขึ้นรูปตัวแดงนี้ ก็ต่อเมื่อต้องลง Certification ที่สร้างขึ้นมาเท่านั้น
กรณีอย่างนี้เคยเป็นข่าวสำหรับผู้ให้บริการอินเทอร์เน็ตบนสายการบิน ที่ชื่อว่า "gogo" ซึ่งผู้ใช้งานพบว่า youtube.com มี certification ที่ผิดปกติแล้ว capture หน้าจอเป็นข่าวใหญ่ไปช่วงปีใหม่ที่ผ่านมา
หน้าตา certification ที่ถูกสร้างขึ้นจาก gogo
ซึ่งการลงในแต่ละระบบปฏิบัติการ (OS) ชนิดบราวเซอร์ ทั้ง PC และ มือถือ ลงแตกต่างกัน
เทคนิคนี้จะใช้ได้สำหรับองค์กร หรือบริษัท ที่ออกนโยบายควบคุมการใช้งานอินเทอร์เน็ตภายในองค์กร
ในระดับประเทศนั้นท่านผู้อ่านก็ลองคิดดูเอาเองว่าจะมีผลกระทบอะไร ?
เมื่อรู้แล้วสิ่งที่ทำให้ล่วงรู้ถึงข้อมูลภายใน HTTPS ได้นั้นคือ local server ของ application log ซึ่งเกิดจากผู้ให้บริการ Content provider แล้วพวกนั้นเขาจะส่ง log ให้เราหรือ ? google ส่ง log facebook ส่ง log ให้เราหรือ ???
สิ่งที่รัฐควรจะทำ
ควรมาคบคิดกันว่า Log ที่เกิดจาก Content Provider ทำอย่างไรไม่ให้มันอยู่ในต่างประเทศ หรือ ทำอย่างไง ให้คนไทยใช้ของไทยกันมากขึ้น พัฒนาเองกันมากขึ้น เช่น Browser , Content Provider ที่สร้าง Social Network , Search engine , เครื่องมือซอฟต์แวร์ ซึ่งจะเป็นหนทางที่ยั้งยืนและมีประโยชน์ในระยะยาวสำหรับประเทศเรามากกว่า แต่ก็เท่ากับ "เราต้องอดเปรี้ยวไว้กินหวานมากๆ" อย่าพยายามเชื่อฝรั่งมากส่วนที่มาเป็นนายหน้าขายเทคโนโลยีหาใช่ตัวจริงเสียงจริงในการพัฒนา (Develop) ควรฟังและประยุกต์ให้เป็นของเราเอง
นนทวรรธนะ สาระมาน
Nontawattana Saraman
9 มค 58
ผมเขียนเรื่องนี้ราวปี 2552 ช่วงนั้นในประเทศฝั่งที่คิดว่าเป็นประเทศแห่งเสรีทั้งการแสดงออกทางความคิดและการปฏิบัติได้มี Lawful Interception ชนิดที่เป็นเรื่องเป็นราวมีกฎเกณฑ์มีกฎระเบียบอย่างชัดเจน ไม่ว่าเป็นประเทศในยุโรป และอเมริกา ก็มีการทำ Lawful Interception ทั้งสิ้น ถึงจะให้
เสรีภาพสูง แต่ก็ต้องมาพร้อมกับความรับผิดชอบในการกระทำ
เพื่อเป็นการควบคุมและตรวจสอบผลการกระทำที่อาจจะละเมิดผู้อื่น การโจรกรรมข้อมูล รวมไปถึงการโจมตีบนไซเบอร์จนถึงการกระทำความผิดด้านอาชญากรรมทางคอมพิวเตอร์ฯ (Cyber Crime) ดังนั้นในประเทศที่พัฒนาแล้วมักจะมีการลงระบบที่เรียกว่า Lawful Interception ซึ่งในตอนนั้นผมคิดว่ามันน่าจะนำมาใช้ในประเทศไทย ที่เรากำลังใช้ พรบ.คอมพิวเตอร์ฯ กันอย่างมึนงงกับเรื่องฐานความผิดในมาตราที่ 8 ในการดักรับข้อมูล หรือเทียบได้กับเทคนิคการ sniff ข้อมูล
