ผ่าพิสูจน์ Twitter

หลาย ท่านที่เป็นนักท่องอินเทอร์เน็ตคงรู้จักเจ้านกน้อย Twitter กันเป็นอย่างดี Twitter เป็นเครือข่ายสังคมออนไลน์ที่คนทั่วโลกนิยมใช้ลักษณะการส่งข้อความสั้นๆไว้ อธิบาย, ถ่ายทอดและแสดงออกถึงความรู้สึกนึกคิดของตนเองหรือไว้แจ้งข่าวสารต่างๆ หลายคนก็นำเอา Twitter ใช้ในการแจ้งเหตุด่วนเหตุร้าย หรือไว้ทำการโฆษณาขายสินค้าและบริการ ด้วยก็มี ด้วยมีเนื้อหาจำกัดในการส่งข้อความทำให้ต้อง “tweet” กันถี่ๆ และ re-tweet กันไป .. ถึงอย่างไรข้อความที่ขึ้นบน twitter ก็หาใช่ว่าจะมีความถูกต้องและน่าเชื่อถือ เพราะผู้ส่งนั้นอาจไม่ใช่คนส่งข้อความที่แท้จริงก็ได้ หรือส่งข้อความที่ไม่ใช่เรื่องจริง ซึ่งเหตุผลประการใดนั้นก็สุดแล้วแต่ผู้รับข้อมูลข่าวสารจะใช้ดุลพินิจ พิจารณาต่อไป

ผมเขียนบทความนี้ขึ้นอาจจะอยู่ในช่วง Hot ๆ พอดี เนื่องด้วย Twitter ของท่านนายกฯ (twitter.com/PouYingluck) ถูก Hack หรือมีผู้เข้าถึงข้อมูล account ที่ไม่ใช่ของตนเองขึ้น จะพบว่าข้อความที่ปรากฏต่อสาธารณะทางอินเทอร์เน็ตจึงดูว่าไม่ใช่ตัวจริงที่ ส่งข้อความ .. ซึ่งกรณีนี้ผู้กระทำนั้นมีฐานความผิดเกี่ยวกับ พ.ร.บ คอมพิวเตอร์ฯ อย่างแน่นอนอย่างน้อย มาตรา 5 และ 14 เป็นต้น แต่ทั้งนี้ก็อย่าได้ตื่นเต้นไปเลยเพราะไม่ใช่ครั้งแรกที่คนดังจะถูก Hack ผู้นำประเทศหรือแม้กะทั่งคนที่ทำ facebook เองก็ยังเคยโดน hack มาแล้ว

ก่อน ที่จะทำอะไร เราควรรู้องค์ประกอบของระบบ Twitter เสียก่อน ผมก็ถือโอกาสนี้ชำแหละกระบวนการติดต่อสื่อสารระหว่างผู้ใช้งาน (เราๆ ท่านๆ) ไปเรียกติดต่อระบบเครื่องแม่ข่าย Twitter ที่การทำงานเป็น Cloud computing ทั้งหมด ดังนี้

1. ควรรู้ที่ตั้ง Twitter เพื่อเกิดปัญหาจะได้ติดต่อได้ถูกต้อง

ที่ตั้งของ Twitter โดยการ whois แล้วคือ (รายละเอียดที่ http://www.sran.net/search?q=twitter.com)

Domain Name………. twitter.com
Creation Date…….. 2000-01-22
Registration Date…. 2011-08-31
Expiry Date………. 2019-01-22

Organisation Name…. Twitter, Inc.
Organisation Address. 795 Folsom Street
Organisation Address. Suite 600
Organisation Address. San Francisco
Organisation Address. 94107
Organisation Address. UNITED STATES
Admin Address…….. 795 Folsom Street
Admin Address…….. Suite 600 San Francisco 94107 UNITED STATES
Admin Email………. admin@melbourneitdbs.com
Tech Email……….. domains-tech@twitter.com
Admin Phone………. +415.2229670
Admin Fax………… +415.2220922

– หากกระทรวงฯ / หน่วยงานที่ได้รับหน้าที่ ต้องการติดต่อขอข้อมูลควรทำการติดต่อไปที่ e-mail/เบอร์โทร/fax ของผู้ดูแลระบบจากข้อมูลที่กล่าวมานี้ จะเป็นช่องทางที่สามารถติดต่อกับทางบริษัท Twitter ได้

2. ระบบเครือข่าย Twitter มีหน้าตาอย่างไร
Twitter มีโครงข่ายของตนเองโดยมี Autonomous System Number (ASN) ประกอบด้วย
2.1 AS13414 ซึ่งเป็นของ Twitter Inc.
2.2 AS35995 ซึ่งเป็นของ Level 3 Communications, Inc.

2.3 AS33517 DYNDNS Dynamic Network Services, Inc. ASN

2.4 AS15169 Google , Inc

ทั้งหมด มีชุด IPv4 และ IPv6 จำนวนไม่น้อย ในที่นี้ขอยกตัวอย่างเฉพาะ IPv4 คืออยู่ที่ 2 ชุด ซึ่งถือได้ว่าเป็นคลังแสงของระบบ twitter ทั้งหมดอยู่ที่นี้ ได้แก่ 199.59.148.0/22 และ 199.16.156.0/22 ถ้ารวมแบบเบื้องต้นแล้วจะพบว่ามี IPs allocated จำนวน 2,048 IPs ที่เชื่อมโยงกันเป็นระบบเครือข่ายของ Twitter ซึ่งจำนวน IPs เหล่านี้ทำหน้าที่เป็น Cluster ทั้งระดับ Server Base (เครื่องแม่ข่าย),ระดับ Application (ซอฟต์แวร์) ต่อเชื่อมกันเป็น Cloud Computing ขึ้น
ดังนั้นการ แกะรอย IP Address ต้องเข้าใจว่าปลายทางที่เกิดเหตุอาจจะกระจายอยู่ในกลุ่มก้อนเมฆ( Cloud Computing) ใดที่หนึ่งก็ได้ (เครื่องใดเครื่องหนึ่งอาจจะไม่ใช่เครื่องที่เรา Ping เจอหรือ Trace route เจอเป็นต้น)
ยิ่งไปกว่านั้น เนื่องด้วย Twitter , Facebook , Youtube ล้วนเป็น Social Network ที่คนไทยนิยมใช้
ในระดับผู้ให้บริการอินเทอร์เน็ตในประเทศไทย (ISP : Internet Services Provider) อาจมีการทำ Peering
เพื่อ เชื่อมโยงข้อมูลก็เป็นไปได้ เพื่อเป็นการเอาใจลูกค้าหรือรักษาลูกค้าให้มาใช้บริการของตน เนื่องจากการทำ Peering หรือ Caching นั้นทำให้การรับส่งข้อมูลได้รวดเร็วขึ้น หากเป็นเช่นนี้ก็จะทำให้การตรวจสอบข้อมูลต้องเพิ่มขั้นตอนไปที่ตรวจสอบที่ ผู้ให้บริการ Peering หรือ Caching เหล่านั้นด้วย ที่นิยมในประเทศไทย ก็มีบริการของ Akamai Network และ Global Crossing เป็นต้น ซึ่งส่วนใหญ่แล้วเป็นการทำ Caching ในระดับ Web Application เท่าที่เห็นว่าส่วนใหญ่ข้อมูลทำติดต่อสื่อสารกันระหว่างประเทศไทย สิงคโปร์ และ มาเลเซีย เพื่อติดต่อไปยังเครือข่ายตัวจริงของระบบ Social network ที่นิยมใช้กัน

ภาพ 1 : เป็นการ whois ASN ที่เชื่อมโยงกับ twitter จาก Hurricane Electric whois

ภาพที่ 2 : เมื่อพิจารณาการเชื่อมข้อมูลของโดเมน twitter.com จาก Robtex whois

จะเห็นว่าความสัมพันธ์ในการติดต่อสื่อสาร twitter มีการเชื่อมโยงกับหลายส่วน โดยศูนย์กลางอยู่ที่ช่วง IPs จาก AS13414

อ่านเพิ่มเติมจาก : บทความเก่าที่เคยเขียน เรื่อง ปัจจัยทั้ง 4 ในการสืบสวนหาผู้กระทำความผิดเกี่ยวกับคอมพิวเตอร์

ดัง นั้นในกรณีที่ต้องการตรวจสอบหา IP Address ของไทยไปยัง Twitter (โดยไม่ใช้วิธีขอ Log จาก Twitter ตรงๆ) ก็ทำได้โดยการขอความร่วมมือกับ ISP ในประเทศไทย เพื่อดู Flow ในการติดต่อสื่อสารไปยัง ASN ที่
กล่าวมาได้ซึ่ง Network Flow ที่กล่าวมาควรมีการเห็นดั้งนี้คือ

- Time ที่ตรงตามเวลามาตราฐาน เช่น หน่วยวัดเวลาของมาตรวิทยา
- Source IP ซึ่งเป็น Public IP ภายในประเทศไทย
- Destination IP ซึ่งเป็น IP allocate จาก AS13414
- และ Port Application (HTTP , HTTPS และ DNS) ในที่นี้ดูเฉพาะ Port ปลายทางก็พอคือ 80 และ 443 ที่เป็นการติดต่อแบบ TCP เบื้องต้นประมาณนี้ก่อน

ซึ่ง ในปัจจุบันมี ISP ไม่กี่ที่ที่สามารถตรวจสอบการเชื่อมต่อดังกล่าวมาได้ และคงไม่มีใครมา capture traffic ข้อมูลที่เกิดขึ้นจากการใช้งานอินเทอร์เน็ตในประเทศไทยอยู่ตลอดเวลาเป็นแน่

* อยากทราบข้อมูลเพิ่มในส่วนนี้ลองอ่านบทความเก่าๆ ของผมดูสิ เรื่อง ข้อเท็จจริงในการดักข้อมูล และ รู้ทัน Sniffer

3. ข้อสังเกตสำหรับการตรวจสอบข้อมูล จากการเรียกข้อมูล Twitter ผ่าน Web Application

Twitter ถือได้ว่าเป็น Web 2.0 การเปิดเว็บไซต์เพียงเว็บเดียว โดเมนเดียว แต่เบื้องหลังของการเชื่อมนั้นติดต่อไปหลากหลายที่ ซึ่งจะทำการพิสูจน์ให้เห็นโดยใช้ account twitter ของผู้เขียนเองมานำเสนอให้เห็นถึงขั้นตอนการติดต่อสื่อสารภายในระบบ twitter

3.1 เมื่อทำการเข้าเว็บ http://twitter.com และทำการ Login เพื่อเข้าสู่ระบบหากใส่ username และ password ถูกต้อง
เบื้องหลังที่เรามองไม่เห็นผ่านหน้าจอ พบว่ามีการติดต่อไปยังหลากหลาย Source

ภาพ 3 : การ login โดยใช้ account ของผู้เขียนและเปิดโปรแกรมชนิด Revert Proxy เพื่อทำการวิเคราะห์ลักษณะการติดต่อสื่อสารระหว่างผู้ใช้งานและฝั่งเครือ ข่ายให้บริการ twitter

จะเห็นการติดต่อ สื่อสารระหว่างเครื่องผู้ใช้งาน (ตัวเรา) กับระบบ Twitter เพียงเสี้ยววินาที จะเห็นว่าเครื่องคอมพิวเตอร์ของเราติดต่อไปยังหลายโดเมน และมีลักษณะเช่นนี้ตลอดเวลาที่เปิดหน้าเว็บ twitter ขึ้น

3.2 สังเกตค่า session ID

สิ่งที่น่าสังเกตคือ session ที่เกิดขึ้นเบื้องหลังที่ติดต่อไปที่หน้า http://twitter.com/sessions?phx=1
นั้นจะมีลักษณะ Method เป็น POST หากใช้โปรแกรมพวก Sniffer ดักข้อมูลในส่วนนี้ (ภายในเครื่องตัวเอง)
จะพบว่าสามารถมองเห็น Username หรือ e-mail และ password ที่ใช้ในการ login ได้

ภาพ 4 : ค่า session ID ที่พบซึ่งไม่มีการเข้ารหัสในส่วนนี้

จาก ภาพ session[username_or_email] และ session[password] จะเป็นค่า plain text ที่สามารถดักข้อมูลได้ ซึ่งการทำ session hijack ก็จะสามารถปลอมเป็น account ที่ใช้งานเป็นคนอื่นได้ อาจไม่ต้องทราบถึง password ก็เข้าใช้ account ผู้อื่นได้ (วิธีขโมย session ต้องทำในเครือข่ายเดียวกัน หรือ วง Network ภายในเดียวกัน)

3.3 สังเกตค่า cookie
ค่า cookie หากไม่มีทำการล้างข้อมูลหรือลบค่า cookie ในเครื่องจะทำให้มีรอยประวัติทิ้งไว้อยู่ว่าในวันเวลาดังกล่าวได้เข้ามาใช้ งาน (login) twitter จริง

ภาพ 5 : การแสดงค่า cookie จากการใช้งาน twitter ทั้งฝั่งผู้ใช้งานและผู้ให้บริการในระดับ application layer ของทาง twitter

จะ เห็นได้ว่า ค่า cookie sent และค่า cookie received โดยเฉพาะค่า Cookie Received จะได้ auth_token ซึ่งส่วนนี้ twitter ใช้เทคโนโลยีที่ชื่อว่า Oauth มาช่วยกำหนดเรื่องสิทธิต่างๆ ค่า auth_token แต่ละคนจะไม่เหมือนกันเช่นเดียวกับค่า twid ก็ไม่ซ้ำกันเป็นต้น ในค่า cookie จะมีการบันทึกไว้ทั้งฝั่งผู้ใช้งานและ ฝั่งผู้ให้บริการ Application twitter ดังนั้นพบผู้ต้องสงสัยแล้วหลักฐานในส่วนนี้ก็จะยืนยันได้ว่าเป็นผู้กระทำการ จริงเป็นต้น

cookie ก็สามารถขโมยได้เหมือนกับการ ขโมย session ID โดยเฉพาะ หากมีการดัก cookie แล้วได้ค่าหมายเลข cookie เป้าหมายเมื่อไหร่ก็สามารถนำค่า cookie เป้าหมายมาทำการใส่ค่า long string ที่ “Set-Cookie: _twitter_sess=xxxxxxxxxxx” มาแทนค่า cookie ของเราเอง ก็สามารถขโมย user ของ twitter ได้เช่นกันด้วยเทคนิคนี้เมื่อขโมย cookie มาได้แล้วทำการ refresh หน้าเพจก็สามารถกลายเป็นบุคคลอื่น / account อื่นโดยไม่จำเป็นต้องรู้ username และ password ,ถ้าผู้ใช้งานผ่าน SSL ก็จะทำการดักข้อมูลทำได้ลำบากขึ้นได้ (ต้องอยู่ในเครือข่าย LAN เดียวกันแล้วทำเทคนิค MITM : Man In The Middle) โดยมากจะผ่าน SSL เมื่อใช้คอมพิวเตอร์ / บราวเซอร์ ที่แสดง User-agent เป็น PC ทั่วไป แต่หากใช้ Mobile Application เพิ่มความสะดวกในการใช้ twitter บาง application ติดต่อโดยไม่มีการเข้ารหัสซึ่งเป็นผลให้การดักข้อมูลทำได้ง่ายขึ้นเช่นกัน

3.4 สังเกตค่า Timeline เพื่อหาเวลาที่แน่นอน ซึ่งส่วนนี้เราแทบจะไม่สามารถดูผ่านหน้าเว็บ twitter ได้เลยว่าเวลาที่โพสเวลาอะไรกันแน่ จะเห็นเวลาคร่าวๆเช่นผ่านมาแล้ว 5 ชั่วโมงเป็นต้น หากดูที่ user timeline จะพบเวลาที่เป็นนาทีได้

ภาพที่ 6 : เมื่อนำค่า pcap (Packet Capture :อ่านเพิ่มเติม) จากการใช้งาน twitter มาเปิดในโปรแกรม Wireshark จะพบค่า URI สำหรับบอก Timeline และค่า Key Oauth ที่ระบุถึงการใช้สิทธิ (Authorization) ในโปรแกรม twitter ซึ่งจากค่าดังกล่าวก็จะสามารถหาเวลาที่ทำการ Post ข้อความได้แม่นยำขึ้น แต่หากไม่มีเครื่องสามารถดูผ่านค่า Feed RSS ของ User Timeline ของผู้นั้นได้เช่นกัน

ในกรณีนี้จะพบว่าการส่งข้อความที่ไม่ใช่ตัวจริงส่งนั้นเกิดขึ้นเมื่อเวลา 10:22 AM ของวันที่ 2 ตุลาคม 2554

ภาพ ที่ 7 : แสดงค่า Timeline จาก RSS Feed ที่พบจะเห็นวันเวลาที่ละเอียดขึ้นจะพบว่าช่วงเวลาที่โพสนั้นห่างกันเพียงแค่ นาทีต่อนาที โดยรวมไม่เกิน 10 นาทีต่อหนึ่งข้อความ ต่อเนื่องกันตั้งแต่ 10.22 AM -10:43 AM จำนวน 8 ข้อความ

4. ช่องโหว่ที่เกิดขึ้นโดยเข้าถึงสิทธิการใช้งานผู้อื่น

4.1 การทำ Forgot password

หากเปิดเผยข้อมูลส่วนตัวมากเกินไป อาจนำไปใช้ในขั้นตอน Forgot password ได้

หรือเดารหัสผ่านจากข้อมูลส่วนตัวอื่นๆเช่น บ้านเลขที่ เบอร์โทรศัพท์ ทะเบียนรถ ชื่อบุคคลที่เรารัก เป็นต้น

4.2. การติด malware

การติดตั้งโปรแกรมโดยมิได้ติดตั้งจากแหล่งที่น่าเชื่อถือได้ อาจติด malware ที่มีความสามารถในการขโมยข้อมูล ส่วนตัวได้ ไม่ว่าจะใช้มือถือ คอมพิวเตอร์พกพา หรืออื่นๆ malware จะเป็น Spy เช่น เป็น Keylogger จับข้อมูลผ่านแป้นคียบอร์ด คอยส่งข้อมูลให้กับ Hacker ก็อาจเกิดขึ้นได้

4.3 อื่นๆ ที่กล่าวมาทั้งหมดนี้ล้วนเป็นทางเทคนิค หากการเข้าถึงข้อมูลผู้อื่นนั้นอาจไม่ได้มาจากทางเทคนิคอย่างเดียว เป็นเพียงเส้นผมบังภูเขาก็ได้ เช่น กรณีที่ Password ง่ายต่อการเดา , การถือ Account มีหลายคน , การเก็บบันทึก Account เพื่อการเข้าถึงข้อมูลเปิดเผยมากเกินไป เช่นเก็บบันทึกในสมุดโน็ต , ที่เครื่องมือถือ และโน็ตบุ๊ต เป็นต้น ก็สุดแล้วแต่ความประมาทของคนที่มีโอกาสเกิดขึ้นได้ทั้งสิ้น

ในอนาคต เราอาจจะพบว่าการใช้อินเทอร์เน็ตอย่างไม่เหมาะสมจนทำให้เกิดความเสียหาย และเกิดฐานความผิดเกี่ยวกับคอมพิวเตอร์จะมีมากขึ้น เป็นไปตามจำนวนผู้ใช้งานอินเทอร์เน็ตที่สูงขึ้นอยู่ทุกปี คงถึงเวลาแล้วที่ภาครัฐควรเอาใจใส่ในเรื่องการตรวจหาผู้กระทำความผิดทาง คอมพิวเตอร์อย่างจริงจัง โดยอาจจะต้องมาศึกษาเรื่อง Lawful Interception ซึ่งในประเทศที่พัฒนาแล้วก็มีการทำเรื่องตรวจสอบข้อมูลการใช้งาน อินเทอร์เน็ตทั้งสิ้น ประเทศเราเคยทำมาก่อนหน้านี้คือศูนย์ ISOC แต่กับเห็นว่าไม่ได้มีการทำการต่อแล้ว หากเห็นเรื่องนี้เป็นเรื่องสำคัญและมีโอกาสกระทบต่อความมั่นคงของชาติ ศาสนา และพระมหากษัตริย์ และประชาชนผู้ใช้งานโดยตรงด้วยแล้วนั้น ควรกลับมาดูแลเรื่องการตรวจสอบข้อมูลอย่างจริงจัง และควรใช้อำนาจเจ้าหน้าที่พนักงานที่ถูกแต่งตั้งให้สามารถตรวจสอบข้อมูลได้ ตามกฏหมาย พ.ร.บ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ให้เป็นประโยชน์ ส่วนสังคมจะมองว่าเป็นการละเมิดสิทธิ ก็ต้องสร้างความเข้าใจว่าเป็นการตรวจสอบ IP Address ที่ต้องสงสัย หาใช่ว่าเพียงทราบ IP Address จะรู้ว่าใครเป็นใคร (Who) ทำอะไร (What) เวลาใด (When) อย่างไรก็ต้องผ่านขั้นตอนขอหมายศาล และขั้นตอนการขอรายชื่อ account ผู้ใช้งานในระบบ billing ของฝั่งผู้ให้บริการอินเทอร์เน็ต หรือ ISP อยู่ดี ซึ่งมีขั้นตอนอีกไม่น้อย ดังนั้นหากใช้ข้อมูลอินเทอร์เน็ตอย่างสร้างสรรค์และถูกต้องไม่ต้องกลัวว่าจะ โดนตรวจสอบ การตรวจสอบไว้ป้องปรามอาชญากรรมทางคอมพิวเตอร์ที่มีมากขึ้นๆ จนเป็นปัญหาสังคม และมีผลกระทบต่อความมั่นคงของประเทศชาติได้เช่นกันหากไม่มีมาตรการอันใดที่ จะมาตรวจสอบข้อมูลทางอินเทอร์เน็ตในอนาคต

นนทวรรธนะ สาระมาน
Nontawattana Saraman

บทความที่เกี่ยวข้อง
รู้ทัน Sniffer
การตรวจสอบข้อมูลจราจรทางคอมพิวเตอร์
ปัจจัยทั้ง 4 เกี่ยวกับการหาผู้กระทำความผิดทางอินเทอร์เน็ต

SRAN Comics | Information Security for Kids

 

SRAN Comics เกิดจากความคิดที่ว่า “ความมั่นคงปลอดภัยทางข้อมูลควรเริ่มจากตนเองเสียก่อน” จึงเป็นที่มาให้มีการสร้างสื่อที่เข้าใจและเข้าถึงได้แก่ผู้คนทั่วไป โดยเฉพาะเด็กและเยาวชน

เนื่องด้วยเทคโนโลยีสารสนเทศ โดยเฉพาะอินเทอร์เน็ตในปัจจุบันมีบทบาทต่อชีวิตประจำวันของผู้คนมากขึ้นและ เป็นผลให้ข้อมูลทั้งดีและไม่ดี ที่มีประโยชน์และไม่มีประโยชน์รวมถึงการใช้งานนั้นเข้าถึงเด็กและเยาวชนมาก ขึ้น ซึ่งจะพบว่าเด็กและเยาวชนในประเทศไทยนั้นยังขาดสื่อที่นำเสนอถึงความเข้าใจ ด้านการรักษาความมั่นคงปลอดภัยข้อมูลสารสนเทศอยู่ทางทีมงาน SRAN จึงร่วมกันคิดจนก่อให้เกิดเป็น SRAN Comics ขึ้นเมื่อเดือนกรกฏาคม 2553 ในรูปแบบการ์ตูนนำเสนอในเว็บไซต์ www.sran.org อยู่ช่วงระยะเวลาหนึ่งและหยุดลงเนื่องจากขาดผู้สนับสนุนและทีมปฏิบัติงานใน การนำเสนอ 

จากนั้นไม่นานหลังจากที่ได้หยุดนำเสนอลงในเว็บไซต์ www.sran.org ก็ได้มีเสียงเรียกร้องจากผู้ในแวดวงการให้มีการกลับมาทำอีกครั้ง

 

 

จนเมื่อเดือนมกราคม 2554 จึงได้มีการปรับปรุง SRAN Comics ขึ้น โดยมีวัตถุประสงค์ว่าเราควรมีสื่อที่เด็กและเยาวชนเข้าถึงได้ สร้างความเข้าใจแรกให้เกิดขึ้นกับเด็กและเยาวชน เพื่อให้เกิดภูมิปัญญา และมีความตระหนักถึงภัยคุกคามที่อาจเกิดขึ้นจากการใช้ข้อมูลสารสนเทศได้ พร้อมทั้งการความรู้ ความเข้าใจในการปฏิบัติตนให้ปลอดภัยจากการใช้งาน ด้วยการ์ตูนที่นำเสนอนั้นมีสีสัน ลายเส้นที่สดใส มีชีวิตชีวาเหมาะสำหรับการสื่อให้เด็กได้เข้าใจถึงพิษภัยต่างๆในการใช้ อินเทอร์เน็ตและการสื่อสารต่อไป

วัตถุประสงค์โครงการ SRAN Comics

1. ต้องการสร้างความตระหนักถึงภัยคุกคามทางด้านข้อมูลสารสนเทศและการสื่อสาร ในรูปแบบของสื่อที่เข้าใจง่าย โดยเฉพาะเด็กและเยาวชน ที่เรียกว่า “Information Security for Kids”

2. สร้างเสริมประสบการณ์ให้สำหรับผู้เริ่มต้นใช้งานคอมพิวเตอร์และอินเทอร์เน็ต ให้เกิดความตระหนักรู้ทันถึงภัยคุกคามในโลกออนไลน์ (Information Security Awareness)

3. จัดทำเป็นชุดการ์ตูนโดยมีเนื้อเรื่องที่สื่อสารเข้าใจได้ง่าย เป็นตอนสั้นๆ ที่สื่อถึงการป้องกันภัยคุกคามทางอินเทอร์เน็ตและสื่อออนไลน์
เว็บไซต์ SRAN Comics ที่ http://comic.sran.org

SRAN First Help : แผนที่สถานะการณ์

FIRST Help : แผนที่สถานการณ์ เพื่อใช้สำหรับสถานการณ์ฉุกเฉิน หรือ “Crisis map” เป็นแนวคิดที่จะช่วยเหลือผู้คนผ่านช่องทางอินเทอร์เน็ตสำหรับแจ้งเบาะแส และทำให้ผู้ที่ต้องการข้อมูลได้ทราบเพื่อเตรียมรับมือต่อสถานการณ์ที่เกิดขึ้น 