อ่านที่
http://nontawattalk.blogspot.com/search?q=lawful
http://nontawattalk.blogspot.com/search?q=sniffer
ซึ่งการทำ Lawful Interception มีทั้งที่ใช้ด้านเทคโนโลยี และ มีส่วนที่ไม่ได้ใช้เทคโนโลยี (ไม่แสดงรายละเอียดในบทความนี้) ในส่วนที่เป็นด้านเทคโนโลยีนั้น มีส่วนประกอบที่สำคัญคือต้องมีการทำ "การสนิฟ (Sniff)" หรือ การดัก-รับ ข้อมูล
ขอย้ำว่า Sniffer เป็นเพียงเครื่องหนึ่งในการทำ Lawful Interception
มิใช่ Lawful Interception = sniffer นั้นเป็นความหมายที่แคบไป
ย้อนหลังไปราว 12 ปี คือปี 2546 ผมและทีมงานได้นำเครื่องแม่ข่าย (Server) ที่มีอย่างน้อย 2 การ์ดแลนเพื่อทำ Bridge mode บน linux เป็น interface br0 (ในเวลาต่อมาไม่นานเทคนิคนี้ถูกเรียกว่าการติดตั้งแบบ In-line mode และเป็นที่มาของอุปกรณ์ประเภท NIPS) ในสมัยนั้นเราทำเพื่อดักข้อมูลหลังจากอุปกรณ์ Router ในองค์กรหนึ่งที่ได้รับอนุญาติจากเจ้าของบริษัทเพื่อตรวจหาความผิดปกติ ซึ่งต่อมาเทคนิคนี้ได้พัฒนากลายเป็นอุปกรณ์ SRAN ในยุคปัจจุบัน
ภาพเครื่อง SRAN ในยุคดั้งเดิมติดตั้งแบบ In-line mode ขวางการติดต่อสื่อสารระหว่างอุปกรณ์ Router และ Switch (วิธีการนี้เหมาะกับระบบเครือข่ายขนาดเล็กเพราะอาจเกิดคอขวดที่อุปกรณ์ที่ติดตั้งแบบ inlineได้ดังนั้นต้องดูปริมาณขนาด Throughput อุปกรณ์เป็นหลัก)
เราก็เริ่มจากการดักรับข้อมูลบนระบบเครือข่าย ซึ่งเมื่อก่อนนั้นข้อมูลที่ส่งผ่านระบบเครือข่ายจะวิ่งบน Protocol ที่สำคัญคือ HTTP , FTP , Telnet ซึ่งล้วนแต่เป็น Plain text (อ่านออกได้ด้วยสายตามนุษย์) ยังไม่มีการเข้ารหัสอย่างเก่ง Telnet กลายร่างเป็น SSH แต่ที่สำคัญเรามักดักรับข้อมูลและเรียนรู้พฤติกรรม เทคนิคนี้ใช้ได้เป็นอย่างดี ตราบที่พบ Protocol ที่กล่าวมา
การมองเห็นข้อมูลบนระบบเครือข่ายคอมพิวเตอร์นั้นโดยใช้ Sniffer ประกอบด้วยดังนี้
(1) Time วัน เวลา
(2) Source IP ไอพีแอดเดรสต้นทาง
(3) Destination IP ไอพีแอดเดรสปลายทาง
(4) ค่า MAC Address ทั้ง Source และ Destination (หากติดตั้งใน LAN ค่า MAC นี้จะเป็นค่าของอุปกรณ์ Switch ดังนั้นผู้ที่ใช้ Sniffer ในการวิเคราะห์ปัญหาระบบเครือข่ายต้องมีประสบการณ์พอที่แยกแยะให้ออก)
(5) Source Port
(6) Destination Port
(7) ประเภท Protocol
(8) Payload ที่บรรจุเนื้อหา (Content)