ตั้งแต่ ช่วงต้นปีที่ผ่านมานี้ประเทศไทยของเราประสบปัญหาภัยพิบัติทางธรรมชาติอยู่ เป็นระยะๆ โดยเฉพาะปัญหาน้ำท่วม ดินถล่ม ถนนหลักใช้การไม่ได้ ดังนั้นกำลังเพียงเล็กน้อยของทีมงานเราได้แค่เพียงการจัดทำเทคโนโลยีเพื่อ ช่วยแจ้งเบาะแส ผ่านแผนที่สถานการณ์เพื่อช่วยบอกตำแหน่ง กำหนดจุดเกิดเหตุ และ สืบค้นหาข้อมูลย้อนหลังในแผนที่สถานะการณ์ได้ เพื่อประเมินสถานการณ์ได้อีกด้วย อีกทั้งมีการส่งข้อมูลผ่านช่องทางที่หลากหลาย เช่น ผ่านเว็บไซต์ ผ่านโปรแกรมมือถือ ซึ่งปัจจุบันเรามีการส่งผ่านมือถือเฉพาะ Android ซึ่งสามารถ download ได้ในเว็บไซต์ http://firsthelp.me ซึ่งในการส่งข้อมูลนั้นสามารถส่งได้ทั้งเป็น SMS , วิดีโอ , รูปภาพ ข่าวที่ผ่านช่องทาง RSS Feed จากเว็บไซต์ข่าว หรือ ช่องทาง Twitter และ Social Network ได้อีกด้วย

รายละเอียดเพิ่มเติม

http://firsthelp.me

http://nontawattalk.blogspot.com/2011/09/sran-first-help.html

ภาพตัวอย่างระบบแผนที่สถานการณ์ SRAN Firsthelp

เพื่อเป็นการเพิ่มช่องทางการแจ้งเตือนภัย ให้ครอบคลุมปัญหาต่างๆ ทางทีมงานพัฒนา SRAN จึงทำเป็น 5 หมวดหมู่ ดังนี้

1. ภัยพิบัติทางธรรมชาติ ซึ่งแยกได้เป็นภัยพิบัติ ดังนี้- ภัยที่เกิดจากน้ำท่วม
- ภัยที่เกิดจากพายุ

- ภัยที่เกิดจากแผ่นดินไหว

- ภัยที่เกิดจากสึนามิ

- ภัยที่เกิดจากไฟไหม้ป่า

- ภัยแล้ง

- ดินถล่ม

- ฝนตกหนัก

ภาพหน้าจอ Firsthelp : ที่แสดงถึงแผนที่สถานการณ์สำหรับภัยพิบัติทางธรรมชาติ

2. การแพทย์ฉุกเฉิน สำหรับการช่วยเหลือผู้ป่วยฉุกเฉิน

3. เกี่ยวกับสาธารณูปโภค ประกอบด้วย น้ำไม่ไหล , ไฟฟ้าใช้การไม่ได้ , ถนนหลักไม่สามารถใช้งานได้ , ระบบสื่อสารขัดข้อง เป็นต้น

4. เหตุด่วนเหตุร้าย เช่น การแจ้งคนหาย , อุบัติเหตุ การลักขโมยทรัพย์สิน และการแจ้งเบาะแส อื่นๆ

เมื่อ ผู้ใช้งานที่ต้องการแจ้งเหตุส่งข้อความมายังระบบ First Help จะทำประมวลความถูกต้องโดยต้องมีทีมปฏิบัติการคอยตรวจสอบความถูกต้องข้อมูล ถึง 2 ขั้นตอนคือ ขั้นตอน รับรองข้อมูล (Approve) และ ขั้นตอน ยืนยันข้อมูล (Verify) เพื่อให้ข้อความที่ปรากฏในระบบรับแจ้งเหตุได้มีความน่าเชื่อถือมากขึ้น

เมื่อข้อมูลที่ผ่านการรับรอง (Approve) จะขึ้นปรากฏที่หน้าเว็บไซต์ http://firsthelp.me และผ่านเข้ามือถือระบบ Firsthelp Android

ภาพหน้าจอรายงานผล

SRAN First Help มีความยินดีที่จัดทำระบบนี้ให้กับหน่วยงาน / เอกชน / ราชการ ที่สนใจต้องการระบบแผนที่สถานการณ์ เพื่อเป็นศูนย์กลางในการรับแจ้งเหตุ และเบาะแสอื่นๆ ที่พึ่งเป็นประโยชน์ต่อประชาชน สามารถติดต่อทางเราได้ที่ info@gbtech.co.th เรายินดีรับทำระบบแผนที่สถานการณ์ให้พร้อมระบบแจ้งเตือนผ่านมือถือต่อไป

SRAN | Cloud Computer Authentication Services

การระบุตัวตนในการใช้งานอินเทอร์เน็ตนั้น เป็นเรื่องสำคัญอย่างยิ่ง โดยเฉพาะกับองค์กรที่ใช้ระบบเครือข่ายคอมพิวเตอร์ (LAN) ซึ่งมีความจำเป็นต้องเชื่อมต่ออินเทอร์เน็ต หากไม่มีการระบุตัวตนผู้ใช้งานแล้วก็จะไม่สามารถทราบได้ว่าผู้ใช้งานเครื่องคอมพิวเตอร์เครื่องนั้นๆ เป็นใคร และหากมีการกระทำความผิดที่เกี่ยวกับคอมพิวเตอร์เกิดขึ้นในองค์กรแล้ว ก็จะสร้างปัญหาไม่น้อยหากไม่สามารถระบุตัวผู้กระทำความผิดได้ ทั้งยังอาจจะมีผลต่อกฏหมายในด้านความมั่นคงปลอดภัยข้อมูลและพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย

ทีมพัฒนา SRAN ได้เล็งเห็นถึงความสำคัญในเรื่องของการระบุตัวตน จึงได้พัฒนาและจัดทำระบบระบุตัวตนในรูปแบบใหม่ โดยใช้ code name ในการพัฒนาว่า “SRAN Caribou” ซึ่งเป็นระบบระบุตัวตนในรูปแบบ SaaS (Software as a Service) ผ่านระบบ Cloud Computing โดยองค์กรผู้ใช้งานสามารถใช้งานได้โดยไม่ต้องลงทุนซอฟต์แวร์และฮาร์ดแวร์เพิ่มเติม จึงช่วยประหยัดต้นทุนและสร้างความปลอดภัยด้านข้อมูลสารสนเทศให้กับองค์กรมากขึ้น

เหตุผลที่เลือกใช้ “SRAN Caribou” ในการระบุตัวตนผู้ใช้งาน

1. ประหยัดงบประมาณ
ปัจจุบันหน่วยงานขนาดกลางและเล็กในประเทศไทยหลายแห่ง ไม่ว่าจะเป็นบริษัท ห้างร้าน หรือโรงเรียน ยังขาดระบบระบุตัวตนในการใช้งานอินเทอร์เน็ต สาเหตุสำคัญคืองบประมาณในการจัดทำค่อนข้างสูง เนื่องจากการจัดทำระบบระบุตัวตนนั้นยังจำเป็นต้องใช้เครื่องแม่ข่าย (Server) และอุปกรณ์รักษาความมั่นคงปลอดภัยที่มีประสิทธิภาพสูง
จากข้อจำกัดดังกล่าว จึงเป็นที่มาของการออกแบบ SRAN Caribou ขึ้น ให้เป็นระบบ Cloud Computing เพื่อลดต้นทุนการระบุตัวตนผู้ใช้งาน จึงช่วยประหยัดงบประมาณในการจัดซื้อไปได้มากเมื่อเทียบกับการจัดซื้ออุปกรณ์ระบบมาติดตั้งและใช้งานเอง เพราะผู้ใช้บริการไม่จำเป็นต้องมีระบบ Radius Server หรือ Active Directory (Domain Controller) หรือติดตั้งซอฟต์แวร์ หรือฮาร์ดแวร์ใดๆ ก็สามารถใช้งานระบบ SRAN Calibou ได้

2. มีประสิทธิภาพ

การเก็บบันทึกข้อมูลจราจรทางคอมพิวเตอร์ (Log File) ที่ดีนั้น ควรระบุได้ว่า ใคร (who) , ทำอะไร (what) , เวลาใด (when) , ที่ไหน (where) , อย่างไร (how) เพื่อให้สามารถสืบหาประวัติและร่องรอยในการกระทำความผิดจากการใช้ข้อมูลสารสนเทศได้อย่างเหมาะสม
ในส่วน ใคร (who) นั้น หลายคนอาจคิดไปถึงเรื่องการระบุค่า IP Address หรือ MAC Address เพียงอย่างเดียว แต่แท้จริงแล้วหากเพิ่ม Account รายชื่อผู้ใช้งานเข้าไปด้วย จะยิ่งก่อให้เกิดประโยชน์กับองค์กรมากขึ้น และระบุตัวตนผู้ใช้งานได้ชัดเจนยิ่งขึ้น ซึ่งบริการในรูปแบบของ SRAN Calibou จะสามารถจัดทำ Account รายชื่อผู้ใช้งานให้องค์กรได้อย่างมีประสิทธิภาพ

3. สะดวกสบาย
SRAN Caribou ถูกออกแบบให้ระบุตัวตนผู้ใช้งานในรูปแบบของการให้บริการ ทำให้องค์กรที่เลือกใช้ SRAN Caribou ไม่ความจำเป็นต้องลงทุนติดตั้งซอฟต์แวร์และจัดหาเครื่องแม่ข่าย (Server) มาใช้ในองค์กรเพิ่มเติม จึงช่วยเพิ่มความสะดวกในการบริหารจัดการและการใช้งานได้เป็นอย่างมาก

ภาพที่ 1 แผนภาพการใช้งานระบบ SRAN Caribou สำหรับการระบุตัวตนผู้ใช้งานอินเทอร์เน็ต โดยSite 1 , Site 2 , Site 3 หมายถึง หน่วยงานหรือองค์กรผู้ใช้บริการ ซึ่งสามารถทำการระบุตัวตนได้โดยเชื่อมต่ออินเทอร์เน็ต ไปยังศูนย์ Data Center ที่เป็นที่ตั้งของระบบ Cloud Computing ที่ใช้ SRAN Caribou อยู่ ทำให้แต่ละองค์กรสามารถระบุตัวตนผู้ใช้งานได้
ทั้งนี้ เมื่อมีการระบุตัวตนผู้ใช้งานขึ้นแล้ว จะต้องกำหนดผู้ดูแลในแต่ละไซต์งาน ขึ้นมา 1 account ซึ่งสามารถปรับเปลี่ยน และกำหนดสิทธิต่างๆ ในการบริหารจัดการการใช้งานภายในไซต์งานของตน

คุณสมบัติของระบบ SRAN | Caribou

1. สามารถบริหารจัดการ account ผู้ใช้งานแบบรวมศูนย์ได้โดยผ่านอินเทอร์เน็ต

2. สามารถออกรายงาน

-   ผลการ Login ตามรายชื่อ account เวลาเริ่มต้น-สิ้นสุดการใช้งานอินเทอร์เน็ต และระยะเวลาที่ใช้อินเทอร์เน็ต

-   ปริมาณการใช้งานข้อมูลอินเทอร์เน็ต เช่น ปริมาณการ Upload และการ Download ซึ่งรายงานผลตามรายชื่อผู้ใช้งานภายในองค์กรได้

-   จัดเรียงลำดับการใช้งานอินเทอร์เน็ตตามปริมาณข้อมูลการใช้งาน (Bandwidth) ได้

-   สืบค้นประวัติการใช้งานอินเทอร์เน็ตจากรายชื่อ account ได้

3. ผู้ดูแลระบบสามารถใช้งานผ่าน Web Portal กลางที่ใช้ในการบริหารจัดการระบบ account ได้ ผ่านทางอินเทอร์เน็ต ผู้ดูแลระบบจึงไม่ต้องติดตั้งซอฟต์แวร์เพิ่มเติม

ตัวอย่างภาพหน้าจอ

ภาพที่ 2 แสดงหน้าจอระบบบริหารจัดการ จะพบว่ามีการจัดเรียงรายชื่อผู้ใช้งานระบบตามตัวอักษร   ระบุ username ที่ใช้ออกอินเทอร์เน็ต, ค่าไอพี (Private IP Address), ค่า MAC Address และวันเวลาที่เริ่มใช้งานอินเทอร์เน็ต

ภาพที่ 3 แสดงรายงานปริมาณข้อมูลการใช้งาน (Bandwidth) ของผู้ใช้งานแต่ละคน ระบุปริมาณ Bandwidth ที่ใช้, ค่าไอพี (Private IP Address), วันเวลาเริ่มต้น-สิ้นสุดการใช้งานอินเทอร์เน็ต, ระยะเวลาที่ใช้อินเทอร์เน็ต, ปริมาณข้อมูล upload / download

สอบถามรายละเอียดเพิ่มเติมได้ที่ โทร.02-982-5445 , e-mail : info@gbtech.co.th

ทีมพัฒนาวิจัย SRAN DEV

ตรวจสอบความเร็วอินเทอร์เน็ตกับเรา

“ที่ไหนเน็ตเร็วบ้าง”

เป็นคำถามที่ทำให้เกิดเป็นผลงานชิ้นใหม่ของทีมพัฒนา SRAN ที่ชื่อว่า “Check Speed Me” เว็บไซต์http://checkspeed.me
ซึ่งเป็น Project ต่อเนื่องจาก CheckIP Me (http://checkip.me ตรวจสอบตนเองก่อนทำการเล่นอินเทอร์เน็ต)

1. ที่มา
จาก ที่ได้ทำการทดสอบอินเทอร์เน็ตในหลายๆเว็บไซต์ที่เปิดให้บริการ พบ 3 ประเด็นที่ ทีมงาน SRAN Dev คิดอยากทำระบบตรวจสอบความเร็วอินเทอร์เน็ต (Speed Test) แบบใหม่ที่แตกต่างจากเดิม คือ

1.1 พบว่าในหลายเว็บไซต์ที่ให้บริการตรวจสอบความเร็วอินเทอร์เน็ต (Speed Test) ยังไม่ตอบสนองในเรื่องการระบุตำแหน่งที่ตั้งของการทดสอบความเร็วได้อย่างถูก ต้องแม่นยำ หรือ คลาดเคลื่อนจากความเป็นจริงอยู่

1.2 ซอฟต์แวร์ หรือ สคิปต์ (Script) ที่หลายเว็บไซต์ในประเทศไทยนำมาใช้ในการทดสอบความเร็วอินเทอร์เน็ต (Speed Test) เป็นของต่างประเทศทำเสียส่วนใหญ่ใช้ของ ookla net metrics เกือบทั้งหมดที่ให้บริการในประเทศ

1.3 เมื่อพบว่า ซอฟต์แวร์ หรือ สคิปต์ ที่ใช้ทดสอบความเร็วอินเทอร์เน็ต (Speed Test) มักนำเสนอด้วย Flash ดังนั้นหากใช้สมาร์ทโฟนบางยี่ห้อไม่สามารถรองรับการทดสอบความเร็วได้

ทั้ง 3 ประเด็นที่กล่าวมาจึงเป็นที่มาของทีมพัฒนา SRAN จึงได้จัดทำ Check Speed Me ขึ้นเพื่อแก้ไขปัญหาทั้ง 3 ประเด็นที่กล่าว และที่สำคัญเมืองไทยเราจะได้มีซอฟต์แวร์ หรือ สคิปต์ ที่เป็นของคนไทยทำมาใช้กับงานในการทดสอบความเร็วอินเทอร์เน็ต (Speed Test) ซึ่งเป็นอีกทางเลือกหนึ่งของผู้ใช้บริการในการทดสอบความเร็วต่อไป

2. วัตถุประสงค์ ของการพัฒนา
2.1 มีความต้องการที่จะระบุตำแหน่งและพิกัด ของผู้ทดสอบความเร็วอินเทอร์เน็ตได้อย่างอัตโนมัติให้มากที่สุด คลาดเคลื่อนจากตำแหน่งผู้ทดสอบความเร็วไม่เกิน 50 กิโลเมตร โดยไม่พึ่งระบบ GPS

2.2 จัดทำสถิติเพื่อเป็นประโยชน์ต่อผู้ให้บริการอินเทอร์เน็ต และผู้ใช้งานที่ต้องการทดสอบความเร็วให้สามารถตรวจสอบความเร็วอินเทอร์เน็ต ในสถานที่ต่างๆได้ อย่างถูกต้องและแม่นยำมากขึ้น

2.3 ทำระบบให้สามารถระบุค่าตำแหน่ง ค่าไอพี ค่าระบบปฏิบัติการ และค่าบราวเซอร์ เพื่อเป็นการจัดทำสถิติอันเป็นประโยชน์ต่อการพัฒนาบริการของผู้ให้บริการ อินเทอร์เน็ตได้ถูกต้องมากขึ้น

2.4 รองรับระบบเครือข่ายสังคมออนไลน์ เพื่อความสะดวกในการตรวจสอบความเร็วได้เข้าถึงผู้ใช้งานมากขึ้น

2.5 สำหรับผู้ให้บริการอินเทอร์เน็ต ที่ต้องการทำสอบความเร็วเน็ตของเครือข่ายตนเอง ก็สามารถดูประวัติการทดสอบและตำแหน่งพิกัดได้อย่างแม่นยำ อีกทั้งออกเป็นรายงานผลอันแม่นยำมากขึ้น

3. วิธีใช้งาน
การใช้งาน Check Speed Me สามารถทำได้ 2 ทางคือ
- ผ่านเว็บไซต์ http://checkspeed.me
- ผ่าน Facebook Application http://apps.facebook.com/checkspeed

ซึ่งทั้งคู่มีการใช้งานเหมือนกัน เมื่อเข้าใช้บริการ Check Speed Me
3.1 ข้อควรปฏิบัติ ดังนี้

- หากใช้คอมพิวเตอร์ทั่วไป ไม่ว่าเป็นคอมพิวเตอร์ ตั้งโต๊ะ (PC) หรือ โน็ตบุ๊ค (Notebook) ควรใช้บราวเซอร์ (Browser) ที่ทันสมัย เช่น
หากใช้ Internet Explore จากระบบปฏิบัติการ Windows Microsoft ควรใช้ IE 8.0 ขึ้นไป
หากใช้ Firefox ควรใช้ Firefox 3.5 ขึ้นไป
หากใช้ Safari ควรใช้ version 5.0 ขึ้นไป
หากใช้ Chrome ควรใช้ version 5.0 ขึ้นไป
หากใช้ Opera ควรใช้ version 10.0 ขึ้นไป
ซึ่ง ในปัจจุบันส่วนใหญ่แล้วบราวเซอร์จะให้ผู้ใช้งานอัพเดทเวอร์ชั่นใหม่ให้โดย อัตโนมัติอยู่แล้วจึงไม่มีปัญหาในการใช้บริการ Check Speed Me สำหรับใช้คอมพิวเตอร์ทั่วไปทดสอบ

ในคอมพิวเตอร์ควรทำการ Allow location เมื่อบราวเซอร์ (Browser) จากคอมพิวเตอร์ หรือ จากมือถือ ได้ถาม เพราะส่วนนี้จะทำให้ทราบตำแหน่งที่ใกล้เคียงความเป็นจริงของผู้ใช้งานมาก ที่สุด คลาดเคลื่อนไม่เกิน 5 กิโลเมตรจากตำแหน่งผู้ใช้งาน

- หากใช้สมาร์ทโฟน / Tablet นั้นสามารถใช้บริการนี้ต้องเปิด Location Services ที่ชนิดบราวเซอร์ (Browser) ไว้ก็สามารถใช้งานได้ทันที

 

เมื่อได้เปิดเข้าเว็บไซต์ http://checkspeed.me จะเห็นว่าบราวเซอร์ถามให้คลิกเพื่อแชร์ตำแหน่ง ให้ผู้ใช้งานคลิก Share Location

การทดสอบความเร็วกดปุ่ม Click here! ระบบจะทำการ Loading เพื่อตรวจสอบความเร็วอินเทอร์เน็ต

3.2 เมนูและการใช้งาน

เมนูใน Check Speed Me ประกอบด้วย
- Top Speed จัดเรียงสถิติผู้ให้บริการรายใดที่ทำการทดสอบความเร็วแล้วมีค่า Bandwidth สูงที่สุด
(786 x 512)

 

ภาพแสดงผลสถิติในเมนู Top Speed จากภาพเป็นผลการเก็บสถิตเริ่มต้นในวันที่ 22 เมษายน 2554

- Organization จัดเรียงค่าเฉลี่ย Bandwidth ตามรายชื่อหน่วยงาน / ผู้ให้บริการอินเทอร์เน็ต
การวัดค่าความเร็ว Bandwidth ในส่วนนี้จะเกิดจากการวัดจากค่าเฉลี่ย จากจำนวนครั้งที่ทดสอบโดยทำการเรียงลำดับค่าเฉลี่ยจากมากไปน้อย

ภาพแสดงผลสถิติในเมนู Organization จากภาพเป็นผลการเก็บสถิตเริ่มต้นในวันที่ 22 เมษายน 2554

- Location คือจัดทำสถิตการทดสอบความเร็วอินเทอร์เน็ต ตามที่อยู่ของผู้ที่ทำการทดสอบ ซึ่งส่วนนี้จะทำให้เราทราบว่า ตำแหน่ง / ที่อยู่ / สถานที่ ใดที่มีความเร็วในการใช้งานอินเทอร์เน็ตสูงสุด ซึ่งค่าการจัดสถิติที่ได้นั้นเป็นค่าเฉลี่ยจากการทดสอบ โดยทำการเรียงลำดับค่าเฉลี่ยจากมากไปน้อย

ภาพแสดงผลสถิติในเมนู Location จากภาพเป็นผลการเก็บสถิตเริ่มต้นในวันที่ 22 เมษายน 2554

ทั้งหมดที่กล่าวมานี้ ก็ถือว่าเป็นอีกผลงานหนึ่งที่ทีมพัฒนา SRAN ความตั้งใจและภูมิใจนำเสนอ
ช่วงนี้จึงอยากขอความร่วมมือ พี่น้องในสังคมออนไลน์ (Facebook Check Speed ME) ลองช่วยกันทดสอบกันหน่อย เพื่อว่าจะได้มีการแก้ไขปรับปรุงโปรแกรมให้ดีขึ้นต่อไป

ขอบคุณครับ

Link ผลงาน SRAN พัฒนา ที่ได้จัดทำในรูปแบบ Web-base Application

SRAN Data Safehouse : http://safehouse.sran.net
SRAN Lookup : http://www.sran.org
Check IP Me : http://checkip.me
Protect your Link : http://sran.it
olo Mission invisible : http://olo.im

ความปลอดภัยข้อมูลเริ่มจากตัวเองก่อน

SRAN Technology ได้พัฒนาเว็บไซต์เพื่อตรวจสอบเครื่องคอมพิวเตอร์ เพื่อเตรียมความพร้อมใช้งานอินเทอร์เน็ต ด้วยนิยามที่ว่า

“Check Yourself Before Using The Internet : ตรวจสอบเครื่องคุณก่อนใช้งานอินเทอร์เน็ต”

เพราะเราเชื่อว่าความมั่นคงปลอดภัยข้อมูลจะเกิดขึ้นได้ ต้องเริ่มจากตัวเองเสียก่อน หากเครื่องคอมพิวเตอร์ของเราปลอดภัย เครื่องอื่นๆ ที่จำเป็นต้องใช้ข้อมูลร่วมกับเราไม่ว่าจะเป็นการแชร์ files การส่ง e-mail หรือการสำเนาข้อมูลลง USB Drive ก็จะทำให้เครื่องอื่นๆปลอดภัยไปด้วย  เริ่มปลอดภัยจากจุดเล็กๆ ไปสู่ความปลอดภัยในสังคมออนไลน์ ในระดับเครือข่ายองค์กร และประเทศชาติในที่สุด

ทีมงาน SRAN ต้องการสร้างความตระหนัก (Security Awareness) ให้กับผู้ใช้งานอินเทอร์เน็ตในเมืองไทย เนื่องจากปัจจุบันพบว่า ผู้ใช้งานอินเทอร์เน็ตในประเทศไทย ต้องเป็นเหยื่อทางเทคนิค หรือเรียกว่า Zombie จากการรู้เท่าไม่ถึงการณ์จำนวนมาก  ซึ่งในที่สุดแล้วจะพบว่าเหยื่อจาก 1 เครื่องรวมตัวกันจากหลายๆ เครื่องจนกลายเป็นกองทัพเหยื่อ ที่เรียกว่า Botnet  ซึ่งเป็นเครื่องมือให้กับนักโจมตีระบบ ที่สร้างความเสียหายให้เกิดขึ้นในปัจจุบันนี้ไม่ว่าเป็นภัยคุกคามการโจมตี ชนิด DDoS/DoS , Spam mail และ Worm ชนิดต่างๆที่ทำให้ข้อมูลจราจร (Traffic Data) เกิดปริมาณข้อมูลมากจนทำให้เครือข่ายคอมพิวเตอร์ประสบกับปัญหา  ดังนั้นเพื่อเป็นการลดจำนวนเครื่องคอมพิวเตอร์ที่เป็นเหยื่อทางเทคนิคที่เกิดขึ้นภายในประเทศ

จึงที่มาว่า เราจะต้องทำเว็บไซต์หนึ่งขึ้นเพื่อเป็นการตรวจสอบเครื่องคอมพิวเตอร์ผู้ใช้งาน และควรเป็นเว็บแรกที่ผู้ใช้งานควรเข้ามาตรวจสอบตัวเองก่อนที่จะไปเปิดเว็บอื่นๆ  เหตุผลก็เพียงเพื่อตรวจสอบเครื่องคอมพิวเตอร์ของคุณพร้อมที่จะใช้งานในโลกอินเทอร์เน็ตหรือไม่

ผ่านเว็บไซต์ที่ชื่อ  http://checkip.me ซึ่งให้บริการฟรี ไม่เสียค่าใช้จ่ายแต่อย่างใดซึ่งถือได้ว่าเป็นนวัฒกรรมบริการ ที่ทีมงาน SRAN ต้องการมอบให้กับสังคมออนไลน์ในประเทศไทย ให้ผู้ใช้งานคอมพิวเตอร์รู้จักตรวจสอบเครื่องคอมพิวเตอร์ของตนเองก่อนเล่นใช้งานอินเทอร์เน็ต ผ่านระบบ CheckIP.Me

โดยส่วนที่เป็นคุณสมบัติของนวัฒกรรบริการ (CheckIP Me) นำแสดง  ได้แก่

1. เราจะรู้ว่าเราใช้ IP Address อะไร

2. เราใช้ ISP อะไร, ค่าที่ตั้ง ASN

3. สถานที่ที่เราใช้อินเทอร์เน็ตอยู่ที่ใด ผ่านแผนที่ทางดาวเทียม

4. ระบบปฏิบัติการเครื่องคอมพิวเตอร์เราเป็นอะไร

5. เราใช้บราวเซอร์ชนิดใด

6. ความละเอียดของหน้าจอเราเพียงใด

7.  ก่อนนี้เราค้นพบเว็บนี้ได้อย่างไร ด้วยคำค้นหาว่าอะไร

8. เครื่องของเรามีความเร็วอินเทอร์เน็ตเท่าไหร่

9. เครื่องของเรามีช่องโหว่ที่เป็นภัยต่อเครื่องหรือไม่ (อยู่ระหว่างการจัดทำ)

จากการคลิกเว็บ http://checkip.me ก็จะทำให้เราทราบถึงข้อมูลที่เราต้องการรู้ทั้ง 9 ข้อนี้

หน้าจอการแสดงผลหลังจากเข้าเว็บ http://checkip.me

ปัจจุบันนี้ทีมงาน SRAN ได้ปรับปรุงเว็บไซต์ www.sran.org โฉมใหม่เพื่อใช้เป็นการสืบหาข้อมูลทางอินเทอร์เน็ตที่ใช้เทคนิค Advance Whois เพื่อดูความเชื่อมโยงของ IP , DNS และค่า ASN  รวมถึงสถิติการเข้าดูข้อมูลเว็บไซต์ที่ต้องการค้นหา และเข้าถึงข้อมูลได้อย่างปลอดภัยผ่านเทคโนโลยีที่เรียกว่า Web Forward  ซึ่งจะทำให้การเข้าถึงเว็บไซต์ปลายทางมีความมั่นคงปลอดภัยทางด้านข้อมูลมากขึ้น  จุดประสงค์ในการสร้างสรรค์ www.sran.org ขึ้นมานั้นก็จากนิยามที่ว่า “เทคโนโลยี ที่ดีต้องมีประโยชน์กับสังคม”  ดังนั้นในเว็บไซต์ www.sran.org ส่วนหนึ่งก็เพื่อว่าจะรวบรวมเทคโนโลยี  ที่ทีมงาน SRAN ได้พัฒนาขึ้นในรอบ 7 ปี มารวบรวมในที่เดียวกัน

กำลังอยู่ในขั้นตอนพัฒนากำหนดแล้วเสร็จให้บริการได้วันที่ 12 สิงหาคม ศกนี้ เพื่อเทอดพระเกียรติพระราชินี และทดแทนบุญคุณแม่ในวันแม่แห่งชาติ

งานแถลงข่าวโครงการ “ไทยช่วยไทย ไอทีคุ้มค่า ใช้ SRAN คุ้มครอง”

โกลบอลเทคฯ จับมือยักษ์ใหญ่ไอที แพลนเน็ตคอม และแวลลูฯ ออกแคมเปญ “ไทยช่วยไทย ไอทีคุ้มค่า ใช้ SRAN คุ้มครอง” มอบสิทธิพิเศษ พร้อมบริการครบวงจร 5 คุ้ม ปลุกพลังดันตลาด IT Security ปี 52

บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด ผู้คิดค้นและพัฒนาผลิตภัณฑ์และบริการด้านการเฝ้าระวังภัยคุกคามเครือข่าย สารสนเทศ “สราญ” (SRAN) จับมือ 2 ค่ายยักษ์ บริษัท แพลนเน็ต คอมมิวนิเคชั่น เอเชีย จำกัด และบริษัทเดอะแวลลูซิสเตมส์ จำกัด ผู้จัดจำหน่ายสินค้าและให้บริการด้านไอทีรายใหญ่ในประเทศไทย ออกแคมเปญ “ไทยช่วยไทย ไอทีคุ้มค่า ใช้ SRAN คุ้มครอง” มอบสิทธิพิเศษ พร้อมบริการครบวงจร 5 คุ้ม เพื่อรักษาระดับการให้ความสำคัญเรื่อง IT Security พร้อมปลุกพลังผู้ประกอบการไทยใช้สินค้าแบรนด์ไทยในยุครัดเข็มขัด

นายนรัตถ์ สาระมาน กรรมการผู้จัดการ บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด หรือ SRAN กล่าวว่า “จากภาวะเศรษฐกิจชะลอตัวในปัจจุบัน ส่งผลให้ทุกองค์กรต้องควบคุมงบประมาณการใช้จ่ายในทุกด้าน โดยพบว่าอุตสาหกรรมเทคโนโลยีสารสนเทศ และการสื่อสารของไทยใน ปี 52 นี้ จะเติบโตเพียง 5.2% ลดลงจากปีก่อนที่เติบโตถึง 8.3% แต่อย่างไรก็ตามยังเชื่อมั่นว่ามูลค่าตลาด IT Security โดยทั่วไปจะมีมูลค่าราว 3-5% ของมูลค่าตลาด IT รวม โดยปีนี้คาดว่าจะมีมูลค่าอยู่ที่ 5,000 ล้านบาท และเติบโตจากปี 51 เป็น 8-10% ทั้งนี้การเติบโตดังกล่าวยังคงมาจากปัจจัยหลักของการบังคับใช้ พ.ร.บ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 รวมไปถึงการผลักดันของภาครัฐและผู้ที่เกี่ยวข้อง ที่ช่วยกันสร้างความรู้ความเข้าใจให้กับผู้ประกอบการและประชาชนทั่วไป ในเรื่องประโยชน์ของการเฝ้าระวังภัยคุกคาม และเก็บบันทึกข้อมูลจราจร (Log File) ทั้งในด้านเครือข่ายคอมพิวเตอร์และเว็บไซต์

ดังนั้นเพื่อเป็นการตอกย้ำและรักษาระดับการให้ความสำคัญเรื่อง IT Security รวมทั้งยังเป็นการช่วยให้ผู้ประกอบการสามารถใช้งบประมาณให้เกิดประสิทธิภาพ ด้วยความคุ้มค่าสูงสุด พร้อมไปกับการให้ความร่วมมือในการกระตุ้นเศรษฐกิจไทยด้วยการสนับสนุนสินค้า แบรนด์ไทย ไม่ให้เงินทองรั่วไหลออกนอกประเทศ SRAN จึงร่วมมือกับ แพลนเน็ตคอม และ แวลลูฯ ผู้แทนจำหน่าย ออกแคมเปญ “ไทยช่วยไทย ไอทีคุ้มค่า ใช้ SRAN คุ้มครอง” มอบสิทธิพิเศษ พร้อมบริการครบวงจร 5 คุ้ม ครอบคลุมความปลอดภัยทั้งเครือข่ายคอมพิวเตอร์และเว็บไซต์ คือ

คุ้ม 1 สิทธิพิเศษ เมื่อซื้อ SRAN Security Center ทุกรุ่นในราคาพิเศษ ลดมากกว่า 20%

คุ้ม 2 ฟรี! บริการ SRAN Data Safehouse เพื่อสนับสนุนการเก็บข้อมูลจราจร สถิติการใช้งานและเฝ้าระวังภัยคุกคามสำหรับเว็บไซต์รองรับ พ.ร.บ.คอมพ์

คุ้ม 3 บริการหลังการขายครบวงจร SRAN Service Center บริการฝึกอบรมการใช้งาน ตลอดจนช่วยแก้ไขปัญหาของฮาร์ดแวร์ และซอฟต์แวร์

คุ้ม 4 บริการบริหารจัดการ One Security Service ทางเลือกใหม่ของ IT Security Outsourcing ที่ช่วยดูแลข้อมูลจราจร และความปลอดภัยเครือข่ายสารสนเทศ ด้วยทีมงานมืออาชีพ ครอบคลุมขั้นตอนตั้งแต่การประเมินความเสี่ยง เพื่อหาช่องโหว่ของระบบเครือข่าย ดำเนินการปิดช่องโหว่และออกแบบเครือข่ายให้ปลอดภัยขึ้น และขั้นตอนสุดท้าย คือ การให้บริการเก็บบันทึกข้อมูลจราจรทางคอมพิวเตอร์ (Log File) พร้อมดูแลความปลอดภัยข้อมูลองค์กรและป้องกันภัยคุกคามเครือข่ายสารสนเทศ หรือ ที่เรียกว่า Managed Security Service (MSSP)

คุ้ม 5 ซื้อสินค้าไทย กระตุ้นเศรษฐกิจไทย เงินทองไม่รั่วไหลออกนอกประเทศ

โดยการร่วมมือของพันธมิตร แพลนเน็ตคอม และแวลลูฯ ในครั้งนี้ ถือว่าเป็นการต่อยอดกลยุทธ์การตลาดจากปีที่แล้วที่ตั้งเป้าขยายฐานลูกค้าให้ ครอบคลุมทุกเซ็กเม้นท์ โดยแบ่งฐานลูกค้าออกเป็น 2 กลุ่ม โดยแพลนเน็ตคอม เป็นผู้แทนจำหน่ายสำหรับกลุ่มธุรกิจขนาดใหญ่ และแวลลูฯ เป็นผู้แทนจำหน่ายสำหรับกลุ่มธุรกิจขนาดย่อม – ขนาดกลาง หรือ กลุ่ม SMEs นอกจากการขยายฐานลูกค้าใหม่แล้ว เรายังมุ่งมั่นรักษาฐานลูกค้าเก่าด้วยการพัฒนาผลิตภัณฑ์และบริการอย่างไม่ หยุดยั้ง เพื่อสนองความต้องการสูงสุดของลูกค้า ให้เกิดความประทับใจ และความภักดีต่อแบรนด์ SRAN

นอกเหนือจากนี้ SRAN ยังได้รับความร่วมมือที่ดีจากทั้ง 2 พันธมิตร ในการเพิ่มช่องทางการตลาด โดยการให้บริการ MSSP ด้วยอุปกรณ์ SRAN Security Center ที่ช่วยเก็บบันทึกข้อมูลจราจร (Log File) พร้อมดูแลความปลอดภัยข้อมูลองค์กรและป้องกันภัยคุกคามเครือข่ายสารสนเทศให้ แก่ลูกค้าได้แบบ real-time ตลอด 24 ชั่วโมง ด้วยทีมงานมืออาชีพ ซึ่งจะช่วยให้องค์กรประหยัดทั้งค่าใช้จ่ายในการลงทุน ประหยัดเวลาและไม่ต้องจัดหาบุคลากรเอง โดยการให้บริการที่ครบวงจรดังกล่าวข้างต้น ทำให้โกลบอลเทคฯ มั่นใจว่าเป้ารายได้ในปี 52 จะสูงขึ้น 50% จากปีที่ผ่านมา” นายนรัตถ์กล่าว

ด้านนายประพัฒน์ รัฐเลิศกานต์ กรรมการผู้จัดการ บริษัท แพลนเน็ต คอมมิวนิเคชั่น เอเชีย จำกัด กล่าวว่า “แพลนเน็ตคอม มีนโยบายในการมอบบริการแบบครบวงจร ด้วยการคัดสรรผลิตภัณฑ์ที่มีคุณภาพสูง ราคาที่เหมาะสม รวมทั้งให้บริการก่อนและหลังการขาย และมุ่งหวังให้การใช้เทคโนโลยีเกิดประโยชน์อย่างมีประสิทธิภาพสูงสุดและคุ้ม ค่าเงินลงทุน เราเห็นว่าแคมเปญ “ไทยช่วยไทย ไอทีคุ้มค่า ใช้ SRAN คุ้มครอง” จะเป็นประโยชน์ต่อองค์กรตั้งแต่ขนาดใหญ่ไปจนถึงขนาดเล็กในการเข้าถึงระบบ รักษาความปลอดภัยเครือข่ายสารสนเทศที่มีประสิทธิภาพ อีกทั้งยังเป็นการสนับสนุนสินค้าไทย ซึ่งจะมีผลต่อการเสริมสร้างความเข้มแข็งมั่นคงทางเศรษฐกิจของประเทศด้วย”

นายธงชัย พรรควัฒนชัย กรรมการบริหาร ฝ่ายช่องทางการจัดจำหน่าย บริษัท เดอะแวลลู ซิสเตมส์ จำกัด กล่าวว่า “แม้ช่วงนี้ลูกค้าของแวลลูฯ ซึ่งส่วนใหญ่อยู่ในกลุ่ม SMEs จะกำลังเผชิญกับภาวะเศรษฐกิจชะลอตัว ทำให้หลายรายลดค่าใช้จ่ายขององค์กรลงไปบ้างก็ตาม แต่ผมเชื่อมั่นว่าสภาวการณ์ดังกล่าว

ไม่มีผลกระทบต่อการจัดจำหน่ายสินค้า SRAN มากนัก เนื่องจากเป็นประเภทสินค้าที่องค์กรทุกระดับที่มีการเชื่อมโยงกับระบบเครือ ข่ายจำเป็นต้องใช้ เพราะเกี่ยวเนื่องกับกฎหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ อย่างไรก็ตาม แม้ว่าลูกค้าบางรายยังไม่มีนโยบายที่จะลงทุนด้านการเฝ้าระวังระบบเครือข่าย ของตน ก็ไม่ส่งผลกระทบต่อระบบการทำงานในองค์กร แต่ถ้าเมื่อใดที่มีผู้ไม่หวังดีเข้ามาในระบบเครือข่ายขององค์กรและใช้เป็น ช่องทางในการกระทำความผิด ก็อาจเกิดปัญหาทางด้านกฎหมายตามมาได้

ทางเดอะแวลลูซิสเตมส์จะทำหน้าที่ช่วยกระตุ้นให้ลูกค้าตระหนักถึงประโยชน์ และความสำคัญของการเฝ้าระวังภัยคุกคามที่อาจเกิดจากระบบเครือข่ายขององค์กร ของตนมากขึ้น และจากการที่โกลบอลเทคฯ ได้เสนอแคมเปญ ‘ไทยช่วยไทย ไอทีคุ้มค่า ใช้ SRAN คุ้มครอง’ โดยให้ส่วนลดสินค้าทุกรุ่นมากกว่า 20% รวมทั้งยังมอบบริการหลังการขายให้อีกมากมายออกมาในช่วงนี้ ผมเชื่อว่าลูกค้าในกลุ่ม SMEs ของเราประมาณ 20% จากทั้งหมดหมื่นกว่ารายจะให้การตอบรับและให้ความสนใจต่อแคมเปญนี้เป็นอย่าง ดี เพราะสิ่งนี้เป็นเสมือนการให้ความช่วยเหลือซึ่งกันและกันในช่วงที่เกิดภาวะ เศรษฐกิจตกต่ำนั่นเอง” นายธงชัยกล่าว

ทั้งนี้ผู้ประกอบการ และผู้ที่สนใจสามารถรับสิทธิพิเศษได้ตั้งแต่วันนี้ ถึง วันที่ 31 ธันวาคม 2552 นี้ หรือสอบถามรายละเอียดเพิ่มเติมได้ที่ บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด โทร. 02-982-5445 หรือ www.gbtech.co.th

IT providers jointly launched “Thai for THAI with SRAN effective IT Security Solutions” campaign to boost IT security market

Global Technology Integrated Co Ltd, developer of SRAN IT security solutions, is collaborating with major IT distributors, Planet Communication Asia Co Ltd and The Value Systems Co Ltd, in a “Thai for THAI with SRAN effective IT Security Solutions” campaign. The campaign promotes the importance of IT security solutions and will encourage business operators to opt for local IT products in this period of economic downturn.

Thai for THAI with SRAN effective IT Security Solutions campaign offers five privileges including discount on products plus free website security and full range of supporting services, and buyers will also be contributing to the revival of the economy.

“The present economic downturn leads to budget-saving in all business sectors. Thus, Thailand’s communication and information technology industry is projected to grow by only 5.2 percent in 2009, declining from 8.3 percent last year,” said Narat Saraman, Managing Director of Global Technology Integrated.

“However, IT security segment normally accounts for 3 to 5 percent of the overall IT market value, but this year we believe the proportion will increase to 8 to 10 percent or five billion baht. The growth results from the implementation of the Computer Crimes Act and efforts from the government and related parties to raise awareness of business and public to concern more about IT security, both computer network and website aspects, and computer traffic data (Log File) recording.

“Thai for THAI with SRAN effective IT Security Solutions campaign will provide integrated security for computer networks and websites, while focusing on the importance of IT security, budget saving with effective solutions, and stimulating Thai economy by supporting local products and services.”

The five privileges offered by the campaign including: over 20 percent discount on SRAN Security Center; free SRAN Data Safehouse for websites; SRAN Service Center – an after-sale service to support training and problem solving; One Security Service – an outsource service providing risk assessment, implementation and managed security service (MSSP) to record all Log Files together with network monitoring and threat detection; and an opportunity to take part in stimulating Thai economy.

“Global Tech aims to expand its target market to cover all segments and increase its marketing channels,” said Narat. “PlanetComm is the distributor for large enterprise customers, while The Value distributes to SMEs. Besides attracting new customers, we intend to continuosly satisfy existing customers by developing products and services to maximize customer satisfaction and strengthen brand loyalty.”

“With the good cooperation from both distributors to increase marketing channels by providing MSSP solution using SRAN Security Center, all organizations can access IT security and record log files while saving cost, time and personnel. We are sure that the full range of services we offer will drive our 2009 revenue up by 50 percent from last year.” Mr. Narat said.

Prapat Ratlertkarn, Managing Director of Planet Communication Asia, said “Our policy is to provide high quality products at reasonable prices, as well as pre- and post-sale services aiming that our customers will gain benefit from efficient technology and save their budget.

“Thai for THAI with SRAN effective IT Security Solutions campaign will benefit all sizes of organizations, from small to large enterprise, to access effective IT security and push Thai economy by supporting local products.”

Thongchai Puckwattanachai, Executive Vice President of The Value Systems, said that most of our customers are SMEs and in the face of economic downturn, some of them are forced to curb their spending.

“But I’m sure that the distribution of SRAN’s product will not be much affected, because this kind of equipment is necessary for all organizations having network connection in order to comply with Computer Crime Act,” he said.

“The absence of IT Security system may not affect working procedure, but problems may arise if any intruders attack the network and use it in an improper way which is against the law. At The Value Systems, we’re urging our customers to realize on the importance of IT Security, and we expect this campaign of over 20 percent discount on products plus full range of services will be welcomed by our SMEs customers, 20% out of over 10,000 customers. Also, the campaign is a good support to help each other in a current economic recession” Mr. Thongchai said.

Thai for THAI with SRAN effective IT Security Solutions campaign will be valid until December 31, 2009. For further information, contact Global Technology Integrated at 02-982-5445 or visit www.gbtech.co.th

ความหมาย Shell Code ที่ SRAN ตรวจจับเจอ

ชื่อ : SHELLCODE x86 NOOP

ความหมาย :

พบชุดคำสั่ง NOP (No Operation) สำหรับ CPU x86 ซึ่งมีโอกาสที่จะเกิด Buffer Overflow exploit ได้

ชุดคำสั่งที่พบได้แก่

1. 90 90 90 90 90 90 90 90 90 90 /bin/sh
2. AAAAAAAAAAAAAAAAAAAAAAAAA

ส่วนมากจะถูกแทรกเข้ามาใน โปรแกรมภาษา C ซึ่งใช้คำสั่งร่วมกับภาษา Assembly

การวิเคราะห์ :

Signature ในหมวด shellcode นี้ต้องวิเคราะห์ใน payload ให้อย่างละเอียดเพราะว่ามีโอกาสที่จะเกิดความผิดพลาดได้ง่ายเนื่องจากใน ปัจจุบันข้อมูลทาง LAN , WAN มีส่วนซ้ำๆกันมาก

เช่น การส่งไฟล์ขนาดใหญ่ , ข้อความใน Web , IRC , IM ที่มีรูปแบบตรงกับ Signature นี้

เหตุการณ์ที่เจอมากที่สุดของ SHELLCODE นี้คือเหตุการณ์ที่เกิดขึ้นกับ port 137

การโจมตี XSS ตอนที่ 1

จากที่ทาง www.datasafehouse.net ซึ่งเป็นบริการเสริมสร้างความปลอดภัยให้กับเว็บไซต์ได้เปิดเผยสถิติเกี่ยว กับเว็บไซต์ในประเทศไทยที่มีความเสี่ยงต่อการโจมตีมีถึง 41 เว็บ (รายละเอียด) ส่วนใหญ่แล้วเป็นช่องโหว่เว็บที่เกิดจากเทคนิคที่เรียกว่า XSS
Cross-site scripting (XSS) คือช่องโหว่ในคอมพิวเตอร์ชนิดหนึ่งที่มักพบในเว็บแอพพลิเคชั่นซึ่งยอมให้
ผู้ใช้เว็บที่มีเจตนาร้ายสามารถส่งโค้ดคำสั่งเข้าไปในหน้าเว็บที่ผู้ใช้เว็บคนอื่น ๆ เปิดดู ตัวอย่างของโค้ดดังกล่าวได้แก่
โค้ด HTML และสคริปต์ฝั่งไคลเอ็นท์ ผู้โจมตีสามารถใช้ช่องโหว่ cross-site scripting เพื่อหลบหลีกมาตรการ
ควบคุมการเข้าถึง เช่น same origin policy เมื่อไม่นานมานี้ช่องโหว่ประเภทนี้ถูกใช้เพื่อสร้างการโจมตีฟิชชิ่งและช่อง
โหว่เบราว์เซอร์อันทรงพลัง แต่เดิม Cross-site script ใช้ตัวย่อว่า CSS อย่างไรก็ตามตัวย่อนี้ไม่เป็นที่นิยมอีกต่อไป

ความเป็นมาการโจมตี XSS

เมื่อ เน็ตสเคปเผยแพร่ภาษาจาวาสคริปต์เป็นครั้งแรก พวกเขาตระหนักถึงความเสี่ยงด้านความปลอดภัยของการยอมให้เว็บเซิร์ฟเวอร์ สามารถส่งโค้ดที่สามารถเอ็กซิคิวท์ได้มายังเบราว์เซอร์ (ถึงแม้จะเพียงแต่ใน sandbox ของเบราว์เซอร์ก็ตาม) ปัญหาหลักในกรณีนี้เกิดขึ้นเมื่อผู้ใช้เปิดมากกว่าหนึ่งหน้าต่างในคราว เดียวกัน ในบางครั้งสคริปต์จากหน้าหนึ่งควรได้รับอนุญาตให้สามารถเข้าถึงข้อมูลในอีก หน้าหนึ่งหรือออบเจคท์หนึ่งได้ นอกจากนั้นแล้วควรปฏิเสธอย่างเข้มงวด เนื่องจากเว็บไซต์ที่มีเจตนาร้ายอาจพยายามขโมยข้อมูลข่าวสารที่เป็นความลับ โดยใช้วิธีนี้ ด้วยเหตุผลนี้จึงมีการเผยแพร่การใช้ same-origin policy โดยพื้นฐานแล้วนโยบายนี้ยอมให้มีการปฏิสัมพันธ์กันระหว่างออบเจคท์และ หน้าต่าง ๆ ตราบใดที่ออบเจคท์เหล่านี้มาจากโดเมนและโปรโตคอลเดียวกัน ด้วยวิธีนี้เว็บเพจมุ่งร้ายไม่สามารถเข้าถึงข้อมูลความลับที่อยู่ในในอีก หน้าต่างหนึ่งของเบราว์เซอร์ผ่านทางจาวาสคริปต์ได้

ตั้งแต่นั้นมา ได้มีการนำนโยบายควบคุมการเข้าถึงต่าง ๆ มาใช้กับเบราว์เซอร์และภาษาฝั่งไคลเอ็นท์ตัวอื่น ๆ เพื่อป้องกันผู้ใช้จากเว็บไซต์ที่มีเจตนาร้าย โดยทั่วไปช่องโหว่ cross-site scripting มักจะถูกมองว่าเป็นช่องโหว่ที่ยอมให้ผู้โจมตีสามารถหลบหลีกกลไกป้องกันเหล่า นี้ได้ โดยการค้นวิธีการที่ชาญฉลาดในการส่งสคริปต์มุ่งร้ายเข้าไปในหน้าเว็บของ โดเมนอื่น ๆ ผู้โจมตีสามารถยกระดับการเข้าถึงเนื้อหาของเว็บที่เป็นความลับ คุกกี้ และออบเจคท์อื่น ๆ หลากหลาย

ในปัจจุบันมีช่องโหว่ XSS ที่รู้จักกันอยู่สามชนิด (จะเรียกว่า ชนิด 0, ชนิด 1, และ ชนิด 2 เพื่อใช้ในการอธิบายแต่ชื่อเหล่านี้ไม่ได้เป็นชื่อมาตรฐานที่ใช้กัน ถ้าเป็นไปได้ก็จะกล่าวถึงชื่อเรียกอื่น ๆ ด้วย)

Continue Reading »

SRAN เตือน 41 เว็บไทยมีโอกาสถูกเจาะระบบ

ปัจจุบันนี้เราปฏิเสธมิได้ว่าเว็บไซด์คือประตูสู่องค์กรของเรา หากเว็บไซด์ขององค์กรเรามีช่องโหว่ ซึ่งทำให้เกิดการเข้าถึงระบบเปลี่ยนแปลงข้อมูลในเว็บไซด์หรือทำให้เว็บไซด์ของเราเกิดอาการใช้งานไม่ได้แล้ว ความเสียหายจะกระทบสู่องค์กรของเราได้ โดยเฉพาะด้านชื่อเสียงซึ่งไม่สามารถประเมินเป็นราคาได้

ผลการสำรวจเว็บไซด์ทั่วโลกที่มีโอกาสที่จะเข้าถึงระบบได้นั้นประกอบไปด้วยเทคนิคต่างโดยสรุปได้ดังนี้

Classes of Attack (นำมาข้อมูลจาก Webappsec)

Abuse of Functionality	Brute Force	Buffer Overflow
Content Spoofing	Credential/Session Prediction	Cross-site Scripting
Denial of Service	Directory Indexing	Format String Attack
Information Leakage	Insufficient Anti-automation	Insufficient Authentication
Insufficient Authorization	Insufficient Process Validation	Insufficient Session Expiration
LDAP Injection	OS Commanding	Path Traversal
Predictable Resource Location	Session Fixation	SQL Injection
SSI Injection	Weak Password Recovery Validation	XPath Injection
* Fingerprinting	* HTTP Response Splitting

เมื่อวิเคราะห์ดูแล้วพบว่าการเข้าถึงระบบเว็บไซด์ทุกวันนี้ส่วนใหญ่เกิดจากการที่นักโจมตีระบบ (hacker) ใช้เทคนิค Cross Site Scriping หรือเรียกสั้นๆ ว่า XSS

สถิติช่องโหว่ที่พบบน Web Application

พบว่า XSS นั้นยังเป็นภัยคุกคามที่อันตรายสำหรับเว็บไซด์ ลักษณะการโจมตี XSS attack สามารถแบ่งได้ 3 รูปแบบคือ

Type 0 (DOM base or Local) , Type 1 (Reflective attack) และ Type 2 (Consistent attack) ผู้ได้รับผลกระทบคือผู้ใช้งานที่ไม่ระวัง และมีช่องโหว่ที่บราวเซอร์ ซึ่งมีผลทำให้นักโจมตีฝั่งซอฟต์แวร์ที่เว็บไซด์ทำการหลอกลวง (social networking) ไปใส่สคิปต์ผ่านเว็บไซด์ที่มีช่องโหว่ XSS (Cross site scripting) ได้ ดังนั้นเว็บไซด์ที่มีช่องโหว่ XSS อาจเป็นสาเหตุที่ทำให้เกิดภัยคุกคามอื่นๆ ตามมาเช่นการขโมย session เพื่อเข้าถึงระบบ การทำให้เกิดเว็บประเภท spam และ phishing จำนวนมากขึ้น และผู้ได้รับผลกระทบมักเป็นผู้ใช้งานที่ขาดความระมัดระวัง