ซึ่งส่วนที่เป็นเนื้อหา มีด้วยกัน 2 ชนิด คือ
(8.1) เนื้อหาของข้อมูลที่ไม่มีการเข้ารหัส (Plain text)
(8.2) เนื้อหาของข้อมูลที่มีการเข้ารหัส (Encryption)
ซึ่งทั้ง 2 ชนิดเนื้อหาของข้อมูลนี้ขึ้นกับข้อ (7) คือ ประเภท Protocol
Protocol ที่นิยมใช้กันและข้อมูลสามารถมองเห็นเนื้อหาของข้อมูลได้จากโปรแกรม Sniffer ได้แก่ HTTP (80) , Telnet (23) , FTP (21) เป็นต้น
ส่วนที่เข้ารหัส ได้แก่ Protocol ในการรับส่ง E-mail , Protocol ในการทำ VPN และการ Remote ระยะไกล และสำคัญสุดคือ HTTPS(443)
และ HTTPS ที่ใช้การเข้ารหัสแบบ SSL (Secure Socket Layer) นี้แหละที่บอกว่า
"เรากำลังเข้าสู่ยุค จุดจบของ Sniffer"
ที่กล่าวเช่นนี้เป็นเพราะว่าปัจจุบันนี้ Content Provider รายใหญ่ที่คนไทยเมื่อออนไลน์ต้องใช้บริการไม่ว่าเป็น Google ,Youtube , Facebook , Twitter แม้กระทั่ง Blognone ยังเข้ารหัส เป็น https:// ทั้งสิ้น
ภาพ https ของ facebook.com
การสังเกตให้ดูที่รูปแม่กุญแจหากเป็นภาพล็อคนั้นหมายถึงทุกการติดต่อสื่อสารภายใต้โดเมนนี้จะมีการเข้ารหัสข้อมูล
จากภาพเป็นการแสดงถึงการมองเห็นข้อมูลหากไม่มีการเข้ารหัสในเนื้อหาบนระบบเครือข่ายคอมพิวเตอร์ ช่องที่เป็น Signature HTTP Web Traffic Data นั้นจะเห็น path URL ของไอพีต้นทางที่เรียกใช้งาน ส่วน Signature HTTPS นั้นไม่สามารถมองเห็นได้เป็นช่องว่าง เป็นหน้าจอในอุปกรณ์ SRAN Light รุ่น Hybrid
ดังนั้นโลกอินเทอร์เน็ตในยุคนี้และยุคหน้าจะประสบปัญหาการตรวจจับข้อมูล (Interception) โดยเฉพาะเจ้าหน้าที่ ที่ปฏิบัติงานในด้านนี้ ที่มีหน้าที่หาผู้กระทำความผิดฯ หรือจะใช้วิเคราะห์แก้ไขปัญหาระบบเครือข่ายอาจไม่สามารถใช้วิธีการดังกล่าวอย่างเต็มประสิทธิภาพ ไม่เหมือนก่อนอีกต่อไป
ภัยคุกคามที่เกิดขึ้นก็จะแฝงตัวมากับการเข้ารหัสผ่านช่องทาง SSL มากขึ้นเพราะมันหลบเลี่ยงการตรวจจับได้จากอุปกรณ์ป้องกันภัยคุกคามในองค์กรได้ระดับหนึ่ง
การซ่อนตัวบนโลกอินเทอร์เน็ตผ่านโปรแกรมอำพรางไอพีแอดเดรสก็มีการเข้ารหัสไม่สามารถมองเห็นการกระทำในค่า Payload หรือ Content (8.2) ได้เลย จึงเป็นเครื่องมือของแฮกเกอร์ได้ใช้ช่องทางนี้ปกปิดเส้นทางการทำงานของตนเองได้เป็นอย่างดี
การแกะรอยผู้กระทำความผิดเป็นไปได้ยากขึ้น ปัจจุบันเว็บการพนัน, เว็บลามกอนาจาร, รวมถึงแอฟลิเคชั่นบนมือถือหลายตัวมีการติดต่อสื่อสารแบบ SSL (HTTPS) หมดแล้ว
แล้วใครล่ะจะมองเห็น HTTPS ?
ตามหลักการที่ถูกต้องก็คือไม่มีใครมองเห็น แต่ในโลกความเป็นจริง การมองเห็นจะเห็นได้ที่ Provider หรือผู้ให้บริการ ที่ไม่ใช่ผู้ให้บริการอินเทอร์เน็ตในประเทศไทยเรา แต่เป็นผู้ให้บริการชนิดที่เรียกว่า "Content Provider" ส่วนมากตอนนี้คือจากประเทศสหรัฐอเมริกา ไม่ว่าเป็น Google , Facebook , Microsoft มีการชิงพื้นที่กันอยู่คือ จีน Baidu และ ญี่ปุ่น + เกาหลีใต้ ที่ Line
Content Provider เหล่านี้จะมองเห็น โดยการมองเห็นจะเกิดจาก Log ของ Application ถึงแม้จะมี Server ในการประมวลผลอยู่หลายร้อยหลายพันเครื่อง และการติดตั้งอาจกระจายไปอยู่ในที่ต่างๆ แต่ Log file ชนิดที่เป็น local application log ที่ออกมาจากเครื่องแม่ข่าย (Server) จะทำให้แกะรอยได้
ซึ่งใน Log ที่กล่าวมานั้นจะสามารถอธิบายลักษณะผู้ใช้งานประเภทผู้ใช้งาน ผู้ชาย ผู้หญิง อายุ ประเทศ การศึกษา รสนิยม ความสนใจ รวมถึงชีวประวัติของบุคคลนั้นได้เลย
ที่เรียกว่า การทำ Data Mining จาก Big Data
ในด้านความมั่นคง ข้อมูลดังกล่าวก็ต้องเป็นเครื่องมือสำคัญของประเทศมหาอำนาจ ได้ช่วงชิงความได้เปรียบอีกต่อไป ประเทศที่กลับตัวทันมักจะพัฒนาเองขึ้นมาจะไม่ยึดติดกับสิ่งที่ทำมา เช่นจีนตอนนี้สร้าง Baidu เป็นต้น
สรุป
Network Sniffer จะปรับตัวให้มองเห็นการเข้ารหัสในอนาคตจะพบการทำ MITM (Man In The Middle) เพื่อดักรับข้อมูลที่เข้ารหัสโดยเฉพาะ HTTPS มากขึ้น ซึ่งส่วนนี้จะเกิดขึ้นก่อนใครคือในองค์กร บริษัทเอกชน ที่ต้องการควบคุมพนักงานตามกฏระเบียบองค์กร
การทำ MITM ในองค์กรจะแตกต่างกับในระดับประเทศพอสมควร ทั้งการออกแบบและผลกระทบที่เกิดจากผู้ใช้งาน โดยเฉพาะด้านความรู้สึก การวิพากษ์วิจารณ์ ประเทศไหนที่คิดจากทำนั้นคงต้องดูหลายส่วนโดยเฉพาะผลกระทบต่อเสรีภาพที่ชอบอ้างกัน
Log file never die จะขอใช้คำนี้คงได้เพราะถึงอย่างไร Log ที่มาจาก Application ที่ติดตั้งใน Server นั้นๆ ย่อมมองเห็นทุกอย่างถ้าต้องการทำให้เห็น
และผู้ที่ครอบครอง Log นี้คือ Content Provider ที่คนไทยเราติดอยู่ จนถึงติดอันดับ 1 ใน 5 ของโลกเกือบทุกตำแหน่ง
เช่น https://www.sran.net
ภาพหน้าจอเว็บ sran.net ที่มีเป็น https
รัฐบาลควรศึกษาให้ดี หากลงทุน Lawful interception โดยใช้ MITM มาเกี่ยวข้องต้องลงทุนสูงมาก และเมื่อเทคโนโลยีเปลี่ยน จะใช้งานไม่ได้อย่างที่คิดไว้ ควรหาที่ปรึกษาที่เคยผ่านการทำงานประเภทนี้ไว้เพื่อเป็นแนวทางการทำงานที่ยั้งยืน