ซึ่งทางทีมงาน SRAN จะขอขยายความเทคนิการเจาะระบบชนิด Cross site scripting (XSS)  อย่างละเอียดอีกครั้งในบทความตอนต่อไป

เนื่องจากภัยคุกคามเว็บไซด์เป็นเรื่องสำคัญ  ทำให้ทีมพัฒนา SRAN ได้คิดค้นวิธีที่รู้ทันภัยคุกคามจากการโจมตีเว็บไซด์ขึ้น โดยที่ผู้ใช้งานไม่ต้องลงทุนซื้อซอฟต์แวร์ และ ฮาร์ดแวร์ใดๆ เพียงติด SRAN Data Safehouse ที่เว็บก็จะสามารถรู้ทันการโจมตีเว็บไซด์ของท่านได้ นอกจากจะช่วยเก็บบันทึกหลักฐาน (Log) การใช้งานเว็บไซด์แล้ว ยังสามารถรู้ทันถึงการโจมตีชนิดต่างๆ ได้อีกด้วย

หากโปรแกรม Anti virus จะช่วยคุ้มครองเครื่องคอมพิวเตอร์ที่ใช้งาน (PC) ได้ SRAN Data Safehouse ก็เปรียบเสมือนตัวคุ้มครองเว็บไซด์ไม่ให้ถูกโจมตี หรือเรียกได้ว่าเป็น “Anti Web Hacking”

เพื่อเป็นการสร้างความตระหนักให้กับ Webmaster ไทย SRAN Data Safehouse ได้จัดทำสถิติเว็บไซด์ในประเทศไทยที่มีช่องโหว่ขึ้น และทำการตรวจสอบสถานะว่ามีการป้องกันแล้วหรือยัง โดยเว็บไซดืได้จัดอันดับตามรายชื่อ domain และบอกถึงสถานะของเว็บไซด์ที่มีความเสี่ยงว่ามีการปิดช่องโหว่ดังกล่าวแล้ว หรือไม่ โดยแสดงเป็นสถานะ Fix หรือแก้ไขแล้ว และ Unfix คือยังไม่ได้รับการแก้ไข  เป็นต้น ซึ่งผลการสถิติที่แสดงออกในเว็บไซด์ เกิดจากการรวบรวมข้อมูลจากฐานข้อมูลการเผยแพร่เว็บไซด์ที่มีช่องโหว่ทั่วโลก โดยทีมงานได้คัดเฉพาะในประเทศไทย และจัดทำระบบให้มีการตรวจสอบแบบอัตโนมัติเพื่อรวบรวมเป็นสถิติที่เกิดขึ้นเป็นรายวัน

จากสถิติใน SRAN Data Safehouse พบว่ามีเว็บไซด์ไทยที่มีโอกาสที่ถูกการฝั่งโค้ดจากนักโจมตีระบบ (Hacker) ถึง 41 เว็บไซด์

โดยได้จัดเป็นกลุ่ม Domain ที่มีในประเทศไทยพบว่าตั้งแต่ปี 2007 – 2009 มีเว็บไซด์ในประเทศไทยที่พบช่องโหว่ XSS (Cross site scripting)  อยู่ด้วยกันถึง 41 เว็บ ซึ่งประกอบด้วย

ผลการประเมินช่องโหว่ XSS ในวันที่ 27 กุมภาพันธ์ พบว่า domain หน่วยงานราชการ (.go.th) มีความเสี่ยงที่พบถึง 20 เว็บไซด์ รองลงมาคือ domain บริษัททั่วไป (.co.th) พบ 9 เว็บไซด์ พบว่าส่วนใหญ่ยังไม่ได้รับการแก้ไข

รายละเอียดสามารถดูได้ที่ www.datasafehouse.net คลิกที่ archive

ข้อมูลภัยคุกคามทางอินเตอร์เน็ตที่เกิดขึ้นในประเทศไทยจาก สีหมอก Crawler

หมายเหตุ : สำหรับลูกค้าที่ใช้ SRAN Security Center สามารถสมัครใช้งาน SRAN Data safehouse เพื่อป้องกันเว็บไซด์ท่านให้ปลอดภัยมากขึ้น ได้ฟรี  รายละเอียดดูได้ที่เว็บไซด์

สถิติภัยคุกคามที่เกิดขึ้นในประเทศไทย

ทีมพัฒนา SRAN ได้พัฒนาระบบค้นหาภัยคุกคามที่เกิดขึ้นในประเทศไทยจัดทําาระบบ Crawler เพื่อทําาการสําารวจข้อมูลกลุ่มลักษณะเว็บไซด์ที่มีความเสี่ยง
- สถิติเว็บไซด์ที่มีไวรัสคอมพิวเตอร์ (Malware , virus/worm, Trojan , Backdoor , rookit)
- สถิติเว็บไซด์ที่มีลักษณะหลอกลวง ได้แก่ Phishing , Scam Web เป็นต้น

- สถิติKeyword ที่มีการค้นหามากที่สุดในประเทศไทย ได้ฐานข้อมูลจากระบบ google ,alexa เป็นต้น

- สถิติเว็บไซด์ที่มีเคยมีประวัติถูกโจมตีในประเทศไทย

- สถิติข้อมูลที่เป็น Spam (ข้อมูลขยะ) ที่เกิดขึ้นบนโลกอินเตอร์เน็ต

Spider Crawler ซอฟต์แวร์จะทําาการ สําารวจข้อมูลตาม Link เว็บไซด์ และทําาการ เก็บบันทึกข้อมูลจากฐานข้อมูลที่เป็นสาธารณะ
เมื่อรวบรวมข้อมูลตามลักษณะ ซอฟต์แวร์ Spider Crawler จะทําางานแทนมนุษย์ โดยอาศัยการค้นหาตามฐานข้อมูล Google ,YahooMSN และอื่นๆและส่งข้อมูลมาทีศูนย์เตือนภัยทางอินเตอร์เน็ทในประเทศเพื่อทําการ Scanning ตาม Crawling Policy ที่่ตั้งไว้ในส่วนที่ทําา Scanner
ประกอบด้วยเทคโนโลยีดังนี้
- IDS Signature Base
- Virus Data Base
- Spam Data Base

ซึ่งระบบ Zemog (สีหมอก) ซึ่งถือได้ว่าเป็น Robot Crawler ที่พัฒนาขึ้นโดยทีมพัฒนา SRAN Technology

หน้าจอเว็บสีหมอก เป็น Web 2.0  และยังอยู่ในขั้นตอนการพัฒนาให้ Interactive กับผู้ใช้งานมากขึ้นในอนาคต

Link

สีหมอก สถิติภัยคุกคามอินเตอรเน็ตในประเทศไทย

เทคนิคเฝ้าระวังภัยเว็บไซต์ที่ไม่เหมาะสม

มี คำถามว่า “มีบ้างไหม ที่ท่องโลกอินเตอร์เน็ต ไม่เคยเปิดเว็บไซต์ ?” อย่างน้อยหากเราต้องการค้นหาข้อมูลก็ต้องเปิดเว็บค้นหาที่คุ้นเคย เช่น google หรือ yahoo ในโลกยุคดิจิตอลนั้น เว็บไซต์ถือเป็นหัวใจของการท่องเน็ต เราสามารถใช้งานซอฟต์แวร์ต่างๆ ได้ผ่านเว็บไซต์ แทบไม่ต้องลงโปรแกรมให้ยุ่งยาก หากเชื่อมต่ออินเตอร์เน็ตได้ก็สามารถทำสิ่งต่างๆ มากมายผ่านเว็บไซต์ ทว่าเว็บไซต์ที่เราเข้าเยี่ยมชมในแต่ละวันนั้น จะทราบได้อย่างไรว่า “เว็บใดเหมาะสม / ไม่เหมาะสม?”

เกณฑ์ การประเมินเว็บไซต์ คงไม่มีรูปแบบแน่นอนตายตัว ขึ้นอยู่กับคุณธรรมและสามัญสำนึกของผู้ใช้งานเป็นสำคัญ ตระหนักคิดด้วยวิจารณญาณว่าเว็บไซต์ที่ไปเยือน ณ เวลานั้นผิดศีลธรรม ประเพณีวัฒนธรรม หรือดูหมิ่นบุคคลอื่นอย่างไม่มีเหตุผลหรือไม่ เป็นเว็บไซต์ที่แฝงภัยคุกคามหรือไม่ ผมขอหยิบยกข้อมูลสถิติจาก สบทร. (truehits) มาเสริมว่า สถิติการเข้าเยี่ยมชมเว็บไซด์ในวันที่ผมได้เขียนบทความนี้อยู่ที่ 3,993,403 เครื่องที่เปิดเว็บ และจากการสำรวจการใช้บริการเว็บแบ่งประเภทได้เป็น เว็บ Blog, เว็บบอร์ด, เว็บที่ใช้ในการ upload/download, เว็บเผยแพร่วิดีโอ,เว็บหน่วยงาน/ห้างร้าน/บริษัท, เว็บที่เกี่ยวกับการซื้อขายสินค้าทางอินเตอร์เน็ต (E-commerce), เว็บ Social Network ฯลฯ ในขณะที่เว็บไซต์ไม่เหมาะสม และภัยคุกคามที่เกิดจากเว็บไซต์นั้นมีสถิติเพิ่มสูงขึ้นทุกปี ในอัตราปีละ 2 เท่า แสดงให้เห็นว่าภัยคุกคามทางเว็บไซต์แปรผันตรงกับปริมาณเว็บไซต์ที่เพิ่ม จำนวนขึ้น…เป็นเงาตามตัว จึงขอนำเสนอแนวทางเฝ้าระวังภัยคุกคามทางเว็บไซต์ และปิดกั้นเว็บไซต์ที่มีเนื้อหาไม่เหมาะสม ให้ได้รับทราบกัน ทั้งในมุมมองระดับองค์กร (P1) และระดับผู้ให้บริการอินเตอร์เน็ต (P2)

เหตุผลหลักที่ต้องมีระบบเฝ้าระวังทางเว็บไซต์
ภัย คุกคามที่เกิดขึ้นบนโลกอินเตอร์เน็ตมักเกิดจากพฤติกรรมการใช้งานของผู้ใช้ เอง โดยภัยส่วนใหญ่เกิดขึ้นบนเว็บไซต์ สามารถแบ่งประเภทภัยคุกคามที่เกิดขึ้นบนเว็บไซต์ได้ดังนี้
1. ภัยคุกคามจากเว็บไซด์หลอกลวง ได้แก่
- Phishing Web เว็บที่มีการหลอกให้ทำธุรกรรมออนไลน์ เพื่อดักข้อมูลในการกรอกค่า User ID และ Password ซึ่งมักจะตั้งชื่อ URL หรือ Domain name ใกล้เคียงกับเว็บไซต์จริง อาศัยความเข้าใจผิด/ความไม่รู้ของผู้ใช้งานเป็นเครื่องมือ เมื่อดักข้อมูลได้ ก็จะนำ User ID ของเหยื่อไปใช้ทำธุรกรรมออนไลน์ เป็นต้น ผู้เสียหายจากภัยลักษณะนี้คือบุคคลทั่วไปที่รู้เท่าไม่ถึงการณ์ และผู้ให้บริการเว็บไซต์ ซึ่งส่วนใหญ่เป็นธนาคาร, เว็บ E-commerce ที่มีบริการธุรกรรมออนไลน์

- เว็บหลอกลวง ที่อาศัยความต้องการของผู้ใช้งานเป็นเหยื่อล่อ อันที่จริงอาจเรียกรวมกับกลุ่ม Phishing Web ได้เช่นกัน โดยเป็นการหลอกหลวงในส่วนอื่นๆ ที่ไม่ใช่การทำธุรกรรมออนไลน์ เช่น หลอกให้ผู้ใช้งาน download โปรแกรมไม่พึงประสงค์ ที่มีคุณสมบัติในการดักข้อมูล เช่น โปรแกรม Key Logger สาเหตุอาจเกิดจากผู้ใช้งานไม่ได้กลั่นกรองข้อมูลให้ดีเสียก่อน จึงตกเป็นเหยื่อของเนื้อหาชวนเชื่อ จำพวกยาลดความอ้วน, งานที่ได้รับค่าตอบแทนสูงเกินปกติ, โปรแกรม crack serial no., กลโกงเกมส์ เป็นต้น

2. ภัยคุกคามจากเว็บที่มีเนื้อหาไม่เหมาะสม ได้แก่
- เว็บไซต์ลามกอนาจาร
- เว็บไซต์พนัน
- เว็บข้อมูลขยะ เช่น เว็บบอร์ดที่มี Botnet มาตั้งศูนย์ส่งข้อมูลชวนเชื่อ โดยเฉพาะเว็บบอร์ดที่ขาดระบบรักษาความปลอดภัยที่ดี เช่น โฆษณาขายสินค้า ขายยา ขายบริการต่างๆ
- เว็บไซต์ที่มีเนื้อหากระทบความมั่นคงของชาติ ซึ่งอาจเข้าข่ายหมิ่นสถาบันชาติ ศาสนา และพระมหากษัตริย์ ซึ่งเป็นที่รักยิ่งของคนไทย

3. ภัยคุกคามที่เกิดจากเว็บเครือข่ายสังคม ได้แก่
- เว็บเกมส์ออนไลน์
- เว็บ Social Network เช่น Hi5, Facebook ในส่วนนี้อาจเชื่อมกับภัยคุกคามจากการหลอกลวงในรูปแบบอื่นได้ เช่น การขายบริการทางเพศ, การสอนเสพยาเสพติด ดังที่พบเห็นเป็นข่าวเมื่อเร็วๆ นี้
การป้องกันภัยในส่วนนี้ควรกระทำควบคู่กับการให้คำแนะนำ และควบคุมพฤติกรรมเยาวชน เพื่อป้องกันปัญหาที่อาจเกิดขึ้นกับสังคม

ช่วง เวลานี้หลายฝ่ายคงคิดหาทางป้องกันเว็บไซต์ที่ไม่เหมาะสมในประเทศไทย เพื่อป้องกันปัญหาดังที่กล่าวข้างต้น ประเด็นหนึ่งที่เด่นชัดและเป็นที่ถกเถียงกัน คือ การปิดกั้นเว็บไซด์ไม่ใช่คำตอบสุดท้าย เพราะไม่ใช่ทางออกที่ดีที่สุด โดยเฉพาะกับงานสืบสวนสอบสวนแล้ว ไม่ถือว่าเหมาะสมนัก เนื่องจากเราจะไม่อาจหาข้อมูลแหล่งที่มาของผู้กระทำความผิดได้เลย

จุดประสงค์ของการเฝ้าระวังเว็บไซต์ไม่เหมาะสม มี 3 ข้อใหญ่ คือ
1. ต้องการทราบไอพีต้นทาง ที่เปิดเว็บไซต์ไม่เหมาะสม โดยระบุไอพีต้นทาง, ไอพีปลายทาง, ชื่อ ISP, ชื่อบริษัทหรือตำแหน่ง (Location) ที่ตั้งของผู้เปิดเว็บไซต์ไม่เหมาะสม
2. ต้องการทราบเนื้อหาที่ก่อให้เกิดความเสียหายต่อสถาบันหลักในประเทศ
3. ต้องไม่ส่งผลกระทบต่อเครือข่ายที่ทำการติดตั้งระบบ และไม่ไปเกี่ยวข้องกับค่าองค์ประกอบสำคัญของระบบเครือข่าย (Configuration)
เมื่อ แน่ใจแล้วว่าเป็นเว็บไซต์ที่ไม่เหมาะสมจริง จากการพิสูจน์หาหลักฐานและแหล่งที่มาต่างๆ แล้ว จึงจะทำการส่งข้อมูลไปยังระบบปิดกั้น (Web Filtering) ซึ่งรูปแบบนี้ผมขอขยายความเพื่อเป็นประโยชน์ในการจัดทำระบบดังกล่าวให้เกิด ขึ้นได้จริง ทั้งในระดับเครือข่ายองค์กรทั่วไป และเครือข่ายระดับประเทศ

รายละเอียดอ่านได้ที่

http://nontawattalk.blogspot.com/2009/02/blog-post.html

รู้ทันภัยเว็บไซต์ ตอนที่ 2

ข้อมูลจราจรที่เก็บบันทึกไว้มีการแสดงผลแบบ Real Time ดังแสดงในภาพที่ 3 ทั้งยังสามารถสืบค้นย้อนหลังได้ตามวัน-เวลาที่กำหนด (Data Archive) และยืนยันความไม่เปลี่ยนแปลงของข้อมูลที่เก็บบันทึกโดยการทำ Data Hashing ด้วยเหตุนี้ผู้ให้บริการเว็บไซต์ที่ติดตั้งระบบ SRAN Data Safehouse จึงไม่ต้องกังวลกับการเก็บบันทึกข้อมูลจราจร ให้สอดคล้องกับ พ.ร.บ. คอมพ์ อีกต่อไป

ภาพที่ 3 รายงานข้อมูลจราจรที่เกิดขึ้น แบบ Real Time

ภาพที่ 4 รายงานแสดงผลกรณีมีผู้ไม่ประสงค์ดีพยายามบุกรุกเว็บไซต์

นอกจากนี้เมื่อมีผู้ไม่ประสงค์ดีพยายามบุกรุกและโจมตีเว็บไซต์ (Web Application Hacking) ระบบจะแจ้งเตือนผ่านทางอีเมล์พร้อมบันทึกชื่อ IP / Location วัน-เวลา และลักษณะการโจมตีให้ทราบ โดยสร้าง Session ID เป็นค่าเฉพาะและเก็บบันทึกไว้ เพื่อเพิ่มความถูกต้องและทำให้ระบุตัวผู้กระทำผิดได้สะดวกยิ่งขึ้น พร้อมออกรายงานผลดังแสดงในภาพที่ 4 ซึ่งนอกจากมีประโยชน์ในแง่เป็นหลักฐานประกอบคดีแล้ว ผู้ให้บริการเว็บไซต์ยังสามารถรู้เท่าทันภัยคุกคาม ก่อนที่เว็บไซต์จะถูกเปลี่ยนหน้า, เปลี่ยนแปลงข้อมูล หรือถูกโจมตีจนทำให้ระบบล่ม และสามารถป้องกันเหตุร้ายที่อาจสร้างความเสียหายได้อย่างทันท่วงที Continue Reading »

ทำอย่างไรถึงจะรู้เท่าทันภัยเว็บไซต์ ตอนที่ 1

SRAN Data Safehouse เก็บข้อมูลจราจรและรู้เท่าทันภัยเว็บไซต์
  ทุกวันนี้เราปฏิเสธไม่ได้ว่า “เว็บไซต์คือประตูสู่องค์กร” เพราะหน่วยงานทั้งภาครัฐและเอกชน ตลอดจนบุคคลทั่วไป ล้วนใช้เว็บไซต์เป็นช่องทางสำคัญในการติดต่อสื่อสาร รวมทั้งบล็อก และกระดานสนทนาต่างๆ เมื่อเราเชื่อมต่ออินเตอร์เน็ต สิ่งที่มักจะทำคือเปิดเว็บไซต์เพื่อค้นหาข้อมูล, เช็คอีเมล์, สนทนาออนไลน์, แสดงความคิดเห็นผ่านทางเว็บบอร์ด, ทำธุรกรรมทางอินเตอร์เน็ต, Upload/Download ไฟล์หรือคลิปต่างๆ เป็นต้น เมื่อชีวิตประจำวันข้องเกี่ยวกับเว็บไซต์มากขึ้น อาชญากรรมทางด้านนี้ก็เพิ่มขึ้นเป็นเงาตามตัว จากสถิติที่ทีมงาน SRAN ได้เก็บรวบรวมไว้พบว่า การบุกรุกเจาะเว็บไซต์ (Web Hacking) มีแนวโน้มเพิ่มสูงขึ้นทุกปี โดยจำนวนเว็บไซต์ในประเทศไทยที่ถูกเปลี่ยนหน้าเว็บโดยมิชอบตั้งแต่ปี พ.ศ. 2549 – 2551 (ข้อมูลปี 2551 ตั้งแต่เดือนมกราคม – สิงหาคม) แสดงดังภาพที่ 1

ภาพที่ 1 จำนวนเว็บไซต์ที่ถูกเปลี่ยนหน้าเว็บโดยมิชอบ ตั้งแต่ปี พ.ศ. 2549 – 2551
จากสถิติที่เพิ่มสูงขึ้นนี้ แน่นอนว่าหากเว็บทุกเว็บทำการเก็บบันทึกข้อมูลจราจร (Log File) ก็จะช่วยให้สืบหาผู้กระทำผิดได้ง่ายขึ้น และเพื่อป้องกันปัญหาเหล่านี้ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารจึงได้ออกพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดยออกกฎเกณฑ์ในการเก็บบันทึกข้อมูลจราจรสำหรับเว็บไซต์ขึ้น ทว่าคนทำเว็บไซต์ส่วนใหญ่มักคิดว่า ISP และ Hosting ที่ตนเองเช่าใช้บริการ ได้เก็บบันทึก Log File ไว้ให้แล้ว จึงไม่ได้ใส่ใจนัก แต่ในความเป็นจริง ISP และ Hosting เก็บข้อมูลเพียงบางส่วน และแทบไม่มีการเก็บเนื้อหา (content) หรือตรวจสอบความเหมาะสมแต่อย่างใด จึงอาจมีเนื้อหาหรือความคิดเห็น ที่เสี่ยงต่อการกระทำผิดได้ เช่น กรณีหมิ่นประมาท, Upload File หรือคลิปวิดีโอที่ไม่เหมาะสม เป็นต้น ซึ่งปรากฏให้เห็นเป็นข่าวบ่อยครั้ง

SRAN Data Safehouse สามารถเก็บบันทึกข้อมูลจราจรของเว็บไซต์ได้ตรงตามกฎเกณฑ์ที่กระทรวงไอซีทีบัญญัติไว้ โดยผู้ใช้งานไม่ต้องลงทุนซื้อฮาร์ดแวร์ หรือซอฟต์แวร์แต่อย่างใด จึงช่วยประหยัดงบประมาณ ทั้งยังติดตั้งง่ายเพียงนำ Script ไปติดที่เว็บไซต์เท่านั้น

ภาพที่ 2 แสดงรายงานข้อมูลจราจรที่เกิดขึ้น โดยแสดงผลดังนี้
  • Who (ใคร) : ระบบจะกำหนดค่า Session ID ที่สร้าง ID เฉพาะเครื่อง คล้ายกับค่า MAC address เครื่องหากมีการเปลี่ยน ISP ก็จะไม่เป็นปัญหาในการสืบค้น
  • What (ทำอะไร) : แสดงระบบปฏิบัติการ (OS/Mobile device), ชนิดบราวเซอร์ ของผู้เข้าชมเว็บไซต์
  • Where (ที่ไหน) : ระบุชื่อองค์กร และชื่อ ISP ซึ่งเป็นจุดเด่นของ SRAN Data Safehouse ที่มีฐานข้อมูล IP /Location/ISP รวมถึงชื่อองค์กร มากถึง 2 ล้านฐานข้อมูล
  • When (เมื่อใด) : ระบุวัน-เวลาที่ผู้ใช้งานเยี่ยมชมเว็บไซต์
  • Why/how (อย่างไร) : แสดงหน้าเพจที่ผู้ใช้ทำการเปิดขึ้น และแหล่งที่มาจากการค้นหา “Key Word” ผ่านเว็บค้นหา เป็นต้น

    

ติดตั้ง SRAN แบบ Mirror Port ที่ไม่เกิด Loop

ปัญหาการเกิด  Loop บน Switch

เกิดจากเครื่อง SRAN Security Center ในรุ่น ME , L , L-Hybrid , X-Series  จะ bypass ทุก port โดยจับคู่ เป็น port 1, 2 คู่แรก port 3,4 คู่ สอง (ซ้ายไปขวา) ฉะนั้นเวลา shutdown เครื่อง traffic ที่ทำการ mirror มาจาก switch จะ bypass traffic ไป port manage ของเรากลับไปยัง switch ทำให้ traffic มันท่วมและเป็น loop เรื่อยๆ จนไม่สามารถใช้งานเครือข่ายได้ เพราะ switch ทำงานหนัก

วิธีแก้ไข : เมื่อ shutdown เครื่อง ควรทำการถอดสายที่ทำ passive ออก คือ ไม่เสียบสายที่สอง จะทำให้ Switch ไม่เกิด Loop และใช้งานได้เป็นปกติ

สามารถอ่านการแก้ไขปัญหาอื่นๆได้ที่ http://www.gbtech.co.th/th/product/troubleshooting

กระทู้ถามตอบเกี่ยวกับ SRAN เทคโนโลยี สามารถแสดงความคิดเห็นได้ที่  http://sran.wikidot.com/forum/start หรือคลิกผ่าน www.sran.org

Content Filtering โดยใช้ SRAN

ไม่นานนี้ทีมพัฒนาอุปกรณ์ SRAN Security Center ได้ปรับแต่งหน้าต่างแสดงผลของ เมนู Monitoring สำหรับ HTTP / HTTPS  ในการเปิดใช้งานเว็บโดยสามารถบอกรายละเอียด URL และ URI ที่ผู้ใช้งานเข้าใช้บริการ จากเดิมจะสามารถดูได้ในค่า Payload แต่ตอนนี้จัดแต่งให้ดูสะดวกขึ้นในหน้า Monitoring

จุดประสงค์ เพื่อใช้ในการพิสูจน์หาหลักฐาน (Forensic) ที่สามารถตรวจเนื้อหา (Content) ที่เป็นภาษาไทย จากการใช้งานตาม Protocol ที่สำคัญได้ เช่น Web, Mail ,Chat, Upload/Download เป็นต้น  ซึ่งรายงานผลจะแสดงผลให้ดูสะดวกขึ้นจากเดิม

ซึ่งจากการทดสอบ ตรวจเนื้อหา (Content) เฉพาะส่วน HTTP ทั้งรูปแบบ GET และ Post

รูปแบบข้อความ encode แบบ tis-620 ,windows-874, utf-8ในส่วนของ POST จะมีสองแบบคือ

1. post ในลักษณะที่ ตัว Web server ใช้ utf-8 ในการเข้ารหัสภาษา
2. post ในลักษณะที่ ตัว Web server ใช้ tis-620 , windows-874 ในการเข้ารหัสภาษา
post ทั้งสองหัวข้อ ทดสอบได้จากการ โพสตามบอร์ดต่างๆในส่วนของ GET จะแยกออกมาประมาณ 6 แบบ
1. HTTP Header Get เป็น Percent encoding for URI จาก UTF-8 format
2. HTTP Header Get เป็น Hex format -> Percent URI -> UTF-8 format
ทั้งสองหัวข้อด้านบน  ทดสอบได้จากการ search ตาม google , yahoo  , mthai , sanook เป็นต้น
3. HTTP Content เป็น Hex format
4. HTTP Content เป็น UTF-8 format