หากทำ MITM บนเครือข่ายคอมพิวเตอร์พบว่าหน้าจอจะเปลี่ยนไปดังภาพ
จากภาพจะพบว่า https ที่แสดงบนบราวเซอร์จะแสดงค่าเป็นรูปกากบาท หรือ ตัวแดงขึ้นมาเพื่อเตือนว่าเป็น Certification จาก SSL ที่ผิด
ถ้าเห็นแบบนี้บน google , facebook , youtube ก็ให้รู้ไว้เลยว่ามีการดักข้อมูลอยู่ ซึ่งจะทำให้ไม่ขึ้นรูปตัวแดงนี้ ก็ต่อเมื่อต้องลง Certification ที่สร้างขึ้นมาเท่านั้น
กรณีอย่างนี้เคยเป็นข่าวสำหรับผู้ให้บริการอินเทอร์เน็ตบนสายการบิน ที่ชื่อว่า "gogo" ซึ่งผู้ใช้งานพบว่า youtube.com มี certification ที่ผิดปกติแล้ว capture หน้าจอเป็นข่าวใหญ่ไปช่วงปีใหม่ที่ผ่านมา
หน้าตา certification ที่ถูกสร้างขึ้นจาก gogo
ซึ่งการลงในแต่ละระบบปฏิบัติการ (OS) ชนิดบราวเซอร์ ทั้ง PC และ มือถือ ลงแตกต่างกัน
เทคนิคนี้จะใช้ได้สำหรับองค์กร หรือบริษัท ที่ออกนโยบายควบคุมการใช้งานอินเทอร์เน็ตภายในองค์กร
ในระดับประเทศนั้นท่านผู้อ่านก็ลองคิดดูเอาเองว่าจะมีผลกระทบอะไร ?
เมื่อรู้แล้วสิ่งที่ทำให้ล่วงรู้ถึงข้อมูลภายใน HTTPS ได้นั้นคือ local server ของ application log ซึ่งเกิดจากผู้ให้บริการ Content provider แล้วพวกนั้นเขาจะส่ง log ให้เราหรือ ? google ส่ง log facebook ส่ง log ให้เราหรือ ???
สิ่งที่รัฐควรจะทำ
ควรมาคบคิดกันว่า Log ที่เกิดจาก Content Provider ทำอย่างไรไม่ให้มันอยู่ในต่างประเทศ หรือ ทำอย่างไง ให้คนไทยใช้ของไทยกันมากขึ้น พัฒนาเองกันมากขึ้น เช่น Browser , Content Provider ที่สร้าง Social Network , Search engine , เครื่องมือซอฟต์แวร์ ซึ่งจะเป็นหนทางที่ยั้งยืนและมีประโยชน์ในระยะยาวสำหรับประเทศเรามากกว่า แต่ก็เท่ากับ "เราต้องอดเปรี้ยวไว้กินหวานมากๆ" อย่าพยายามเชื่อฝรั่งมากส่วนที่มาเป็นนายหน้าขายเทคโนโลยีหาใช่ตัวจริงเสียงจริงในการพัฒนา (Develop) ควรฟังและประยุกต์ให้เป็นของเราเอง
นนทวรรธนะ สาระมาน
Nontawattana Saraman
9 มค 58
วันเสาร์, ธันวาคม 27
บทวิเคราะห์การใช้งานอินเทอร์เน็ตของประเทศเกาหลีเหนือ
ในช่วงเวลาที่ผ่านมามีการพูดถึงการโจมตีไซเบอร์กันมากขึ้น โดยเฉพาะที่กระทบต่อประเทศเกาหลีเหนือ ทั้งในเรื่องการโจรกรรมข้อมูลของบริษัทโซนี่พิคเจอร์ จนเป็นข่าวโด่งดัง และหากใครได้ติดตามข่าวก็จะพบว่ามีประเทศไทยเข้ามามีส่วนในการเจาะระบบบริษัทโซนี่พิคเจอร์ ยังไม่เพียงแค่นี้ยังมีประเด็นที่ประเทศเกาหลีเหนือไม่สามารถใช้งานอินเทอร์เน็ตได้ทั้งประเทศ ซึ่งทั้งหมดคิดว่าหลายคนคงอย่างทราบถึงว่าเกิดอะไรขึ้น? จึงถือโอกาสนี้เขียนอธิบายข้อมูลเบื้องต้นเพื่อเป็นการศึกษาไว้ และหากมีโอกาสจะส่วมวิญญาณนักสืบดิจิทัล วิเคราะห์ความเป็นไปที่ปรากฏการณ์ที่เกิดขึ้นนี้เป็นระยะเท่าที่ทำได้