รูปที่ 1 แผนภาพเมื่อนำอุปกรณ์ SRAN Security Center ติดตั้งบนระบบเครือข่าย (Network) เพื่อใช้ดูเนื้อหาที่ไม่เหมาะสมตามฐานข้อมูลที่มีอยู่ จาก Protocol ที่สำคัญเช่น Web / Mail / Chat / Upload / Download / VoIP เป็นต้น

ตัวอย่างหน้าจอ Monitoring เฉพาะส่วน HTTP / HTTPS

รูปที่ 2  แสดงหน้าจอ HTTP Monitoring ทำให้เห็น URI path ในหน้าเดียวกัน แสดงผลค่า TIme , Source IP , Destination IP , ID , HTTP (GET or Post) , URI

จะเห็นได้ว่าสามารถรายงานผลค่าเหมือนกับเทคโนโลยี Report Proxy Web แต่ SRAN แสดงผลได้ละเอียดถึงบอก path URI ได้

รูปที่ 3 การแสดงผล SRAN ตามหลักเกณฑ์ห่วงโซ่เหตุการณ์ (Who , What , Where , When , How) ทำให้สืบค้นได้สะดวกขึ้น

Continue Reading »

หน่วยงานที่ใช้ SRAN ได้รับรางวัลโล่พระอาทิตย์ทองคำ 2551

ตามที่โครงการรณรงค์การใช้ซอฟต์แวร์ไทย ได้จัดทำรางวัลโล่พระอาทิตย์ทองคำจัดขึ้นโดยสำนักงานส่งเสริมอุตสาหกรรมซอฟต์แวร์แห่งชาติ (SIPA) ร่วมกับสมาคมอุตสาหกรรมซอฟต์แวร์ไทย (ATSI) และซอฟต์แวร์ปาร์ค

จัดทำโครงการนี้ขึ้นเพื่อขอบคุณและเชิดชูเกียรติแก่องค์กรที่นำซอฟต์แวร์ไทยมาใช้อย่างเป็นเลิศ ซึ่งมีองค์กรที่ได้รับรางวัลนี้ทั้งหมด 10 องค์กร ซึ่งหนึ่งในองค์กรที่ได้รับรางวัลนี้ได้ใช้ เทคโนโลยี SRAN คือศูนย์เทคโนโลยีสารสนเทศกลาง สำนักงานตำรวจแห่งชาติ

ซึ่งทำให้ทางคณะทำงานฯ พิจารณาตัดสินรางวัลโล่พระอาทิตย์ทองคำ ประจำปี 2551 ให้ศูนย์เทคโนโลยีสารสนเทศกลาง สำนักงานตำรวจแห่งชาติที่ได้รับความเห็นชอบด้านการนำซอฟต์แวร์ไทยมาใช้อย่างเป็นเลิศได้ครบทั้ง 4 ด้าน คือ ด้านคุณภาพการทำงาน, ด้านการลงทุน, ด้านการพัฒนานวัตกรรม และด้านสิ่งแวดล้อม
1. ด้านการเพิ่มคุณภาพการทำงาน
SRAN Security Center ประกอบด้วย 4 คุณสมบัติในหนึ่งเดียว ได้แก่ ระบบตรวจสอบและวิเคราะห์เครือข่ายคอมพิวเตอร์, ระบบตรวจจับและป้องกันภัยคุกคามทางเครือข่าย, ระบบบริหารจัดการประเมินความเสี่ยงระบบเครือข่าย และระบบเก็บบันทึกเหตุการณ์ภัยคุกคามและข้อมูลจราจรคอมพิวเตอร์ ซึ่งคุณสมบัติสุดท้ายรองรับพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดยได้จัดเปรียบเทียบฐานความผิดตามมาตราแห่งพระราชบัญญัติฯ โดยระบุว่าใคร ทำอะไร ที่ไหน เมื่อไร เวลาใด จึงง่ายต่อการสืบสวนหาผู้กระทำผิด พร้อมแสดงผลด้วยรายงานที่เข้าใจง่าย ทั้งยังช่วยประเมินความเสี่ยงให้ผู้บริหารองค์กรทราบได้ว่ามีเครื่องใดในองค์กรที่เสี่ยงต่อการกระทำความผิดตามพระราชบัญญัติ และสามารถวิเคราะห์การใช้งานเครือข่าย ทำให้ทราบว่าพนักงานในองค์กรใช้เครือข่ายไปในลักษณะใด ผิดประเภทหรือไม่
นอกจากนี้ SRAN Security Center ยังติดตั้งง่าย ไม่เสียเวลาในการ implement ระบบมากเหมือนผลิตภัณฑ์อื่น จึงสะดวกในการติดตั้งและใช้งาน
2. ด้านการลงทุน
SRAN Security Center รวบรวม 4 คุณสมบัติไว้ในอุปกรณ์เดียว ในขณะที่ผลิตภัณฑ์ทั่วไปจะมีเพียงคุณสมบัติเดียวต่อหนึ่งอุปกรณ์ จึงช่วยลดค่าใช้จ่ายด้านการจัดหาอุปกรณ์ป้องกันภัยคุกคามเครือข่าย และเก็บบันทึกข้อมูลจราจร นอกจากนี้ SRAN ยังใช้เทคโนโลยีบีบอัดข้อมูลให้มีขนาดเล็ก ไม่จำเป็นต้องจัดหา Storage เพิ่มให้สิ้นเปลืองงบประมาณ ทั้งยังไม่คิดค่าลิขสิทธิ์รายอุปกรณ์ (License Fee) ช่วยลดค่าใช้จ่ายแฝงลงได้มาก

นอกจากนี้บทบาทหน้าที่ของศูนย์บริการข้อมูลทางคอมพิวเตอร์ สำนักงานตำรวจแห่งชาติ ต้องรองรับโครงการต่างๆ บนเครือข่ายคอมพิวเตอร์ของหน่วยงานสังกัดสำนักงานตำรวจแห่งชาติ เช่น โครงการแจ้งเบาะแสของประชาชน หรือโครงการตรวจสอบหมายจับของเจ้าหน้าที่ตำรวจ ซึ่งล้วนแต่เป็นข้อมูลความลับ ต้องการความปลอดภัยสูงสุด SRAN Security Center ได้ช่วยเหลือป้องกันภัยคุกคามเครือข่าย ช่วยรักษาความปลอดภัยข้อมูลสารสนเทศ ทั้งยังเป็นผลิตภัณฑ์ของไทย จึงลดความเสี่ยงด้านความมั่นคงของชาติได้

3. ด้านการพัฒนานวัตกรรม
SRAN Security Center ถูกออกแบบให้รวมหลายคุณสมบัติไว้ในอุปกรณ์เดียว ซึ่งเป็นนวัตกรรมที่ใหม่ ยังไม่เห็นนวัตกรรมแบบเดียวกันนี้ในผลิตภัณฑ์แบรนด์อื่น ทั้งยังติดตั้งง่าย ประหยัดเวลา เชื่อมต่อกับเครือข่ายคอมพิวเตอร์ได้โดยไม่ส่งผลกระทบกับการเชื่อมต่อเครือข่ายเดิม นอกเหนือจากหน้าที่ด้านการป้องกันภัยคุกคามเครือข่ายสารสนเทศ และการเก็บบันทึกข้อมูลจราจรแล้ว SRAN Security Center ยังช่วยวิเคราะห์เครือข่าย ให้ผู้บริหารทราบลักษณะการใช้งานเครือข่ายของพนักงาน ทำให้ทราบความเสี่ยงล่วงหน้าก่อนเกิดการกระทำผิดตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ 2550

4. ด้านการรักษาสิ่งแวดล้อม
เนื่องจาก SRAN Security Center ถูกออกแบบให้รวมทุกคุณสมบัติไว้ในอุปกรณ์เดียว จึงใช้ Hardware เพียงเครื่องเดียวต่อเครือข่าย นอกจากตัวอุปกรณ์จะได้รับใบรับรอง RoHs เป็นเครื่องหมายว่าเป็นผลิตภัณฑ์ที่เป็นมิตรกับสิ่งแวดล้อมแล้ว การใช้ Hardware น้อยเครื่อง ยังช่วยลดปัญหาโลกร้อน เพราะจัดการในรูปแบบรวมศูนย์ ไม่ต้องใช้เครื่องแม่ข่ายหลายเครื่อง ไม่ต้องใช้เครื่องเก็บบันทึกที่มีขนาดใหญ่ หากมีเครื่องบริหารจัดการเหล่านี้มาก ก็ทำให้สิ้นเปลืองไฟฟ้ามาก เมื่อเครื่องหมดอายุขัยก็กลายเป็นขยะทางอิเล็กทรอนิกส์จำนวนมาก SRAN Security Center จึงเป็นอุปกรณ์ที่เหมาะกับองค์กรสมัยใหม่ ใส่ใจสิ่งแวดล้อม

ภาพพลตำรวจตรี หญิง ดร.จิรารักษ์ สิทธิพันธุ์ ผู้บังคับการศูนย์เทคโนโลยีสารสนเทศกลาง สำนักงานตำรวจแห่งชาติ รับรางวัลโล่พระอาทิตย์ทองคำมอบโดย ดร.มั่น พัธโนทัย รัฐมนตรีว่าการกระทรวงเทคโนโลยีและสารสนเทศ ในวันพุธที่ 5 พฤศจิกายน 2551 ณ ห้อง คริสตัล ฮอลล์ บี ชั้น 3 โรงแรมพลาซ่า แอทธินี

วันนี้คุณได้เก็บบันทึกข้อมูลจราจรเว็บแล้วหรือยัง

สำหรับผู้ให้บริการเว็บไซด์ มีความดีมาให้รับทราบ ทางทีมพัฒนา SRAN ได้จัดทำสคิปในการส่ง Log ที่สอดคล้องกับหลักเกณฑ์การเก็บบันทึกข้อมูลจราจร สำหรับ Web Server มาเพื่ออำนวยความสะดวกให้สำหรับนักพัฒนาเว็บ (Webmaster) และประโยชน์ในการสืบค้นหาการใช้งานเว็บไซด์เพื่อประเมินความเสี่ยงภัยคุกคามที่อาจเกิดขึ้นบนเว็บของท่าน อีกทั้งยังสามารถจัดสถิติเพื่อรองรับการทำ CRM (Customer Relationship Management) เพื่อประโยชน์สำหรับธุรกิจเว็บไซด์ของคุณเองอีกด้วย

Safe House Services คือ บริการที่รับฝากข้อมูลจราจร ที่ผ่านเว็บบริการ (Web Services)

รายละเอียด Data SafeHouse Services สามารถอ่านได้ที่ http://safehouse.sran.net

คุณสมบัติิิทางเทคโนโลยี

เป็นระบบเก็บเหตุการณ์ผู้ใช้งานเว็บไซด์และตรวจจับการโจมตีผ่านเวบที่มีความสามารถดังต่อไปนี้คือ

1.1 เก็บบันทึกข้อมูลจราจรสำหรับผู้ให้บริการเว็บไซด์ (Data Storage)

1.2 จัดทำระบบสืบค้นข้อมูลจราจรเพื่อเก็บบันทึกข้อมูลจราจร (Data Archive) โดยระบุตามข้อกำหนดจากหลักเกณฑ์การเก็บบันทึกข้อมูลจราจรตามที่กฏหมายกำหนด (Data Compliance)

1.3 จัดทำระบบรักษาความน่าเชื่อถือของข้อมูลจราจร (Data Hashing)

1.4 ระบุตำแหน่ง IP Address ที่เปิดเว็บไซด์ ผ่านระบบแผนที่ดาวเทียม

1.5 ทราบถึงข้อมูลระบบ OS (Operating System) และชนิดบราวเซอร์จากผู้เยี่ยมชมทำการเปิดเว็บไซด์

1.6 ทราบถึงความเสถียรภาพเครื่องเว็บไซด์ สถิติผู้เข้าชมเว็บแบบ Real Time พร้อมเก็บบันทึกข้อมูลเป็นรายวัน เดือน ปี ที่สามารถดูย้อนหลังได้ พร้อมออกรายงานการใช้งาน

1.7 ระบบสามารถทราบถึงภัยคุกคามที่เกิดขึ้นบนเว็บไซด์ ที่ให้บริการ เช่น ภัยคุกคามจากการโจมตีเว็บ (Web Application Hacking)

1.8 พฤติกรรมการเข้าใช้เวบไซต์ของผู้เยี่ยมชมจากหน้าหนึ่งไปยังอีกหน้าหนึ่ง (Visualize Web Tracking) บอกถึงแนวโน้มของพฤติกรรมของผู้เยี่ยมชม ว่ามาจากที่ไหน และจะไปหน้าไหนมากที่สุด อาทิเช่น ผู้เยี่ยมชมที่มาจากการค้นหาของ Google แล้วเข้ามาที่หน้าไหนในเวบที่วัดสถิติมากที่สุด หรือเมื่อเข้ามา หน้านี้แล้วจะเข้าไปหน้าไหนมากที่สุด และมีจำนวนเท่าใด

หลักเกณฑ์การเก็บ Log ของผู้ให้บริการเว็บไซด์ เมื่อทำการเปรียบเทียบกับ SRAN Safehouse

คลิกที่รูปเพื่อดูรูปขยาย

ส่วนนี้เองจะเป็นการระบุ Log ที่เกิดขึ้นให้สอดคล้องกับพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับ คอมพิวเตอร์ ที่เกี่ยวข้องกับการเก็บบันทึกข้อมูลจราจรผ่านเว็บแล้ว ประกอบด้วย

- ข้อมูล Log ที่บันทึกเมื่อมีการเข้าถึงเครื่องผู้ให้บริการเว็บ (หมายเลข 2)
- ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ (หมายเลข 1)
- ข้อมูลหมายเลขอินเตอร์เน็ตของเครื่องคอมพิวเตอร์ผู้เข้าใช้ที่เชื่อมต่ออยู่ในขณะนั้น (หมายเลข 3)
- ข้อมูลคำสั่งการใช้งานระบบ ( หมายเลข 4 และ 5 )
- ข้อมูลที่บ่งบอกถึงเส้นทางในการเรียกดูข้อมูล (URI : Uniform Resource Identifier) เช่นตำแหน่งของเว็บเพ็จ ( หมายเลข 6 )

PresentationSRAN Data Safehouse

อ่านรายละเอียดการสมัครใช้งานได้ที่ http://safehouse.sran.net/man/manual.html

ลักษณะการให้บริการ http://safehouse.sran.net/services.html

บริการรับฝาก Log Data SafeHouse

การเก็บ Log ที่ถูกต้องและเป็นประโยชน์ต่อการสืบสวนสอบสวน นั้นประกอบด้วย 2 มุมมอง

มุมมองที่ 1 เก็บบันทึกการเคลื่อนไหวข้อมูลภายในองค์กร ความหมายขององค์กรนี้คือ บริษัท , สถาบันการศึกษา , โรงแรม , โรงพยาบาล , ร้านอินเตอร์เน็ตคาเฟ่ อื่นๆที่มีการเชื่อมต่ออินเตอร์เน็ตหรือเชื่อมข้อมูลสู่ภายนอกองค์กร (Extranet) ส่วน ต้องมีการเก็บบันทึกข้อมูลจราจร (Log) ส่วนสถานที่ให้บริการเครือข่ายไร้สาย (อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/169) เช่น ร้านกาแฟ, อาพาท์เม้น อื่นๆที่เป็นสาธารณะที่สามารถใช้ระบบอินเตอร์เน็ตเชื่อมต่อข้อมูลได้ จำเป็นต้องเก็บบันทึกข้อมูลจราจร หรือที่เรียกว่า Log เพื่อเป็นประโยชน์ในการสืบหาผู้กระทำความผิด เมื่อมีการฟ้องร้องขึ้นมาจะได้หาผู้กระทำความผิดได้อย่างสะดวกมากขึ้น

ซึ่งบทสรุปที่ลงตัวในการเก็บบันทึกความเคลื่อนไหวข้อมูล เพื่อเป็นประโยชน์ต่อการสืบสวนสอบสวน ในส่วนนี้คือ

ใช้ SRANwall ซึ่งทำตัวเองเป็น Network Identity ซึ่งจะสามารถทำ A (Authentication) , A (Authorization) , A (Accounting)  ติดตั้งเป็น Gateway บนระบบเครือข่าย

และใช้ SRAN Security Center เพื่อทำการเฝ้าระวัง วิเคราะห์ข้อมูล และเก็บบันทึกข้อมูล การใช้งานทั้งที่เป็นข้อมูลฝั่งขาเข้าในองค์กร และ ข้อมูลฝั่งขาออกในองค์กร

รูปที่ 1 การติดตั้ง SRANwall เป็น Gateway และ SRAN Security Center ในการเก็บบันทึกข้อมูลการใช้งานภายใน-นอกองค์กร

ส่วนสำคัญคือผู้กระทำความผิดส่วนใหญ่ คือผู้ใช้งานในองค์กร (User)  ดังนั้นจึงจำเป็นที่ต้องทราบถึงพฤติกรรมการใช้งานตาม Application Protocol ที่สำคัญ คือ การใช้งานเว็บ (Web) การใช้งานเมลล์ (E-mail) การใช้งานสนทนา (Chat)   การโจมตีระบบต่างๆ การฉ้อโกงข้อมูลภายในองค์กร ซึ่งทั้งหมดนี้ อุปกรณ์ชื่อ SRAN Security Center จะสามารถเก็บบันทึกข้อมูลได้  อันเป็นประโยชน์ต่อการสืบสวนสอบสวนหาผู้กระทำความผิด

การใช้ SRANwall + SRAN Security Center เป็นสูตรลัดในการติดตั้งอุปกรณ์ เพื่อใช้ในการเก็บบันทึกข้อมูล และระบุหาผู้กระทำความผิดภายในองค์กร ที่ลดความซับซ้อนในการออกแบบ และความยุ่งยากในการติดตั้งเป็นอย่างมาก

หัวใจของการป้องกันภัยคุกคามในองค์กร คือ

ควบคุมการใช้งานระบบสารสนเทศในองค์กร ใช้ SRANwall ติดตั้งแบบ Gateway ซึ่งเป็น Appliance Box ที่พร้อมใช้งานแล้ว

รู้ทันปัญหาและควบคุมสถานะการณ์ได้ ใช้ SRAN Security Center  ติดตั้งแบบ Inline หรือ Transparant หรือ Passive Mode ได้โดยไม่มีผลกระทบกับระบบเครือข่าย

มุมมองที่ 2 Log ระดับเครื่องคอมพิวเตอร์ที่ให้บริการ เช่น ผู้ให้บริการเว็บไซด์ทั้งที่เป็น Hosting และ Webmaster ที่มี Domain (www.xyz.com เป็นต้น) หรือมี Domain ใช้ในการรับส่งข้อมูล (FTP, Storage Server) หรือให้บริการสนทนาออนไลท์ (Chat Server เช่น IRC Server เป็นต้น) , ผู้ให้บริการ Mail Server , VoIP Server หรือให้บริการอินเตอร์เน็ต ISP ก็ควรต้องมีการเก็บบันทึกข้อมูลผู้ใช้งาน เพราะผู้ใช้บริการอาจสร้างความเสี่ยงให้เกิดคดีตามมาตรา 5 -16 ได้ ไม่ว่าผู้ใช้บริการเว็บ เว็บบอร์ด ผู้ใช้บริการ ISP ที่มี Account จากการเสียค่าบริการอินเตอร์เน็ต อาจใช้อินเตอร์เน็ตหมุนเบอร์โทรศัพท์ใช้ในทางที่ไม่เหมาะสม

ในส่วนมุมมองที่ 2 นี้ ทางทีมพัฒนา SRAN ได้พัฒนาการเก็บบันทึกข้อมูลจราจร (Log) ที่เกิดขึ้นจากการใช้งานเว็บ (Web site) ขึ้น

เป็นบริการการเก็บบันทึก Log เฉพาะส่วนผู้ให้บริการเว็บ  เราเรียกบริการนี้ว่า “Data Safehouse Centralized log Provider”

1.ข้อมูล Log ที่บันทึกเมื่อมีการเข้าถึงเครื่องผู้ให้บริการเว็บ
2.ข้อมูลวัน และเวลาการติดต่อของเครื่องที่เข้ามาใช้บริการและเครื่องให้บริการ
3.ข้อมูลหมายเลขอินเตอร็เน็ตของเครื่องคอมพิวเตอร์ผู้เข้าใช้ที่เชื่อมต่ออยู่ในขณะนั้น
4.ข้อมูลคำสั่งการใช้งานระบบ
5.ข้อมูลที่บ่งบอกถึงเส้นทางในการเรียกดูข้อมูล (URI : Uniform Resource Identifier) เช่นตำแหน่งของเว็บเพ็จ

รายละเอียด Data SafeHouse Services สามารถอ่านได้ที่ http://safehouse.sran.net

ข้อแตกต่าง ระหว่าง Web static และ SRAN Data SafeHouse

SRAN Data SafeHouse

1. แสดงรายงานผล Log ที่เกิดขึ้นแบบ Real Time

รูปที่ 2 การแสดงผลในหน้า Dash board จะแสดงรายงานผลแบบ Real Time

พร้อมกันนี้ยังสามารถทราบถึง new visitor หมายถึงผู้เยี่ยมชมที่เข้ามาครั้งแรก และ return visitor หมายถึงผู้เยี่ยมชมที่เคยเข้าเวบไซต์มาก่อนหน้านี้แล้ว

วัดโดยการอาศัย cookie และได้เพิ่มหมายเลข ID ของ cookie เข้าไปด้วย ซึ่งจะมาประโยชน์ในการจำผู้เยี่ยมชมนั้น ๆ โดยใช้หมายเลข ID ถึงแม้ IP address จะเปลี่ยนไปก็ตาม (ถ้ายังเก็บ cookie อยู่ในเวบบราวเซอร์)

2. ค้นหา IP ที่เข้ามาใช้บริการเว็บไซด์ของใช้บริการ SRAN Data Safehouse ได้

รูปที่ 3 ค้นหา IP ที่ใช้ ISP จาก KSC Internet

รูปที่ 4 ผลลัพธ์การค้นหา ซึ่งจะเห็นว่าสามารถระบุ IP ที่ได้รับค่าจาก ISP ชนิด Browser จากผู้ใช้บริการเว็บ และการเรียกอ่านข้อมูล URL Path รวมถึง Link ที่มาจากการเปิด URL Path

3. สามารถระบุ IP ที่เปิดเว็บที่ใช้บริการ Data SafeHouse ผ่านระบบ GPS

รูปที่ 5 การแสดงผลผ่านระบบดาวเทียมเพื่อระบุตำแหน่งผู้ใช้บริการที่ทำการเปิดเว็บไซด์ ที่ใช้บริการ SRAN Data SafeHouse

4. มีการประเมินค่าการ Uptime / Down Time ของเว็บไซด์ที่ใช้บริการ SRAN Data SafeHouse

รูปที่ 6 การแสดงรายงานผลค่า Uptime สำหรับเว็บไซด์ที่ใช้บริการ SRAN Data SafeHouse

5. จัดทำการจำลองเหตุการณ์ที่เชื่อมโยงกันเพื่อการวิเคราะห์ผลในภาพรวม โดยใช้เทคโนโลยี Visualize Web Tracking

คลิกที่รูปเพื่อรูปภาพขยาย จะเห็นการเชื่อมต่อความสัมพันธ์ของ IP และพฤติกรรมการใช้ในแต่ละช่วงเวลา

รูปที่ 7 การแสดงผลจำลองเหตุการณ์ที่เชื่อมโยงกันเพื่อการวิเคราะห์ผลในภาพรวม

6. สามารถระบุภัยคุกคามที่อาจเกิดขึ้นบนเว็บไซด์ที่ใช้บริการ SRAN Data SafeHouse ได้

รูปที่ 8 การแสดงผลการบุกรุกเว็บไซด์ ที่เรียกว่าการทำ Web Application Hacking เพื่อที่จะเข้าถึงระบบผ่านเว็บไซด์

ซึ่งจะเห็นได้ว่าเราจะสามารถระบุหาผู้กระทำผิดจาก IP ที่ได้รับจาก ISP ได้ ทำให้สะดวกในการสืบหาผู้กระทำความผิดมากขึ้น

7. มีการจัดทำ Data Archive และมีการจัดเก็บเพื่อยืนยันว่า Log ที่บันทึกไม่มีการแก้ไข

Database status ใช้เพื่อตรวจสอบสถานะฐานข้อมูลสถิติของคุณ ในบางกรณีที่คุณอาจพบว่ารายงานสถิติไม่มีการอัพเดทเลย ทั้ง ๆ ที่ยังมีผู้เยี่ยมชมตลอด อาจเป็นไปได้ว่าฐานข้อมูลที่ใช้เก็บอาจจะมีปัญหา ทางหนึ่งที่อาจช่วยในการหาสาเหตุคือการตรวจสอบสถานะการทำงานของฐานข้อมูลของคุณ

เข้าได้โดยการเลือกที่เมนู Data integrity => Database status ถ้าแสดงว่า OK หรือ Table is already up to date หมายถึง ฐานข้อมูลที่เก็บข้อมูลทำงานได้ปกติ แต่ถ้าพบคำว่า “error” หรือ “warning” โปรดแจ้งให้ผู้ดูแลระบบทราบอย่างเร่งด่วน

SRAN Data SafeHouse  จะทำการเปิดตัวภายในเดือนตุลาคมนี้

SRAN New Firmware 09/51

สำหรับ Firmware ใหม่ SRAN Security Center version 4.6.3 Code Name Memory นั้นได้ออก Patch ใหม่อยู่ 3 ส่วนประกอบด้วย

1. ด้านการค้นหา สามารถระบุเนื้อหา (Content) ชื่อของ Signature ในฐานข้อมูล SRAN Security Center ได้ เช่น ค้นหาคำว่า Sync มีเหตุการใดที่มี Payload ของ Signature มีลักษณะ Sync  เป็นต้น  ซึ่งอาจเป็นการใช้งาน P2P ที่กำลัง Sync กับเครื่องปลายทางอยู่หรือ sync ที่เกิดขึ้นจาก Protocol อื่นที่เกี่ยวมีลักษณะอื่นๆก็จะสามารถค้นหาได้

ภาพที่ 1 : หน้าตา Web Base GUI ในหนาค้นหา จากภาพที่ 1 พบว่า ค้นหาคำว่า “Web” ในหน้าจอก็มีการกรองค่า Source IP , Destination IP และกำหนดช่วงเวลาในการค้นหา

ภาพที่ 2 ผลการค้นหาคำว่า Web จะเห็นว่าผลลัพธ์เป็นลักษณะการใช้ HTTP ภายในองค์กรที่เกิดขึ้น ซึ่งทั้งหมดนี้สามารถคลิกลงไปดูเหตุการณ์ภายใต้คำว่า HTTP Web Data Traffic ได้เพื่อดู URI ที่ทำการเปิด

ภาพที่ 3 ค้นหาเหตุการณ์ P2P ในช่วงเวลา 02:09 ถึงเวลา 08:19 ของวันที่ 4 กันยายน 2551 ซึ่งได้ผลลัพธ์ดังภาพที่ปรากฏ

ด้วยคุณสมบัติการค้นหาที่เพิ่มขึ้นจะทำให้การสืบค้นหาพฤติกรรมที่อาจจะกระทำความผิดได้สะดวกขึ้นนั้นเอง

ส่วนที่ 2 ในเมนู Monitoring (Real Time Packet Log Monitoring) ในหน้านี้จะพบว่าได้เพื่อการนับจำนวนเหตุการณ์

ภาพที่ 4 การนับเหตุการณ์ตาม Signature เหตุการณ์ในหน้า Monitoring

เพื่อเป็นประโยชน์ในการพิจารณาข้อมูลจราจร (Data Traffic) ที่เกิดขึ้นในองค์กร และภายนอกองค์กร จึงจัดหน้าให้มีการนับเหตุการณ์ด้วยจากเดิมจะมีผลลัพธ์นี้เฉพาะหน้า Report เท่านั้นแต่ในเวอร์ชั่นนี้จะแสดงผลในหน้า Monitoring ด้วย

ส่วนที่ 3 : เพิ่มส่วนหน้าอธิบายความหมายตามมาตราต่างๆ เพื่อประโยชน์ในการรู้ทันปัญหาที่อาจมีความเสี่ยงตามพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ซึ่งอุปกรณ์ SRAN Security Center สามารถจัดเปรียบเทียบเหตุการณ์ได้ เรียกว่าการทำ Data Correlation

ภาพที่ 5  เหตุการณ์ที่มีความสอดคล้องตามมาตรา 5 – 11 ที่แปลความที่เทคนิคได้นั้น พบว่า เมื่อคลิกดูที่มาตราต่างๆ จะมีคำอธิบายถึง เหตุการณ์ที่มีความเสี่ยงภัยในมาตรานั้นอธิบายเป็นภาษาไทย และ ภาษาอังกฤษได้อีกด้วย ซึ่งในภาพนี้แสดงให้เห็นมาตรา 5 ลักษณะการบุกรุกทางเทคนิคที่เกี่ยวข้องได้แก่
Remote Exploit , Brute Force Password , Web Application Hacking , Cracking เป็นต้น

ทำให้ผู้ดูแลระบบจะสามารถเข้าใจความหมายและสืบค้นเครื่องที่อาจมีความเสี่ยงตามมาตราดังกล่าวเพื่อป้องกันก่อนที่จะเกิดเหตุการณ์อันไม่พึ่งประสงค์ได้

ซึ่งทั้งหมดนี้จะสามารถ Upload Firmware ใหม่นี้ได้หากมีการเปิดใช้อุปกรณ์ SRAN Security Center ในการ Activate  License

ภาพที่ 6 การกำหนด Active License Key  โดยคลิกไปที่เมนูหลัก Management –> License

คู่มือการใช้ Active License อุปกรณ์ SRAN

คู่มือการต่ออายุ License อุปกรณ์ SRAN

เพื่อทำการ Upload Firmware ต่อไป

ภาพที่ 7 การ Upload Firmware ที่เป็น file นามสกุล .bin

ด้วยการพัฒนาไม่หยุดนิ่งของทีมพัฒนา SRAN Security Center จึงมั่นใจได้ว่าลูกค้าที่ได้ทำการใช้งานอุปกรณ์ SRAN ไปแล้วจะได้รับประโยชน์และเสริมสร้างให้องค์กรของท่านได้รู้ทันปัญหาและสืบหาผู้กระทำความผิดได้สะดวกขึ้น

สาระสำคัญกฏหมายอาชญากรรมคอมพิวเตอร์

เนื่องจากกฏหมายนี้ออกมามีเสียงวิจารณ์อยู่จำนวนมาก ถึงจะมากด้วยเสียงบ่นก็ต้องทำความเข้าใจว่า นี้เป็นมิติใหม่ของวงการไอซีทีประเทศไทย ที่จะก้าวไปอีกก้าวหนึ่ง จากเดิมเรามักจะแก้ปัญหาที่ปลายเหตุเสมอ ในกรณีที่มีผู้บุกรุกระบบไม่ว่าเป็นคนภายนอกองค์กร หรือคนในองค์กรเอง ที่เป็นอาชญากรทางคอมพิวเตอร์ ทั้งที่ทำด้วยเจตนา และด้วยความรู้เท่าไม่ถึงการณ์ (ติดเป็น Zombie) หลักฐานสำคัญสำหรับการสืบสวนสอบสวนคือ Log ในอดีตที่ยังไม่มีกฏหมายคงมีหลายหน่วยงานที่อาจไม่ให้ความสำคัญกับเรื่อง ระบบรักษาความมั่นคงปลอดภัยทางข้อมูลเลยก็ว่าได้ และเมื่อเกิดปัญหาก็มักจะสืบหาผู้กระทำความผิดจากทางโลก มากกว่าทางธรรม นั้นคือ ทางโลกใช้พฤติกรรมมนุษย์ (Hacker) ไม่ว่าเป็นรัก โลภ โกรธ หลง มาใช้ในการสืบหา ในทางธรรม คือเทคโนโลยี เช่นระบบดิจิตอลที่ไม่หลอกคนใช้งาน แสดงผลอย่างไรก็ว่าไปอย่างนั้น การที่จะหาผู้กระทำความผิดทางระบบคอมพิวเตอร์มาลงโทษเมื่อสมัยก่อนจึงเป็น เรื่องที่ยากและเป็นเรื่องไกลตัว จากสถิติการใช้งานอินเตอร์เน็ตที่สูงขึ้นในอัตราที่ก้าวกระโดดทุกปี ปรากฏว่ามีคดีฟ้องร้องกันในด้านระบบไอทีไม่น้อยกว่า 2 คดีในแต่ละเดือน และมีแนวโน้มที่สูงขึ้น จึงขออยากทำความเข้าใจให้มากขึ้นสำหรับผู้ที่ศึกษาหาข้อมูล พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ นี้ขึ้นอีกครั้ง โดยจะเน้นไปที่เนื้อหาใจความสำคัญที่เป็นหัวใจของกฏหมายฉบับนี้

สาระสำคัญของกฏหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ที่ประกาศขึ้นนั้นคือ “ต้องการหาผู้กระทำความผิดมาลงโทษ”

หลาย คนไปสนใจว่าต้องเก็บ Log อย่างไรถึงจะตรงตาม พ.ร.บ ฉบับนี้ แต่หากเข้าใจความหมายและหัวใจของกฏหมายฉบับนี้แล้วจะเป็นประโยชน์อย่างยิ่ง สำหรับการเตรียมตัวในการรับมือกับการเปลี่ยนแปลงทั้งองค์ความรู้ และการปรับตัวในการใช้ระบบสารสนเทศให้มีความตระหนักถึงภัยอันตรายมากขึ้น และส่วนหนึ่งที่ต้องนำมาศึกษากันมากขึ้นนั้นคือ การสร้างจริยธรรมในการใช้คอมพิวเตอร์ (Computer / Internet Ethics) จริยธรรมจะมีความสัมพันธ์พื้นฐานระหว่างมนุษย์ที่ต้องใช้หลัก “เอาใจเขามาใส่ใจเรา” หากเรามีสติและมีความตะหนักรู้ ก็ย่อมเกิดผลดีในโลกไซเบอร์นี้ได้

ดังนั้น Log files เป็นเพียงเครื่องมือหนึ่งที่ใช้ในการสืบสวนสอบสวน และใช้ในการประกอบคดีเพื่อหาผู้กระทำความผิดทางคอมพิวเตอร์

ปัญหา ส่วนใหญ่ที่มักเกิดความเสี่ยงภัยไม่ว่าเป็น การหมิ่นประมาท การก่อการร้าย การขโมยข้อมูล การปลอมแปลงข้อมูล การก่อกวนทำให้ผู้อื่นเสียหาย มักจะเกิดจากการใช้งานอินเตอร์เน็ต หนีไม่พ้น Application Protocol ดังต่อไปนี้ คือ Web (HTTP, HTTPS) , Mail (SMTP , POP3 , IMAP อื่นๆ) , Chat (MSN , Yahoo , ICQ , IRC อื่นๆ) , VoIP , การ Upload / Download ที่อาจมีละเมิดทรัพย์สินทางปัญญา โดยใช้การใช้โปรแกรมพวก P2P , การ Remote Access ทั้งจากภายในองค์กร สู่ภายนอก และ ภายนอกองค์กร เข้าสู่ระบบภายใน เป็นต้น ล้วนมีความเสี่ยงหากใช้ด้วยพฤติกรรมที่ไม่เหมาะสมและขาดจริยธรรม ซึ่งอาจทำให้เกิดเป็นคดี ตามมาตรา 5 – 16 ได้เช่นกัน

โดยความเสี่ยงภัยดังกล่าวสามารถมองได้ 2 มุม คือ

1. มุมภายในองค์กร ความหมายขององค์กรนี้คือ บริษัท , สถาบันการศึกษา , โรงแรม , โรงพยาบาล , ร้านอินเตอร์เน็ตคาเฟ่ อื่นๆที่มีการเชื่อมต่ออินเตอร์เน็ตหรือเชื่อมข้อมูลสู่ภายนอกองค์กร (Extranet) ส่วน ต้องมีการเก็บบันทึกข้อมูลจราจร (Log) ส่วนสถานที่ให้บริการเครือข่ายไร้สาย (อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/169) เช่น ร้านกาแฟ, อาพาท์เม้น อื่นๆที่เป็นสาธารณะที่สามารถใช้ระบบอินเตอร์เน็ตเชื่อมต่อข้อมูลได้ จำเป็นต้องเก็บบันทึกข้อมูลจราจร หรือที่เรียกว่า Log เพื่อเป็นประโยชน์ในการสืบหาผู้กระทำความผิด เมื่อมีการฟ้องร้องขึ้นมาจะได้หาผู้กระทำความผิดได้อย่างสะดวกมากขึ้น

2. มุมระดับเครื่องคอมพิวเตอร์ ที่ให้บริการ เช่น ผู้ให้บริการเว็บไซด์ทั้งที่เป็น Hosting และ Webmaster ที่มี Domain (www.xyz.com ดูบริการเก็บ Log เฉพาะเว็บไซด์ที่ SafeHouse Services) หรือมี Domain ใช้ในการรับส่งข้อมูล (FTP, Storage Server) หรือให้บริการสนทนาออนไลท์ (Chat Server เช่น IRC Server เป็นต้น) , ผู้ให้บริการ Mail Server , VoIP Server หรือให้บริการอินเตอร์เน็ต ISP ก็ควรต้องมีการเก็บบันทึกข้อมูลผู้ใช้งาน เพราะผู้ใช้บริการอาจสร้างความเสี่ยงให้เกิดคดีตามมาตรา 5 -16 ได้ ไม่ว่าผู้ใช้บริการเว็บ เว็บบอร์ด ผู้ใช้บริการ ISP ที่มี Account จากการเสียค่าบริการอินเตอร์เน็ต อาจใช้อินเตอร์เน็ตหมุนเบอร์โทรศัพท์ใช้ในทางที่ไม่เหมาะสม

ทั้ง 2 ข้อนี้พบว่าส่วนใหญ่แล้วผู้ที่มีความเสี่ยงภัยที่ก่อเหตุการอันไม่พึ่งประสงค์ ล้วนแล้วแต่เป็น ผู้ใช้งาน (User)

ใน มุมที่หนึ่ง : หน่วยงานที่ยังขาดโครงสร้างพื้นฐาน (ICT Infrastructure) เป็นเรื่องยากที่จะควบตุมการใช้งาน User ในองค์กรได้ หากยังไม่สามารถควบคุมการใช้งาน User ได้แล้วความเสี่ยงภัยย่อมเกิดขึ้นอย่างแน่นอน หากไม่มีการควบคุมการใช้งาน User นั้นคือ ขาดการควบคุมการใช้งาน User สำหรับใช้อินเตอร์เน็ต และขาดการควบคุมการใช้งาน User ที่ใช้ระบบไอซีทีภายในองค์กร เช่น การแชร์เอกสารไฟล์ , ขาดระบบระบุตัวตน (A=Authentication A=Authorization A=Accounting A=Auditing) , ขาดการมีสิทธิที่จะลงซอฟต์แวร์ในเครื่อง หรือการมีสิทธิในการรีโมตเข้าเครื่องสำคัญๆโดยปราศจากการเก็บบันทึก เช่น การ Telnet , Remote Desktop , FTP , VNC , VPN เป็นต้น

การควบคุม User ในการใช้งานอินเตอร์เน็ตไม่ใช่เรื่องยาก สามารถทำได้หลายวิธี แต่การควบคุม User การใช้งานภายในองค์กรเป็นเรื่องที่ยากและต้องใช้วิธีการออกแบบระบบจากผู้ เชี่ยวชาญและมีประสบการณ์

จึงกล้าพูดอย่างชนิดว่าเป็นความจริงว่าน้อยนักที่หน่วยงานในบ้านเราจะมีความพร้อมทางโครงสร้างพื้นฐาน ICT Infrastructure

ความ หมายของโครงสร้างพื้นฐาน (ICT Infrastructure) นั้นคือ ต้องมีเทคโนโลยีที่เหมาะสม ต้องมีคนดูแลเทคโนโลยีให้เหมาะสม และมีนโยบายที่เหมาะสมในการจัดระเบียบการทำงานให้มีความเป็นมาตราฐาน และควบคุมคนเพื่อให้คนควบคุมเทคโนโลยีได้อย่างสอดคล้องกัน

ดังนั้น จากการวิจัยและพัฒนากว่า 4 ปีพบว่าหน่วยงานส่วนใหญ่ในประเทศไทย ยังขาดเรื่องโครงสร้างพื้นฐาน (ICT Infrastructure) ดังนั้นเพื่อเป็นการอำนวยความสะดวกจึงได้จัดทำอุปกรณ์ที่ชื่อว่า SRAN Security Center เราจะช่วยลดปัญหานั้นได้คือเราไม่จำเป็นต้องนำ Log จากทุกเครื่องคอมพิวเตอร์มาประมวลผลที่ศูนย์กลางเป็นเก็บเป็นหลักฐาน ซึ่งในความเป็นจริงแล้วเป็นเรื่องที่ยากมากในการติดตั้งให้ครบและมีค่าใช้ จ่ายสูงมาก แต่เราใช้เทคนิคทั้ง 4 ส่วนคือ Network Analysis , Network IDS/IPS , VA/VM และ Syslog เฉพาะเครื่องแม่ข่ายที่สำคัญ รวมถึงเทคนิคการ Correlation คือการจับเปรียบเทียบเหตุการณ์ให้โยงความสัมพันธ์จากพฤติกรรมการใช้งานและ ภัยคุกคามที่พบ นำมาเรียบเรียงเพื่อให้เข้าใจง่าย ตามแบบอย่าง Chain of Event นั้นคือห่วงโซ่ของเหตุการณ์ ที่พูดถึง ใคร (Who) , ทำอะไร (What) , ที่ไหน (Where) , เมื่อไหร่ (When) , อย่างไร (How/Why) ซึ่งถือว่าเทคนิคนี้จะช่วยลดปัญหาความซับซ้อนทางด้านเทคโนโลยีไปได้สูงมาก และเป็นสูตรลัดในการจัดหาอุปกรณ์ด้านระบบรักษาความมั่นคงปลอดภัยเพื่อใช้ เป็นตัวสอดส่องภัยคุกคามและเก็บบันทึกข้อมูลจราจร ที่เกิดขึ้นในองค์กรที่ยังขาดโครงสร้างพื้นฐานเป็นอย่างมาก

ใน ต้นปีที่ผ่านมาเราได้นำนวัตกรรมนี้ไปโชว์ที่งาน CeBIT ประเทศเยอรมัน จนได้รับความชื่นชมในส่วนผสมผสานเทคโนโลยีได้อย่างลงตัวและกระชับในด้าน ผลลัพธ์ที่ปรากฏ ที่เรียกว่า ระบบ Hybrid Log Recorder และนี้เป็นมิติใหม่การประยุกต์เทคโนโลยี SRAN จึงถือได้ว่าสร้างมาเพื่อค้นหาผู้กระทำความผิดทางอาชญากรรมคอมพิวเตอร์ได้ เรียบง่ายและสมดุลที่สุด “Simple is the Best”

หากกล้องวงจรปิด (CCTV) คืออุปกรณ์ที่คอยเก็บบันทึกข้อมูลทางกายภาพ ที่จำเป็นต้องติดทุกสถานที่ ที่มีการเฝ้าระวัง

SRAN ก็คือ กล้องวงจรปิด (CCTV) ทางด้านไอซีที ที่ต้องติดทุกสถานที่ ที่มีการใช้ระบบสารสนเทศ เพื่อเฝ้าระวังภัยและเก็บบันทึกเหตุการณ์ที่มีประโยชน์ต่อการสืบสวนสอบสวนหาผู้กระทำความผิด เพราะหากมีการใช้งานระบบไอทีก็ย่อมมีภัยคุกคามที่อาจจะเกิดขึ้นได้ทุกเมื่อ ดังนั้นเราควรเฝ้าระวังภัยและพร้อมเก็บบันทึกข้อมูลเพื่ออันเป็นประโยชน์ต่อเจ้าหน้าที่พนักงาน

อ่านเพิ่มเติมได้ที่

http://www.sran.net/archives/163 จุดเด่นของอุปกรณ์ SRAN Security Center

http://www.sran.net/archives/167 “SRAN ช่วยลดปัญหาโลกร้อนได้”

ใบรับรองคุณภาพอุปกรณ์ SRAN http://www.sran.net/archives/165

คดีแรก พ.ร.บ คอมพิวเตอร์ฯ ที่เป็นทางการนำ Log filesจาก SRAN ในการจับคดีอาชญากรรมข้ามชาติ http://www.sran.net/archives/161

SRAN เป็นมากกว่าอุปกรณ์เก็บ Log http://www.sran.net/archives/137

คัดลอกเนื้อหามาจาก http://nontawattalk.blogspot.com/2008/08/blog-post.html

สาระสำคัญกฏหมายอาชญากรรมคอมพิเตอร์

เนื่องจากกฏหมายนี้ออกมามีเสียงวิจารณ์อยู่จำนวนมาก ถึงจะมากด้วยเสียงบ่นก็ต้องทำความเข้าใจว่า นี้เป็นมิติใหม่ของวงการไอซีทีประเทศไทย ที่จะก้าวไปอีกก้าวหนึ่ง จากเดิมเรามักจะแก้ปัญหาที่ปลายเหตุเสมอ ในกรณีที่มีผู้บุกรุกระบบไม่ว่าเป็นคนภายนอกองค์กร หรือคนในองค์กรเอง ที่เป็นอาชญากรทางคอมพิวเตอร์ ทั้งที่ทำด้วยเจตนา และด้วยความรู้เท่าไม่ถึงการณ์ (ติดเป็น Zombie) หลักฐานสำคัญสำหรับการสืบสวนสอบสวนคือ Log ในอดีตที่ยังไม่มีกฏหมายคงมีหลายหน่วยงานที่อาจไม่ให้ความสำคัญกับเรื่อง ระบบรักษาความมั่นคงปลอดภัยทางข้อมูลเลยก็ว่าได้ และเมื่อเกิดปัญหาก็มักจะสืบหาผู้กระทำความผิดจากทางโลก มากกว่าทางธรรม นั้นคือ ทางโลกใช้พฤติกรรมมนุษย์ (Hacker) ไม่ว่าเป็นรัก โลภ โกรธ หลง มาใช้ในการสืบหา ในทางธรรม คือเทคโนโลยี เช่นระบบดิจิตอลที่ไม่หลอกคนใช้งาน แสดงผลอย่างไรก็ว่าไปอย่างนั้น การที่จะหาผู้กระทำความผิดทางระบบคอมพิวเตอร์มาลงโทษเมื่อสมัยก่อนจึงเป็น เรื่องที่ยากและเป็นเรื่องไกลตัว จากสถิติการใช้งานอินเตอร์เน็ตที่สูงขึ้นในอัตราที่ก้าวกระโดดทุกปี ปรากฏว่ามีคดีฟ้องร้องกันในด้านระบบไอทีไม่น้อยกว่า 2 คดีในแต่ละเดือน และมีแนวโน้มที่สูงขึ้น จึงขออยากทำความเข้าใจให้มากขึ้นสำหรับผู้ที่ศึกษาหาข้อมูล พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ นี้ขึ้นอีกครั้ง โดยจะเน้นไปที่เนื้อหาใจความสำคัญที่เป็นหัวใจของกฏหมายฉบับนี้

สาระสำคัญของกฏหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ที่ประกาศขึ้นนั้นคือ “ต้องการหาผู้กระทำความผิดมาลงโทษ”

หลาย คนไปสนใจว่าต้องเก็บ Log อย่างไรถึงจะตรงตาม พ.ร.บ ฉบับนี้ แต่หากเข้าใจความหมายและหัวใจของกฏหมายฉบับนี้แล้วจะเป็นประโยชน์อย่างยิ่ง สำหรับการเตรียมตัวในการรับมือกับการเปลี่ยนแปลงทั้งองค์ความรู้ และการปรับตัวในการใช้ระบบสารสนเทศให้มีความตระหนักถึงภัยอันตรายมากขึ้น และส่วนหนึ่งที่ต้องนำมาศึกษากันมากขึ้นนั้นคือ การสร้างจริยธรรมในการใช้คอมพิวเตอร์ (Computer / Internet Ethics) จริยธรรมจะมีความสัมพันธ์พื้นฐานระหว่างมนุษย์ที่ต้องใช้หลัก “เอาใจเขามาใส่ใจเรา” หากเรามีสติและมีความตะหนักรู้ ก็ย่อมเกิดผลดีในโลกไซเบอร์นี้ได้

ดังนั้น Log files เป็นเพียงเครื่องมือหนึ่งที่ใช้ในการสืบสวนสอบสวน และใช้ในการประกอบคดีเพื่อหาผู้กระทำความผิดทางคอมพิวเตอร์

ปัญหา ส่วนใหญ่ที่มักเกิดความเสี่ยงภัยไม่ว่าเป็น การหมิ่นประมาท การก่อการร้าย การขโมยข้อมูล การปลอมแปลงข้อมูล การก่อกวนทำให้ผู้อื่นเสียหาย มักจะเกิดจากการใช้งานอินเตอร์เน็ต หนีไม่พ้น Application Protocol ดังต่อไปนี้ คือ Web (HTTP, HTTPS) , Mail (SMTP , POP3 , IMAP อื่นๆ) , Chat (MSN , Yahoo , ICQ , IRC อื่นๆ) , VoIP , การ Upload / Download ที่อาจมีละเมิดทรัพย์สินทางปัญญา โดยใช้การใช้โปรแกรมพวก P2P , การ Remote Access ทั้งจากภายในองค์กร สู่ภายนอก และ ภายนอกองค์กร เข้าสู่ระบบภายใน เป็นต้น ล้วนมีความเสี่ยงหากใช้ด้วยพฤติกรรมที่ไม่เหมาะสมและขาดจริยธรรม ซึ่งอาจทำให้เกิดเป็นคดี ตามมาตรา 5 – 16 ได้เช่นกัน

โดยความเสี่ยงภัยดังกล่าวสามารถมองได้ 2 มุม คือ

1. มุมภายในองค์กร ความหมายขององค์กรนี้คือ บริษัท , สถาบันการศึกษา , โรงแรม , โรงพยาบาล , ร้านอินเตอร์เน็ตคาเฟ่ อื่นๆที่มีการเชื่อมต่ออินเตอร์เน็ตหรือเชื่อมข้อมูลสู่ภายนอกองค์กร (Extranet) ส่วน ต้องมีการเก็บบันทึกข้อมูลจราจร (Log) ส่วนสถานที่ให้บริการเครือข่ายไร้สาย (อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/169) เช่น ร้านกาแฟ, อาพาท์เม้น อื่นๆที่เป็นสาธารณะที่สามารถใช้ระบบอินเตอร์เน็ตเชื่อมต่อข้อมูลได้ จำเป็นต้องเก็บบันทึกข้อมูลจราจร หรือที่เรียกว่า Log เพื่อเป็นประโยชน์ในการสืบหาผู้กระทำความผิด เมื่อมีการฟ้องร้องขึ้นมาจะได้หาผู้กระทำความผิดได้อย่างสะดวกมากขึ้น

2. มุมระดับเครื่องคอมพิวเตอร์ ที่ให้บริการ เช่น ผู้ให้บริการเว็บไซด์ทั้งที่เป็น Hosting และ Webmaster ที่มี Domain (www.xyz.com ดูบริการเก็บ Log เฉพาะเว็บไซด์ที่ SafeHouse Services) หรือมี Domain ใช้ในการรับส่งข้อมูล (FTP, Storage Server) หรือให้บริการสนทนาออนไลท์ (Chat Server เช่น IRC Server เป็นต้น) , ผู้ให้บริการ Mail Server , VoIP Server หรือให้บริการอินเตอร์เน็ต ISP ก็ควรต้องมีการเก็บบันทึกข้อมูลผู้ใช้งาน เพราะผู้ใช้บริการอาจสร้างความเสี่ยงให้เกิดคดีตามมาตรา 5 -16 ได้ ไม่ว่าผู้ใช้บริการเว็บ เว็บบอร์ด ผู้ใช้บริการ ISP ที่มี Account จากการเสียค่าบริการอินเตอร์เน็ต อาจใช้อินเตอร์เน็ตหมุนเบอร์โทรศัพท์ใช้ในทางที่ไม่เหมาะสม

ทั้ง 2 ข้อนี้พบว่าส่วนใหญ่แล้วผู้ที่มีความเสี่ยงภัยที่ก่อเหตุการอันไม่พึ่งประสงค์ ล้วนแล้วแต่เป็น ผู้ใช้งาน (User)

ใน มุมที่หนึ่ง : หน่วยงานที่ยังขาดโครงสร้างพื้นฐาน (ICT Infrastructure) เป็นเรื่องยากที่จะควบตุมการใช้งาน User ในองค์กรได้ หากยังไม่สามารถควบคุมการใช้งาน User ได้แล้วความเสี่ยงภัยย่อมเกิดขึ้นอย่างแน่นอน หากไม่มีการควบคุมการใช้งาน User นั้นคือ ขาดการควบคุมการใช้งาน User สำหรับใช้อินเตอร์เน็ต และขาดการควบคุมการใช้งาน User ที่ใช้ระบบไอซีทีภายในองค์กร เช่น การแชร์เอกสารไฟล์ , ขาดระบบระบุตัวตน (A=Authentication A=Authorization A=Accounting A=Auditing) , ขาดการมีสิทธิที่จะลงซอฟต์แวร์ในเครื่อง หรือการมีสิทธิในการรีโมตเข้าเครื่องสำคัญๆโดยปราศจากการเก็บบันทึก เช่น การ Telnet , Remote Desktop , FTP , VNC , VPN เป็นต้น