1. ข้อมูลทั่วไป
ประเทศเกาหลีเหนือ ภาษาอังกฤษ : Democratic People’s Republic of Korea สาธารณรัฐประชาธิปไตยประชาชนเกาหลี มีประชากรทั้งหมดในประเทศ 24,851,627 คน (ผลสำรวจเมื่อปี 2014) ข้อมูลเชิงสถิติถึงจำนวนผู้ใช้งานอินเทอร์เน็ตในประเทศยังไม่สามารถระบุได้ แต่โครงสร้างในการติดต่อสื่อสาร (Internet Infrastructure)
วันที่เกิดเหตุการณ์อินเทอร์เน็ตใช้งานไม่ได้ทั้งประเทศเกาหลีเหนือตรงกับวันที่ 22 ธันวาคม 2557 เวลา 23:15 เวลาในประเทศไทยโดยประมาณ
2.การใช้งานอินเทอร์เน็ต
ASN (Autonomous System Number) ประจำประเทศ หมายเลข AS131279 ชื่อ Ryugyong-dong
ขอจดทะเบียน ASN เมื่อวันที่ 21 ธันวาคม 2552 พึ่งจดทะเบียนเมื่อ 5 ปีที่แล้ว
2.1 รายละเอียดข้อมูลหมายเลขอินเทอร์เน็ต
aut-num: AS131279
as-name: STAR-KP
descr: Ryugyong-dong
descr: Potong-gang District
country: KP
admin-c: SJVC1-AP
tech-c: SJVC1-AP
mnt-by: MAINT-STAR-KP
mnt-routes: MAINT-STAR-KP
changed: hm-changed@apnic.net 20091221
source: APNIC
role: STAR JOINT VENTURE CO LTD -
network administrat
address: Ryugyong-dong Potong-gang District
country: KP
phone: +850 2 381 2321
fax-no: +850 2 381 2100
e-mail: postmaster@star-co.net.kp
admin-c: SJVC1-AP
tech-c: SJVC1-AP
nic-hdl: SJVC1-AP
mnt-by: MAINT-STAR-KP
changed: postmaster@star-co.net.kp 20141202
source: APNIC
ชื่อติดต่อที่ star-co.net.kp
2.2 รายละเอียดข้อมูลเส้นทางการเชื่อมต่ออินเทอร์เน็ต
2.3 เส้นทางการเชื่อมอินเทอร์เน็ตต่อกับต่างประเทศ
จะเห็นได้ว่าเส้นทางการเชื่อมต่อเพียงจุดเดียวที่ออกไปยังต่างประเทศ คือติดต่อไปที่ AS4837 เป็นของ China Unicom Backbone แล้วค่อยติดต่อไปยัง AS1239 ของ Sprint ประเทศสหรัฐอเมริกา
เส้นทางการติดต่อจากประเทศไทย
ทดสอบจากการใช้ ISP Loxinfo เพื่อดูเส้นทางการเชื่อมต่ออินเทอร์เน็ต
เส้นทางอินเทอร์เน็ตจากไทยไปยังเกาหลีเหนือจะผ่านประเทศดังต่อไปนี้ (1)ไทย - (2)สิงค์โปร - (3)อินเดีย - (4)แคนาดา - (5)สหรัฐอเมริกา - (6)จีน และเข้า(7)เกาหลีเหนือ ประมาณ hop ที่ 18
2.4 ย่านไอพีแอดเดรสที่ใช้งาน
2.5 ค่าโดเมนแนม
3. บทสรุป
การที่ประเทศเกาหลีเหลือประสบปัญหาอินเทอร์เน็ตใช้งานไม่ได้ทั้งประเทศแบ่งได้ 4 ประเด็นดังนี้