การควบคุม User ในการใช้งานอินเตอร์เน็ตไม่ใช่เรื่องยาก สามารถทำได้หลายวิธี แต่การควบคุม User การใช้งานภายในองค์กรเป็นเรื่องที่ยากและต้องใช้วิธีการออกแบบระบบจากผู้ เชี่ยวชาญและมีประสบการณ์

จึงกล้าพูดอย่างชนิดว่าเป็นความจริงว่าน้อยนักที่หน่วยงานในบ้านเราจะมีความพร้อมทางโครงสร้างพื้นฐาน ICT Infrastructure

ความ หมายของโครงสร้างพื้นฐาน (ICT Infrastructure) นั้นคือ ต้องมีเทคโนโลยีที่เหมาะสม ต้องมีคนดูแลเทคโนโลยีให้เหมาะสม และมีนโยบายที่เหมาะสมในการจัดระเบียบการทำงานให้มีความเป็นมาตราฐาน และควบคุมคนเพื่อให้คนควบคุมเทคโนโลยีได้อย่างสอดคล้องกัน

ดังนั้น จากการวิจัยและพัฒนากว่า 4 ปีพบว่าหน่วยงานส่วนใหญ่ในประเทศไทย ยังขาดเรื่องโครงสร้างพื้นฐาน (ICT Infrastructure) ดังนั้นเพื่อเป็นการอำนวยความสะดวกจึงได้จัดทำอุปกรณ์ที่ชื่อว่า SRAN Security Center เราจะช่วยลดปัญหานั้นได้คือเราไม่จำเป็นต้องนำ Log จากทุกเครื่องคอมพิวเตอร์มาประมวลผลที่ศูนย์กลางเป็นเก็บเป็นหลักฐาน ซึ่งในความเป็นจริงแล้วเป็นเรื่องที่ยากมากในการติดตั้งให้ครบและมีค่าใช้ จ่ายสูงมาก แต่เราใช้เทคนิคทั้ง 4 ส่วนคือ Network Analysis , Network IDS/IPS , VA/VM และ Syslog เฉพาะเครื่องแม่ข่ายที่สำคัญ รวมถึงเทคนิคการ Correlation คือการจับเปรียบเทียบเหตุการณ์ให้โยงความสัมพันธ์จากพฤติกรรมการใช้งานและ ภัยคุกคามที่พบ นำมาเรียบเรียงเพื่อให้เข้าใจง่าย ตามแบบอย่าง Chain of Event นั้นคือห่วงโซ่ของเหตุการณ์ ที่พูดถึง ใคร (Who) , ทำอะไร (What) , ที่ไหน (Where) , เมื่อไหร่ (When) , อย่างไร (How/Why) ซึ่งถือว่าเทคนิคนี้จะช่วยลดปัญหาความซับซ้อนทางด้านเทคโนโลยีไปได้สูงมาก และเป็นสูตรลัดในการจัดหาอุปกรณ์ด้านระบบรักษาความมั่นคงปลอดภัยเพื่อใช้ เป็นตัวสอดส่องภัยคุกคามและเก็บบันทึกข้อมูลจราจร ที่เกิดขึ้นในองค์กรที่ยังขาดโครงสร้างพื้นฐานเป็นอย่างมาก

ใน ต้นปีที่ผ่านมาเราได้นำนวัตกรรมนี้ไปโชว์ที่งาน CeBIT ประเทศเยอรมัน จนได้รับความชื่นชมในส่วนผสมผสานเทคโนโลยีได้อย่างลงตัวและกระชับในด้าน ผลลัพธ์ที่ปรากฏ ที่เรียกว่า ระบบ Hybrid Log Recorder และนี้เป็นมิติใหม่การประยุกต์เทคโนโลยี SRAN จึงถือได้ว่าสร้างมาเพื่อค้นหาผู้กระทำความผิดทางอาชญากรรมคอมพิวเตอร์ได้ เรียบง่ายและสมดุลที่สุด “Simple is the Best”

หากกล้องวงจรปิด (CCTV) คืออุปกรณ์ที่คอยเก็บบันทึกข้อมูลทางกายภาพ ที่จำเป็นต้องติดทุกสถานที่ ที่มีการเฝ้าระวัง

SRAN ก็คือ กล้องวงจรปิด (CCTV) ทางด้านไอซีที ที่ต้องติดทุกสถานที่ ที่มีการใช้ระบบสารสนเทศ เพื่อเฝ้าระวังภัยและเก็บบันทึกเหตุการณ์ที่มีประโยชน์ต่อการสืบสวนสอบสวนหาผู้กระทำความผิด เพราะหากมีการใช้งานระบบไอทีก็ย่อมมีภัยคุกคามที่อาจจะเกิดขึ้นได้ทุกเมื่อ ดังนั้นเราควรเฝ้าระวังภัยและพร้อมเก็บบันทึกข้อมูลเพื่ออันเป็นประโยชน์ต่อเจ้าหน้าที่พนักงาน

อ่านเพิ่มเติมได้ที่

http://www.sran.net/archives/163 จุดเด่นของอุปกรณ์ SRAN Security Center

http://www.sran.net/archives/167 “SRAN ช่วยลดปัญหาโลกร้อนได้”

ใบรับรองคุณภาพอุปกรณ์ SRAN http://www.sran.net/archives/165

คดีแรก พ.ร.บ คอมพิวเตอร์ฯ ที่เป็นทางการนำ Log filesจาก SRAN ในการจับคดีอาชญากรรมข้ามชาติ http://www.sran.net/archives/161

SRAN เป็นมากกว่าอุปกรณ์เก็บ Log http://www.sran.net/archives/137

คัดลอกเนื้อหามาจาก http://nontawattalk.blogspot.com/2008/08/blog-post.html

การตั้งค่า Time Server ให้ตรงตามมาตราฐาน

หลังจากที่มีการกำหนดเวลามาตราฐานในประเทศไทยเกิดขึ้น ในวันที่ 23 สิงหาคม 2551 นี้ ส่วนหนึ่งที่สำคัญคือ จากที่ประกาศใช้ พ.ร.บ. อาชญากรรมคอมพิวเตอร์ ต้องการให้เวลาในค่า Log files ได้มีค่าที่ตรงกัน

เพื่อสร้างความเข้าใจ ทีมงาน SRAN จึงขออธิบายถึงค่าเวลาในการเก็บ Log files จากประสบการณ์จริงที่เคยร่วมงาน ปัญหาส่วนหนึ่งคือเวลา Log ในแต่ละอุปกรณ์มีค่าไม่ตรงกันจึงไม่สามารถหาพฤติกรรมการกระทำความผิดได้ ซึ่งครั้งหนึ่งที่เคยประสบมาคือ Log ของอปุกรณ์ Radius Server มีค่าไม่ตรงกับ Log Proxy Caching และไม่ตรงกับ Log อุปกรณ์ Router ทำให้เป็นเรื่องลำบากในการเปรียบเทียบเหตุการณ์เนื่องจากนักโจมตีระบบ (Hacker) ได้ยึดรายชื่อ Accounting ในการเชื่อมต่ออินเตอร์เน็ตจากเครื่อง Radius Server และใช้ Account นั้นไป Post ข้อความและทำการเปลี่ยนหน้าเว็บ ซึงหากเวลาตรงแล้วเราเพียงจับเหตุการณ์จาก Web Proxy Caching และ Log ในการ Login ผ่าน Radius Server ก็จะทราบเบอร์โทรศัพท์ที่ Hacker ใช้ในการกระทำผิดได้ หลังจากเหตุการณ์นี้จึงมีผลให้เป็นกรณีศึกษาสำคัญชิ้นหนึ่งในประเทศไทยและทางผู้เชี่ยวชาญหลายคนได้มีความเห็นว่าควรมีการตั้งเวลาให้ตรงกัน เพื่อใช้ในการสืบหาหลักฐานจาก Log ได้ถูกต้องขึ้น

วิธีการปรับเทียบเวลามาตรฐานทาง Internet ผ่านระบบ NTP
(Time Synchronization through Internet by NTP)

การปรับเทียบเวลามาตรฐานทาง Internet ผ่านระบบ Network Time Protocol ( NTP) คืออะไร
NTP Protocol เป็น Protocol ที่ใช้สำหรับปรับเทียบเวลา ( Time Synchronization) ของ Computer โดยอาศัยเครือข่าย Internet เป็นสื่อกลางในการส่งข้อมูลเวลามาตรฐานไปยังเครื่องลูกข่าย โดยมีเครื่องแม่ข่าย ( NTP Server) เป็นตัวให้บริการส่งเวลามาตรฐานไปยังเครื่องปลายทางเพื่อปรับเทียบเวลาให้ ตรงกลับเวลามาตรฐาน ( Time Standard) ซึ่งเป็นค่าเวลาที่ทาง Time & Frequency Lab. ได้ทำการเก็บรักษาไว้โดยวิธีการเปรียบเทียบกับเวลามาตรฐานของประเทศอื่นๆ ซึ่งเป็นที่ยอมรับในระดับนานาชาติ โดยมีความถูกต้องอยู่ที่ ประมาณ 1 millisecond ในระบบ LAN และประมาณ 10 millisecond ในระบบ WAN นับว่าเป็นความคลาดเคลื่อนที่อยู่ในระดับต่ำ อีกทั้งยังง่ายต่อการเข้าถึงของผู้ใช้ทั่วไป แค่เพียงมี PC ที่สามารถเชื่อมต่อ เข้าระบบ Internet ได้ผู้ใช้ก็สามารถที่จะ Synchronize เวลามาตรฐานผ่านระบบ NTP ได้ทันที (อ้างอิงจาก http://rru-comsci.blogspot.com/2008/08/blog-post_19.html )

คำถาม Log ที่เกิดขึ้นบนตัวอุปกรณ์ หรือในระดับ Host ไม่ว่าเป็นอุปกรณ์ทางเครือข่าย หรือ เครื่องคอมพิวเตอร์ จำเป็นต้อง Set Time Server หรือไม่ หากมีการทำ Centralize Log Server แล้ว ?

คำตอบ : หากเป็นหน่วยงานที่สามารถควบคุมการใช้งานผู้ใช้งานได้ (เครื่อง Client User) ได้ ก็สามารถ Deploy ค่า Time Server ให้ตรงกันหมดได้ ส่วนอุปกรณ์เครือข่ายต้องให้ทางบริษัทที่จำหน่ายมาตั้งค่า Time Server เสียใหม่ หากไม่ได้มีการตั้งค่า Time server ให้ตรงกับเวลาไทยแล้วจะมีปัญหากับการทำ Computer Forensics ในระดับ Host

แต่สำหรับหน่วยงานใดที่ยังไม่มีระบบควบคุมการใช้งาน User ก็สามารถตั้งค่าเวลาตรง Time Server สำหรับ Centralize Log Server ก็ทำได้โดยไม่ต้องไปตั้งค่าที่เครื่องลูกข่ายและอุปกรณ์เครือข่ายใหม่ ก็ได้ เช่นกัน แต่หากต้องการหลักฐานมากขึ้นในการพิสูจน์หาความผิดทางอาชญากรรมคอมพิวเตอร์ต้องเข้าไปดูที่เครื่องลูกข่าย (Client) หรือมีการบุกรุกระบบแม่ข่าย (Server) จำเป็นต้องทำ Computer Forensic ก็ต้อง Set Time Server ให้ตรงหมด

สรุป ถ้าหากไม่พร้อม ตั้งเพียง Log Server ให้ตรงค่า Time Server มาตราฐานก็พอ แต่หากหลักฐานนั้นไม่พอในกรณีที่ต้องทำ Computer Forensics จำเป็นต้องได้ค่า Log ที่นั้นมีเวลาตรงตามมาตราฐาน

อุปกรณ์ SRAN ได้ประกอบด้วยคุณสมบัติการเฝ้าระวัง วิเคราะห์ข้อมูล และเก็บบันทึกข้อมูลจราจร ก็ถือว่าเป็นการผสมผสานเทคโนโลยีเข้าด้วยกัน ซึ่งสามารถดู Log Files จากอุปกรณ์ SRAN ได้อย่างสะดวกมากขึ้น

ขั้นตอนการตั้งค่า Time Sync Server เพื่อให้เวลาเป็นมาตราฐาน บนอุปกรณ์ SRAN Security Center

1. บริหารจัดการผ่าน SSL ใส่ User / Password ที่ถูกกำหนดให้เป็นผู้ดูแลระบบและเก็บรักษาข้อมูล (Data Custody) อ่านเพิ่มเติมการตั้งค่า Data Custody ได้ที่ www.sran.net/archives/155

2. ไปที่เมนู Management

หน้าจอ Management ที่ประกอบด้วย Icon เมนูย่อย 9 เมนูที่ใช้ในการปรับแต่งค่าระบบ

3. ไปที่เมนูย่อย Time Set

ค่า NTP Server ตั้งไปที่ time1.nimt.or.th ซึ่งในปัจจุบัน Firmware ปัจจุบันได้ตั้งค่านี้เป็น Default

Log ที่ปรากฏบนอุปกรณ์ SRAN ก็จะตรงกับค่าเวลามาตราฐานไทย

แหล่งข้อมูล:

• สถาบันมาตรวิทยาแห่งชาติ (http://www.nimt.or.th/nimt/Service/index.php?menuName=time)
• กรมอุทกศาสตร์ กองทัพเรือ (http://www.navy.mi.th/hydro/time/)

SRAN ช่วยลดปัญหาโลกร้อน

จากการวิจัยและพัฒนาเป็นเวลากว่า 4 ปีทำให้อุปกรณ์ SRAN เป็นทางลัดสู่การสืบหาผู้กระทำความผิดเกี่ยวกับอาชญากรรมคอมพิวเตอร์ได้ดีที่สุดทางหนึ่งก็ว่าได้ เนื่องจากคุณสมบัติของอุปกรณ์ SRAN หรือที่ชื่อเต็มผลิตภัณฑ์นี้ว่า “SRAN Security Center” ได้ถูกออกแบบมาจากการผสมผสานเทคโนโลยี Network Analysis , IDS/IPS VA/VM , Syslog Server และ Log Compliance ในตัวเดียวที่คุ้มค่าการลงทุน ซึ่งหากเปรียบได้ว่าการลงทุนด้านระบบไอซีทีนั้นไม่มีวันหมด ส่่วนหนึ่งที่ช่วยองค์กรให้เพิ่มความปลอดภัยและรู้ทันปัญหาได้นั้นอุปกรณ์ SRAN ซึ่งลดการนำเข้าสินค้าจากต่างประเทศ รวมถึงการจัดการในรูปแบบรวมศูนย์ ไม่ต้องใช้เครื่องแม่ข่ายหลายเครื่อง ไม่ต้องใช้เครื่องเก็บบันทึกที่มีขนาดใหญ่ เนื่องจากมีเครื่องบริหารจัดการเรื่องนี้มากก็ทำให้ใช้จ่ายมาก ทั้งใช้ระบบไฟฟ้ามาก เมื่อเครื่องหมดอายุขัยก็กลายเป็นขยะทางอิเล็คทรอนิกส์มาก จึงเป็นเหตุผลหนึ่งที่กล้าบอกได้ว่าในองค์กรสมัยใหม่ นี้ควรมีอุปกรณ์ SRAN ในการติดตั้ง SRAN ประหยัดระยะเวลา ลดปัญหาโลกร้อน ที่ไม่ต้องใช้อปุกรณ์จำนวนมากในการบริหารจัดการเก็บบันทึกข้อมูลจราจร

SRAN เหมาะกับองค์กรและหน่วยงานที่ขาดโครงสร้างด้านไอซีที (ICT Infrastructure)

Infrastructure หรือโครงสร้างที่พร้อมขององค์กรนั้นประกอบไปด้วย

1. มีเทคโนโลยีที่เหมาะสมอยู่แล้ว เช่น มีระบบป้องกันภัยคุกคาม ทั้งทางระบบเครือข่าย และเครื่องผู้ใช้งาน มีระบบเฝ้าระวังภัย มีระบบที่ควบคุมการใช้งานอินเตอร์เน็ตในองค์กร มีระบบควบคุมการใช้งานไอซีทีภายในองค์กร มีระบบระบุตัวตนผู้ใช้งาน มีระบบบริหารจัดการความเสี่ยง

2. มีคนดูแลเทคโนโลยีที่ใช้งานในองค์กร

3. มีนโยบายควบคุมคนให้มาใช้งานเทคโนโลยีในองค์กร

ถ้าหากองค์กรนั้นๆ ยังขาดโครงสร้างทั้ง 3 ส่วนนี้การลงทุนระบบ SIEM /SEM หรือ syslog Server เพียงอย่างเดียวคงไม่ได้ผลลัพธ์นักเพียงแต่อาจทำให้งบประมาณบานปลายได้อีกด้วย

SRAN เหมาะกับองค์กรและหน่วยงานที่พร้อมทางโครงสร้างด้านไอซีที (ICT Infrastructure)

สำหรับหน่วยงานที่พร้อมทั้ง 3 องค์ประกอบหลักนั้นคือ มีเทคโนโลยีที่เหมาะสมในการป้องกันภัยคุกคาม มีคนดูแลเทคโนโลยี และมีกระบวนการที่มีมาตราฐานควบคุมคนทำงาน แล้ว SRAN ก็เหมาะสมในการติดตั้งตามสาขา หรือ Node ต่างๆ เพื่อเฝ้าระวัง วิเคราะห์ และเก็บบันทึกข้อมูล ตามสาขานั้นๆ เป็นต้น

สาระสำคัญของกฏหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ นั้นคือ“ต้องการหาผู้กระทำความผิดมาลงโทษ”

ซึ่งหากมองว่าเราควรเก็บ Log นั้นหมายความ Log นั้นควรหาผู้กระทำความผิดได้ และเอื้ออำนวยความสะดวกให้เจ้าหน้าที่พนักงานและเจ้าหน้าที่ตำรวจในการสืบสวนสอบสวน หรือการทำ Forensics ได้

ส่วนใหญ่แล้วมักเกิดความเข้าใจที่คาดเคลื่อนกันไปบ้าง เพราะจะเก็บ Log แบบใดจึงจะเหมาะสม หากพิจารณาให้ดีแล้วการเก็บ Log แบบใดก็ได้ ที่รู้การกระทำ รู้ใครทำอะไรที่ไหน เวลาที่ตรงตามมาตราฐาน นั้นก็พอเพียงแล้วสำหรับมาตรา 26 และ 27

และส่วนใหญ่ การกระทำที่เข้าข่ายฐานความผิดนั้นมักจะเป็นการใช้งานจากอินเตอร์เน็ต ไม่ว่าเป็นการเหมินประมท การก่อกวน การทำลายข้อมูล การส่งข้อมูลที่ไม่พึ่งประสงค์ การหลอกลวงผู้อื่น การดักข้อมูลผู้อื่นโดยมิชอบ การปลอมแปลงข้อมูล การก่อการร้าย ซึ่งหากองค์กรใดที่ยังไม่มีระบบโครงสร้างพื้นฐานด้านไอซีทีที่ดีพอ เช่น ยังขาดเทคโนโลยี ยังขาดคน ยังขาดกระบวนการทำงานที่มีมาตราฐาน และแน่นอนความเสี่ยงภัยต่างๆ เหล่านี้จะตกเป็นที่ User คือผู้ใช้งานด้านไอซีทีในองค์กร เป็นส่วนใหญ่

Continue Reading »

ปัญหาเครือข่ายไร้สายกับการบังคับใช้กฏหมายคอมพ์

บังเอิญเมื่ออาทิตย์ที่แล้วได้รับตอบคำถาม ในกระทู้ถามตอบ SRAN Community ซึ่งเป็นคำถามที่ดีและคิดว่าเป็นประโยชน์สำหรับผู้อ่านจึงขออนุญาตินำมาเผยแพร่ในเว็บ ถามปัญหากฏหมายอินเตอร์เน็ตไร้สาย โดยคำถามกล่าวว่า “เคยมีคนรู้จักบอกว่า การปล่อยสัญญานอินเตอร์เน็ตไร้สายโดยเปิด free ip address ไม่สามารถทำได้เพราะต้องมีการบันทึกเก็บไว้ อยากทราบว่าจริงหรือไม่อย่างไรพอจะบอกได้ไหมครับ”

คำตอบของทางทีมงาน SRAN

” การปล่อยสัญญานอินเตอร์เน็ตไร้สาย ไม่ว่าจะเกิดจากการใช้เทคโนโลยีดังนี้
1. GPRS / EDGE / CDMA นั้น Log จะต้องถูกบันทึกจากทางผู้ให้บริการ เช่น DTAC , Ture , AIS , CATTelecom หรืออื่นๆ ที่ให้บริการนี้ ซึ่งเป็นหน้าที่ของ ISP ดังกล่าวที่ต้องทำการจัดเก็บบันทึกข้อมูล และทำการระบุเครื่องคอมพิวเตอร์ ได้เป็นอย่างน้อยเช่น ขอบเขตบริเวณของผู้ใช้ จากช่วง IP มาจากโซนภาคเหนือ ภาคกลาง หรือกลางตะวันออกเฉียงเหนือ และภาคใต้เป็นต้น ซึ่งอาจทำได้มากกว่านั้น เช่นระบุช่วง วัน เวลา สถานที่ ที่ผู้เรียกใช้บริการ หรือการ FIX IP กับเบอร์มือถือ นั้นทำได้จะเป็นการดีมาก
ข้อควรระวังในการใช้ GPRS / EDGE / CDMA ผู้ใช้งานไม่ควรเปิด Bluetooth ในเครื่องและทำการ sync ข้อมูลอินเตอร์เน็ตไปพร้อมกัน เนื่องจาก Bluetooth ที่เปิดอิสระนั้นอาจมีผู้อื่นผู้ใด ที่อยู่ในระยะที่เหมาะสมแอบใช้ข้อมูลและทำการเชื่อมต่ออินเตอร์เน็ต ผ่าน GPRS / EDGE / CDMA จากมือถือท่านได้ และใช้สัญญานที่ได้รับ ก่ออาชญกรรมทางคอมพิวเตอร์ได้เช่นกัน เรียกได้ว่าเป็นการใช้เครื่องผู้อื่นกระทำความผิด ซึ่งหากเป็นกรณี หากมีการฟ้องร้องเกิดขึ้น จะสามารถระบุเบื้องต้นจาก Log อาจเพียงรู้ว่าผู้ใช้เบอร์มือถือนี้คือใคร และต้องไปพิสูจน์หลักฐานกันต่อในชั้นศาล

2. ระบบ Wi-Fi ตามสถานที่ให้บริการ เช่น ร้านอินเตอร์เน็ต ร้านกาแฟ สนามบิน หรืออื่นๆ ผู้ให้บริการจะเป็นผู้เก็บบันทึก Log และผู้ให้บริการในความหมายนี้จะกลายเป็น ร้านอินเตอร์เน็ต ร้านกาแฟ สนามบิน หรืออื่นๆ เป็นต้น ที่ต้องเก็บบันทึกหมายเลข IP ใคร ทำอะไร คือลักษณะการใช้งานที่มีความเสี่ยงต่อภัยคุกคามและฐานความผิดตามมาตราต่างๆ ที่ระบุใน พ.ร.บ คอมพ์ฯ ได้แก่ Protocol Web , Mail , Chat , P2P , VoIP การ Remote ออกนอกสถานที่ เป็นต้น
เวลาต้องให้ตรงตามมาตรวิทยา คือตั้งค่า Time Sync ไปที่ Sever Nectec หรือที่มาตรวิทยา
http://www.etcommission.go.th/documents/standard/time_sync_server_v1_0.pdf
ซึ่งส่วนนี้ต้องระวังให้มาก ได้แก่ บ้านหรือบริษัท หน่วยงาน ที่ใช้ Wireless LAN และกระจายสัญญาณให้ผู้อื่นได้ใช้งานได้ด้วย ทำให้มีผู้ใช้งานได้หากอยู่ในระยะที่เหมาะสมและสามารถใช้ บ้าน หรือ หน่วยงานนั้นไปทำความผิดได้ ดังนั้นความหมายผู้ให้บริการของกฏหมาย ก็จะกลายเป็น บ้านคน หรือ หน่วยงานที่ให้บริการ Wireless LAN ไปด้วยในทันที จึงจำเป็นต้องเก็บบันทึกข้อมูลจราจร หากควบคุมการใช้งานอินเตอร์เน็ตที่บ้านหรือหน่วยงานได้ ควรใช้ Password ในการเข้าถึง Access Point ที่บ้านตน ไม่ปล่อยสัญญาณอิสระ ก็จะช่วยควบคุมการใช้งานมิให้ ผู้อื่นที่แปลกปลอมมาใช้งานในส่วนนี้ได้

สำคัญว่ากฏหมายนี้ออกมาเพื่อหาผู้กระทำความผิด ดังนั้น Log จึงเป็นหลักฐานชิ้นสำคัญที่ระบุลักษณะการใช้งาน ระบุ IP/MAC หรือตัวตนของผู้กระทำความผิด เพื่อเป็นประโยชน์ในรูปคดีในชั้นศาลต่อไป “

สำหรับผู้ให้บริการเครือข่ายไร้สาย ไม่ว่าเป็น ร้านอินเตอร์เน็ตคาเฟ่, ร้านกาแฟ, โรงแรม, สนามบิน, สถานศึกษา หรืออื่นๆ สามารถนำ SRAN Security Center เชื่อมต่อหลังอุปกรณ์ Router Modem ที่รับสัญญานอินเตอร์เน็ตได้ หรือหลังอุปกรณ์ Access Point เพื่อเฝ้าระวัง วิเคราะห์ และเก็บบันทึกข้อมูลจราจร ตาม พ.ร.บ. คอมพ์ฯ ได้โดย

มีผู้ใช้งานอินเตอร์เน็ตไร้สายในสถานที่นั้นๆ จำนวนไม่เกิน 70 เครื่อง ใช้ SRAN Security Center รุ่น SR-SE ใน Mode ติดตั้งแบบ Transparent และไม่เกิน 20 เครื่องสามารถใช้ Mode In-line ซึ่งจะสามารถป้องกันภัยคุกคามได้ในตัวเป็นระบบ IPS (Intrusion Prevention System) ได้

สำหรับผู้ใช้บริการอินเตอร์เน็ตไร้สายในสถานที่นั้นๆ จำนวนไม่เกิน 300 เครื่อง ใช้ SRAN Security Center รุ่น SR-ME ใน Mode ติดตั้งแบบ Transparent และไม่เกิน 140 เครื่องสามารถใช้ Mode In-line ซึ่งจะสามารถป้องกันภัยคุกคามได้ในตัวเป็นระบบ IPS (Intrusion Prevention System) ได้

สำหรับผู้ใช้บริการอินเตอร์เน็ตไร้สายในสถานที่นั้นๆ จำนวนไม่เกิน 450 เครื่อง ใช้ SRAN Security Center รุ่น SR-L ใน Mode ติดตั้งแบบ Transparent และไม่เกิน 200 เครื่องสามารถใช้ Mode In-line ซึ่งจะสามารถป้องกันภัยคุกคามได้ในตัวเป็นระบบ IPS (Intrusion Prevention System) ได้