1) เส้นทางอินเทอร์เน็ตประเทศเกาหลีเหนือที่ออกต่างประเทศมีช่องทางเดียว คือจากประเทศจีน แล้วไปที่ ประเทศสหรัฐอเมริกา
- หาก AS4837 เป็นของ China Unicom Backbone ขัดข้องเกาหลีเหนือทั้งประเทศก็ใช้อินเทอร์เน็ตไม่ได้
- หรือหาก AS1239 ของ Sprint ประเทศสหรัฐอเมริกา ขัดข้องเกาหลีเหนือทั้งประเทศก็ใช้อินเทอร์เน็ตไม่ได้
- หรือตัวใดตัวหนึ่งปิดการเส้นทางการเชื่อมต่ออินเทอร์เน็ต (Peering) ทั้งผู้เรียกเข้าติดต่อประเทศเกาหลีเหนือ และ คนในประเทศเกาหลีเหนือเรียกอินเทอร์เน็ตออกประเทศไม่ได้ทันทีหากตัวใดตัว หนึ่งที่กล่าวนั้นขัดข้องหรือเปลี่ยนเส้นทางกระทันหัน ซึ่งก็เป็นการควบคุมของประเทศจีน (AS4837) หรือ ประเทศสหรัฐอเมริกา(AS1239) นั้นเอง อินเทอร์เน็ตทั้งประเทศเกาหลีเหนือตกอยู่การควบคุมจาก 2 มหาอำนาจ ชนิดที่เรียกว่า "ลูกไก่ในกำมือ"
2) อินเทอร์เน็ตที่ใช้งานไม่ได้เป็นเพราะ DNS ในประเทศเกาหลีเหนือไม่พร้อมใช้งาน ไม่ว่าจากการโจมตีชนิด DDoS/DoS หรือจะเป็นการโจมตีชนิดอื่นที่ทำให้ไม่สามารถใช้งานได้ อันเนื่องมาจาก Root DNS หลักของประเทศเหลือเพียงตัวเดียวคือ IP : 175.45.176.15 ซึ่งหากเครื่องดังกล่าวถูกโจมตีก็จะไม่สามารถ Query ชื่อที่เป็นโดเมนได้ แต่จะเป็นลักษณะผู้ใช้งานในประเทศที่ไม่สามารถเรียกข้อมูลที่เป็นโดเมนแนม ได้ (สำหรับผู้ใช้งานในประเทศที่ตั้งค่า DNS แบบ Default รับค่า DHCP จาก Router ที่ไม่ได้มีการ Fix ค่า DNS เองจะประสบปัญหานี้)
3) เป็นข่าวเพื่อปั่นกระแสหนังที่กำลังเข้าฉายที่ชื่อ “The Interview”
4) กดดันเกาหลีเหนือโดยใช้การโจมตีไซเบอร์เป็นเครื่องมือโดยอ้างว่าเกาหลีเหนือมีแฮกเกอร์เจาะระบบจริง ซึ่งจริงไม่จริงปัจจุบันไม่มีใครทราบ ดูแล้วคล้ายพม่าก่อนเปิดประเทศ แต่เป็นคนละวิธีการ ตามยุคสมัยเพราะยุคนี้ต้องยอมรับว่าคือยุคไซเบอร์
และหากให้ผมเดา ... ผมจะรอดูว่าถ้าผู้นำสูงสุดของประเทศเกาหลีเหนือขึ้นปกนิตยสาร Time Magazine เมื่อไหร่ก็เมื่อนั้นไม่นานเกิน 2 ปีจะพบว่าประเทศนี้ได้เปิดประเทศแล้ว พร้อมเหล่าบรรดาทุนนิยม บริษัทยักษ์ใหญ่ที่ต้องการเพิ่มช่องทางในการลงทุนมากขึ้นเหมือนประเทศพม่าที่เป็นเพื่อนบ้านของเรานี้เอง
เขียนโดย
นนทวรรธนะ สาระมาน
27 ธันวาคม 2557
อ้างอิงข้อมูล
Hurricane Electric IP Transit : http://he.net
Robtex : http://www.robtex.com
Internet Worldstats : http://www.internetworldstats.com
สมัครสมาชิก:
บทความ (Atom)