ซึ่งอุปกรณ์ SRAN Security Center ยังสามารถรองรับการทำ MSSP (Management Security Services Provider) สำหรับผู้ให้บริการไร้สาย (Wi-Fi) และสามารถควบคุมได้ผ่าน SSL ซึ่งเพิ่มสะดวกในการเฝ้าระวัง อีกทั้งมีประโยชน์ในแง่การสืบสวนสอบสวนหาผู้กระทำผิดสำหรับเจ้าหน้าที่พนักงาน และเจ้าของกิจการอีกด้วย

รายละเอียดเพิ่มเติมอ่านได้ที่ http://www.gbtech.co.th/th/product/usm

ซึ่งสามารถติดต่อตัวแทนขายที่ http://www.gbtech.co.th/th/contacts/partner

ใบรับรองคุณภาพอุปกรณ์ SRAN

พลตำรวจโท สมยศ พุ่มพันธุ์ม่วง ผู้บัญชาการ กองบัญชาการตำรวจสอบสวนกลาง สำนักงานตำรวจแห่งชาติ ได้มอบใบประกาศเกียรติคุณ ให้กับบริษัทโกลบอลเทคโนโลยี อินทิเกรเทด จำกัด เนื่องในโอกาสที่บริษัทฯได้ให้การสนับสนุนอุปกรณ์ตรวจจับภัยคุกคามระบบเครือข่าย SRAN Security Center และปฏิบัติการร่วมกับกองบัญชาการตำรวจสอบสวนกลาง ในการจับกุมอาชญากรข้ามชาติได้สำเร็จ โดยดำเนินคดีจาก Log files ที่ได้จากอุปกรณ์ SRAN และได้นำเป็นหลักฐานในชั้นศาลจนสาวถึงการจับกุมกลุ่มอาชญากรรมข้ามชาตินี้ได้

นับเป็นเกียรติประวัติครั้งสำคัญสำหรับบริษัทฯและผลิตภัณฑ์ SRAN ที่เทคโนโลยีของไทยได้มีส่วนสนับสนุนการปฏิบัติงานของเจ้าหน้าที่ตำรวจ และเป็นเครื่องยืนยันความสามารถของอุปกรณ์ SRAN Security Center โดยเฉพาะ Log Files ที่ได้จากอุปกรณ์ SRAN Security Center สามารถนำมาประเมินและวิเคราะห์ภัยคุกคามด้านอาชญากรรมคอมพิวเตอร์ได้ผลจริง จนสามารถจับกุมอาชญากรไฮเทคได้ในที่สุด อ่านรายละเอียดเพิ่มเติมได้ที่ http://www.gbtech.co.th/th/archives/179

ซอฟท์แวร์ SRAN Security Center ได้รับตราสัญลักษณ์ Buy Thai First เป็นการรับประกันว่าได้ผ่านข้อกำหนดของ SIPA และสมาคมอุตสาหกรรมซอฟต์แวร์ไทย (ATSI) สามารถใช้งานได้จริง โดยมีองค์กรที่ซื้อซอฟต์แวร์ดังกล่าวไปใช้เป็นผู้ยืนยันการใช้งาน อาทิ สำนักงานตำรวจแห่งชาติ

อุปกรณ์ SRAN Security Center ได้รับใบรับรอง RoHs, FCC, CE และ UL เป็นเครื่องยืนยันว่าเป็นผลิตภัณฑ์ที่เป็นมิตรกับสิ่งแวดล้อม ทั้งยังได้รับการรับรองมาตรฐานความปลอดภัยของ EU และ USA อีกด้วย

บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด ผู้คิดค้นและพัฒนาผลิตภัณฑ์ SRAN Security Center ได้รับการรับรองมาตรฐาน ISO 9001 เป็นการยืนยันถึงความพร้อมในงานบริการด้านความมั่นคงปลอดภัยข้อมูล และมาตรฐานการผลิตอุปกรณ์รักษาความปลอดภัยข้อมูลในระดับเครือข่ายคอมพิวเตอร์

SRAN บรรยายที่สภาอุตสาหกรรมประเทศไทย

วันที่ 13 สิงหาคม 2551 ที่ผ่านมา ณ.ศูนย์ประชุมสิริกิติ์ ห้องประชุมใหญ่สภาอุตสาหกรรมประเทศไทย ทางบริษัทแพลนเน็ตคอมมิวนิเคชั่น เอเชีย จำกัด ตัวแทนขายอุปกรณ์ SRAN Security Center ได้เป็นเจ้าภาพในการจัดงานสัมมนานี้ขึ้นภายใต้ชื่อ “รู้ทัน พ.ร.บ. คอมพิวเตอร์ฯ” เพื่อเตรียมความพร้อมและสร้างความเข้าใจในการเก็บบันทึกข้อมูลจราจร (Log) ซึ่งได้รับการบรรยายโดย คุณนนทวรรธนะ สาระมาน ผู้ร่วมก่อตั้ง SRAN และผู้อำนวยการฝ่ายวิจัยและพัฒนาผลิตภัณฑ์บริษัทโกบอลเทคโนโลยี อินทรีเกรตเทด ใช้เวลาบรรยายเกือบ 2 ชั่วโมง มีผู้ร่วมงานสัมมนาจำนวนกว่า 80 ท่าน ทั้งที่เป็นตัวแทนบริษัท หน่วยงานที่สมาชิกกับสภาอุตสาหกรรมประเทศไทย ร่วมถึงผู้บริหารหน่วยงาน ทั้งนี้ในงานมีการสาธิตและทดลองการใช้งานอุปกรณ์ SRAN Security Center ในรุ่น SR-L ทั้งที่เป็น Hybrid และ SR L ทั่วไป จากทีมงาน บริษัทคอมซีเคียวโซลูชั่น (Comsecure) อีกด้วย

จุดเด่นของ SRAN Security Center

SRAN Appliance อย่างที่ทราบกันดีว่ามี 2 ตระกูลด้วยกัน นั้นคือตระกูลที่เป็น Security Gateway เรียกว่า SRANwall ส่วนที่เป็น Unified Security Monitoring เรียกว่า SRAN Security Center ซึ่งในปัจจุบัน SRAN Security Center ได้มีผู้ใช้งานจำนวนมาก และได้มีการยอมรับกับหน่วยงานต่างๆ ซึ่งได้ประกาศในเว็บไซด์บริษัท Global Technology Integrated ที่ http://www.gbtech.co.th/th/custome ซึ่งประกอบด้วย ภาครัฐบาล ภาคเอกชน และภาคการศึกษา

อีกทั้งอุปกรณ์ SRAN ยังได้รับรองคุณภาพจากหน่วยงานตราสัญลักษณ์ Buy Thai First เป็นการรับประกันว่าได้ผ่านข้อกำหนดของ SIPA และสมาคมอุตสาหกรรมซอฟต์แวร์ไทย (ATSI) สามารถใช้งานได้จริง นอกจากนี้อุปกรณ์ได้รับใบประกาศนียบัตรฮาร์ดแวร์ เช่น FCC , CE , UL และที่สำคัญอุปกรณ์ SRAN ได้ RoHS ซึ่งบอกถึงฮาร์ดแวร์ของอุปกรณ์นี้ไม่ทำลายสิ่งแวดล้อมอีกด้วย

หน่วยงานที่รองรับอุปกรณ์ SRAN Security Center ทั้งหน่วยที่ภายในประเทศและหน่วยสากลต่างประเทศ

ล่าสุดได้มีการรับรองจากกองบัญชาการตำรวจสอบสวนกลาง และ ศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี (ศตท.) เพื่อใช้ในการสืบสวนสอบสวนในคดีเกี่ยวข้องกับอาชญากรรมคอมพิวเตอร์ โดยที่เป็นผลงานแล้วคือรวบแก๊งไนจีเรียอย่างที่เป็นข่าวเมื่อเร็วๆนี้

เทคนิคการเก็บบันทึกข้อมูลจราจรของ SRAN Security Center
SRAN Security Center ใช้ 3 เทคโนโลยี ประกอบกัน ได้แก่
1.เทคนิคการทำ Flow Base Collector คือ การตรวจลักษณะการใช้งาน Bandwidth ผ่าน Protocol ICMP , TCP , UDP และ SNMP เพื่อดูลักษณะการใช้งาน ทั้งที่เป็นข้อมูลขาเข้าระบบเครือข่าย และ ขาออกจากระบบเครือข่ายที่ใช้งาน
2.เทคนิคการตรวจจับค่า Syslog จากตัวอุปกรณ์ สามารถรับค่า Syslog จากอุปกรณ์ เช่น Router, Firewall , IDS/IPS และ Proxy เครื่องแม่ข่าย เช่น Domain Controller, Proxy Server และ Web / Mail Server ได้ โดยกำหนดค่าตั้งรับ syslog ผ่านในอุปกรณ์ SRAN ซึ่งจะมีอยู่ในรุ่นที่เป็น Hybrid Log Recorder คือ รุ่น SR-L Hybrid ขึ้นไปเท่านั้น
3.เทคนิคการวิเคราะห์โดยเปรียบเทียบตามฐานข้อมูล ช่วยให้ทราบถึง Application Protocol ต่างๆ ได้แก่ Web , Mail , Chat , Telnet , VNC , Remote Desktop , Upload/Download และการทำ VoIP ผ่านบางซอฟต์แวร์ ที่อยู่ในฐานข้อมูล SRAN

คุณสมบัติเด่นของ SRAN Security Center

• เป็นอุปกรณ์ Appliance ที่เป็นมิตรกับสิ่งแวดล้อม ได้รับมาตรฐาน RoHs, FCC, CE และ UL สามารถรองรับความต้องการที่หลากหลาย ตั้งแต่ระบบเครือข่ายขนาดเล็กจนถึงขนาดใหญ่ ตามลักษณะการใช้งาน

• ควบคุมและเฝ้าระวังพฤติกรรมการใช้งานอินเตอร์เน็ตในองค์กร พร้อมกำหนดระดับความปลอดภัยในการเข้าถึงข้อมูลได้มีความสะดวกในติดตั้งได้ ทั้งในโหมด In-line, Passive และ Transparent (ขึ้นกับลักษณะการใช้งานเครือข่ายและจำนวนเครื่องที่ออกอินเตอร์เน็ต)

• กรณีติดตั้งในโหมด In-line สามารถป้องกันภัยคุกคามจากไวรัส / Worm / spyware / Trojan / Backdoor / Botnet, เว็บไซต์เนื้อหาไม่เหมาะสม, พฤติกรรมไม่เหมาะสม (การส่งไฟล์ผิดปกติ, การใช้งาน P2P), การโจมตีด้วยวิธีต่างๆ (DDoS/DoS, การเดารหัสผ่าน, การบุกรุกผ่านทาง Remote Access) และอีเมล์ขยะ (Spam)

• กรณีติดตั้งในโหมด Transparent สามารถเฝ้าระวังพฤติกรรมการใช้งานที่ไม่เหมาะสม เช่น การดาวน์โหลดไฟล์ที่ติดมัลแวร์/ไวรัส, การดาวน์โหลดมัลติมีเดียขนาดใหญ่, การส่งอีเมล์ขยะ (spam), ภัยคุกคามจากไวรัส / Worm / spyware / Trojan / Backdoor / Botnet เว็บไซด์เนื้อหาไม่เหมาะสม, พฤติกรรมไม่เหมาะสม (การส่งไฟล์ผิดปกติ, การใช้งาน P2P), การโจมตีด้วยวิธีต่างๆ (DDoS/DoS, การเดารหัสผ่าน, การบุกรุกผ่านทาง Remote Access) และสามารถป้องกันภัยจาก IP / MAC Address จากเครื่องที่มีความผิดปกติได้

• กรณีติดตั้งในโหมด Passive สามารถเฝ้าระวังพฤติกรรมการใช้งานที่ไม่เหมาะสม เช่น การดาวน์โหลดไฟล์ที่ติดมัลแวร์/ไวรัส, การดาวน์โหลดมัลติมีเดียขนาดใหญ่, การส่งอีเมล์ขยะ (spam) , ภัยคุกคามจากไวรัส / Worm / spyware / Trojan / Backdoor / Botnet เว็บไซด์เนื้อหาไม่เหมาะสม, พฤติกรรมไม่เหมาะสม (การส่งไฟล์ผิดปกติ, การใช้งาน P2P), การโจมตีด้วยวิธีต่างๆ (DDoS/DoS, การเดารหัสผ่าน, การบุกรุกผ่านทาง Remote Access)

• รายงานความเสี่ยงและช่องโหว่ที่เกิดขึ้นบนอุปกรณ์เครือข่าย, เครื่องแม่ข่าย และ Application Software พร้อมแนะแนวทางในการ Update Patch เพื่อให้อุปกรณ์มีความปลอดภัยยิ่งขึ้น

• วิเคราะห์หาภัยคุกคามที่อาจส่งผลกระทบต่อระบบเครือข่าย โดยจัดลำดับความเสี่ยงเป็น สูง กลาง ต่ำ ได้

• แสดงลักษณะการใช้งานของเครือข่ายในจุดต่างๆ โดยตรวจสอบและรวบรวมข้อมูลสถานการณ์ต่างๆ ที่เกิดขึ้นในเครือข่าย แบบ Real Time

• ตรวจจับเนื้อหา รูปแบบภัยคุกคามทางระบบเครือข่าย และแจ้งเตือนการโจมตีจากไวรัสคอมพิวเตอร์ชนิดต่างๆ ทางระบบเครือข่ายได้ โดยแจ้งเตือนความผิดปกติของระบบผ่านอีเมล์ เมื่อตรวจพบว่ามีการแพร่กระจายของไวรัส หรือหนอนคอมพิวเตอร์ (worm)

• สืบค้นหาเหตุการณ์ภัยคุกคามที่เกิดขึ้น เพื่อใช้ในการสืบสวนสอบสวน (Forensic) และดูเหตุการณ์ต่างๆ ย้อนหลัง ตามวันและเวลาที่กำหนดได้

• แสดงลักษณะการใช้งานระบบเครือข่าย โดยวัดและตรวจจับ Network Performance ของระบบ รวมทั้งข้อมูลจราจร (Data Traffic) ได้

• ออกรายงานผลย้อนหลังและสรุปความเสี่ยง ลักษณะการโจมตีระบบ และวิธีป้องกัน โดยสามารถดูย้อนหลังเป็นรายวันได้

• สามารถนำ Log การเฝ้าระวังในเครือข่ายมาประมวลผลเพื่อแสดงรายงานตามมาตรฐาน ISO/IEC 27001 พร้อมเก็บข้อมูลซึ่งสามารถดูย้อนหลังได้ตาม วัน เดือน ปี ที่บันทึก

• เก็บบันทึกข้อมูลจราจร (ทั้งขาเข้า-ออก) โดยระบุว่า ใคร, ทำอะไร, ที่ไหน, เมื่อไร, อย่างไร และจัดเปรียบเทียบความเสี่ยงตามมาตราแห่งพระราชบัญญัติว่าด้วยการกระทำความ ผิดเกี่ยวกับคอมพิวเตอร์ และรายงานผลในรูปแบบ HTML และ PDF ซึ่งสามารถเรียกดูย้อนหลังได้

• รองรับการตั้งเวลามาตรฐานอัตโนมัติจากหน่วยงานภายนอก หรืออุปกรณ์ภายในหน่วยงาน

• มีระบบ Data Archive ในการจัดเก็บข้อมูล สะดวกในการค้นหาข้อมูล และจัดเก็บข้อมูลได้มากกว่า 90 วัน

• มีระบบตรวจสอบความไม่เปลี่ยนแปลงของข้อมูลจราจร (Log) โดยการทำ Data Hashing ด้วยอัลกอริธึม MD5

• บันทึกและจัดเก็บข้อมูลจราจรสำหรับการใช้งานเกี่ยวกับเว็บ, เมล์, IM (Chat) และ FTP พร้อมลำดับเหตุการณ์ตามช่วงเวลาที่เกิดขึ้น และรายงานผลในรูปแบบ HTML และ PDF

• สำหรับรุ่นที่เป็นระบบ Hybrid Log Recorder สามารถรับค่า Syslog จากอุปกรณ์เครื่องแม่ข่ายที่สำคัญได้ เช่น DHCP Server, Domain Controller, Mail Server, Web Server เป็นต้น

Continue Reading »

จุดเด่น SRAN Security Center

SRAN Appliance อย่างที่ทราบกันดีว่ามี 2 ตระกูลด้วยกัน นั้นคือตระกูลที่เป็น Security Gateway เรียกว่า SRANwall ส่วนที่เป็น Unified Security Monitoring เรียกว่า SRAN Security Center ซึ่งในปัจจุบัน SRAN Security Center ได้มีผู้ใช้งานจำนวนมาก และได้มีการยอมรับกับหน่วยงานต่างๆ ซึ่งได้ประกาศในเว็บไซด์บริษัท Global Technology Integrated ที่ http://www.gbtech.co.th/th/custome ซึ่งประกอบด้วย ภาครัฐบาล ภาคเอกชน และภาคการศึกษา

ที่ผ่านมา บริษัท โกลบอล เทคโนโลยี อินทิเกรเทด จำกัด ผู้นำด้านการวิจัยและพัฒนาระบบป้องกันภัยเครือข่ายคอมพิวเตอร์ ในประเทศไทย ได้ผ่านการตรวจมาตรฐานคุณภาพอุตสาหกรรม ISO 9001 : 2000 เป็นการยืนยันถึงความพร้อมในงานบริการด้านความมั่นคงปลอดภัยข้อมูล และมีมาตรฐานการผลิตอุปกรณ์รักษาความปลอดภัยข้อมูลในระดับเครือข่าย คอมพิวเตอร์ ถือเป็นบริษัท แรกในประเทศไทยที่ได้รับมาตรฐานอุตสาหกรรม สำหรับธุรกิจอุตสาหกรรมระบบรักษาความปลอดภัยข้อมูลสารสนเทศ บนเครือข่ายสารสนเทศ อีกทั้งได้รับการส่งเสริมจากสำนักงานคณะกรรมการส่งเสริมการลงทุน (BOI) ให้กับผลิตภัณฑ์ภายใต้แบนด์ “SRAN”

ใบรับรองอุปกรณ์ SRAN : ยังได้มีการรับรองคุณภาพจากหน่วยงานตราสัญลักษณ์ Buy Thai First เป็นการรับประกันว่าได้ผ่านข้อกำหนดของ SIPA และสมาคมอุตสาหกรรมซอฟต์แวร์ไทย (ATSI) สามารถใช้งานได้จริง นอกจากนี้อุปกรณ์ได้รับใบประกาศนียบัตรฮาร์ดแวร์ เช่น FCC , CE , UL และที่สำคัญอุปกรณ์ SRAN ได้ RoHS ซึ่งบอกถึงฮาร์ดแวร์ของอุปกรณ์นี้ไม่ทำลายสิ่งแวดล้อมอีกด้วย

หน่วยงานที่รองรับอุปกรณ์ SRAN Security Center ทั้งหน่วยที่ภายในประเทศและหน่วยสากลต่างประเทศ

ล่าสุดได้มีการรับรองจากกองบัญชาการตำรวจสอบสวนกลาง และ ศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี (ศตท.) เพื่อใช้ในการสืบสวนสอบสวนในคดีเกี่ยวข้องกับอาชญากรรมคอมพิวเตอร์

เทคนิคการเก็บบันทึกข้อมูลจราจรของ SRAN Security Center
SRAN Security Center ใช้ 3 เทคโนโลยี ประกอบกัน ได้แก่
1.เทคนิคการทำ Flow Base Collector คือ การตรวจลักษณะการใช้งาน Bandwidth ผ่าน Protocol ICMP , TCP , UDP และ SNMP เพื่อดูลักษณะการใช้งาน ทั้งที่เป็นข้อมูลขาเข้าระบบเครือข่าย และ ขาออกจากระบบเครือข่ายที่ใช้งาน
2.เทคนิคการตรวจจับค่า Syslog จากตัวอุปกรณ์ สามารถรับค่า Syslog จากอุปกรณ์ เช่น Router, Firewall , IDS/IPS และ Proxy เครื่องแม่ข่าย เช่น Domain Controller, Proxy Server และ Web / Mail Server ได้ โดยกำหนดค่าตั้งรับ syslog ผ่านในอุปกรณ์ SRAN ซึ่งจะมีอยู่ในรุ่นที่เป็น Hybrid Log Recorder คือ รุ่น SR-L Hybrid ขึ้นไปเท่านั้น
3.เทคนิคการวิเคราะห์โดยเปรียบเทียบตามฐานข้อมูล ช่วยให้ทราบถึง Application Protocol ต่างๆ ได้แก่ Web , Mail , Chat , Telnet , VNC , Remote Desktop , Upload/Download และการทำ VoIP ผ่านบางซอฟต์แวร์ ที่อยู่ในฐานข้อมูล SRAN

คุณสมบัติเด่นของ SRAN Security Center

• เป็นอุปกรณ์ Appliance ที่เป็นมิตรกับสิ่งแวดล้อม ได้รับมาตรฐาน RoHs, FCC, CE และ UL สามารถรองรับความต้องการที่หลากหลาย ตั้งแต่ระบบเครือข่ายขนาดเล็กจนถึงขนาดใหญ่ ตามลักษณะการใช้งาน

• ควบคุมและเฝ้าระวังพฤติกรรมการใช้งานอินเตอร์เน็ตในองค์กร พร้อมกำหนดระดับความปลอดภัยในการเข้าถึงข้อมูลได้มีความสะดวกในติดตั้งได้ทั้งในโหมด In-line, Passive และ Transparent (ขึ้นกับลักษณะการใช้งานเครือข่ายและจำนวนเครื่องที่ออกอินเตอร์เน็ต)

• กรณีติดตั้งในโหมด In-line สามารถป้องกันภัยคุกคามจากไวรัส / Worm / spyware / Trojan / Backdoor / Botnet, เว็บไซต์เนื้อหาไม่เหมาะสม, พฤติกรรมไม่เหมาะสม (การส่งไฟล์ผิดปกติ, การใช้งาน P2P), การโจมตีด้วยวิธีต่างๆ (DDoS/DoS, การเดารหัสผ่าน, การบุกรุกผ่านทาง Remote Access) และอีเมล์ขยะ (Spam)

• กรณีติดตั้งในโหมด Transparent สามารถเฝ้าระวังพฤติกรรมการใช้งานที่ไม่เหมาะสม เช่น การดาวน์โหลดไฟล์ที่ติดมัลแวร์/ไวรัส, การดาวน์โหลดมัลติมีเดียขนาดใหญ่, การส่งอีเมล์ขยะ (spam), ภัยคุกคามจากไวรัส / Worm / spyware / Trojan / Backdoor / Botnet เว็บไซด์เนื้อหาไม่เหมาะสม, พฤติกรรมไม่เหมาะสม (การส่งไฟล์ผิดปกติ, การใช้งาน P2P), การโจมตีด้วยวิธีต่างๆ (DDoS/DoS, การเดารหัสผ่าน, การบุกรุกผ่านทาง Remote Access) และสามารถป้องกันภัยจาก IP / MAC Address จากเครื่องที่มีความผิดปกติได้

• กรณีติดตั้งในโหมด Passive สามารถเฝ้าระวังพฤติกรรมการใช้งานที่ไม่เหมาะสม เช่น การดาวน์โหลดไฟล์ที่ติดมัลแวร์/ไวรัส, การดาวน์โหลดมัลติมีเดียขนาดใหญ่, การส่งอีเมล์ขยะ (spam) , ภัยคุกคามจากไวรัส / Worm / spyware / Trojan / Backdoor / Botnet เว็บไซด์เนื้อหาไม่เหมาะสม, พฤติกรรมไม่เหมาะสม (การส่งไฟล์ผิดปกติ, การใช้งาน P2P), การโจมตีด้วยวิธีต่างๆ (DDoS/DoS, การเดารหัสผ่าน, การบุกรุกผ่านทาง Remote Access)

• รายงานความเสี่ยงและช่องโหว่ที่เกิดขึ้นบนอุปกรณ์เครือข่าย, เครื่องแม่ข่าย และ Application Software พร้อมแนะแนวทางในการ Update Patch เพื่อให้อุปกรณ์มีความปลอดภัยยิ่งขึ้น

• วิเคราะห์หาภัยคุกคามที่อาจส่งผลกระทบต่อระบบเครือข่าย โดยจัดลำดับความเสี่ยงเป็น สูง กลาง ต่ำ ได้

• แสดงลักษณะการใช้งานของเครือข่ายในจุดต่างๆ โดยตรวจสอบและรวบรวมข้อมูลสถานการณ์ต่างๆ ที่เกิดขึ้นในเครือข่าย แบบ Real Time

• ตรวจจับเนื้อหา รูปแบบภัยคุกคามทางระบบเครือข่าย และแจ้งเตือนการโจมตีจากไวรัสคอมพิวเตอร์ชนิดต่างๆ ทางระบบเครือข่ายได้ โดยแจ้งเตือนความผิดปกติของระบบผ่านอีเมล์ เมื่อตรวจพบว่ามีการแพร่กระจายของไวรัส หรือหนอนคอมพิวเตอร์ (worm)

• สืบค้นหาเหตุการณ์ภัยคุกคามที่เกิดขึ้น เพื่อใช้ในการสืบสวนสอบสวน (Forensic) และดูเหตุการณ์ต่างๆ ย้อนหลัง ตามวันและเวลาที่กำหนดได้

• แสดงลักษณะการใช้งานระบบเครือข่าย โดยวัดและตรวจจับ Network Performance ของระบบ รวมทั้งข้อมูลจราจร (Data Traffic) ได้

• ออกรายงานผลย้อนหลังและสรุปความเสี่ยง ลักษณะการโจมตีระบบ และวิธีป้องกัน โดยสามารถดูย้อนหลังเป็นรายวันได้

• สามารถนำ Log การเฝ้าระวังในเครือข่ายมาประมวลผลเพื่อแสดงรายงานตามมาตรฐาน ISO/IEC 27001 พร้อมเก็บข้อมูลซึ่งสามารถดูย้อนหลังได้ตาม วัน เดือน ปี ที่บันทึก

• เก็บบันทึกข้อมูลจราจร (ทั้งขาเข้า-ออก) โดยระบุว่า ใคร, ทำอะไร, ที่ไหน, เมื่อไร, อย่างไร และจัดเปรียบเทียบความเสี่ยงตามมาตราแห่งพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ และรายงานผลในรูปแบบ HTML และ PDF ซึ่งสามารถเรียกดูย้อนหลังได้

• รองรับการตั้งเวลามาตรฐานอัตโนมัติจากหน่วยงานภายนอก หรืออุปกรณ์ภายในหน่วยงาน

• มีระบบ Data Archive ในการจัดเก็บข้อมูล สะดวกในการค้นหาข้อมูล และจัดเก็บข้อมูลได้มากกว่า 90 วัน

• มีระบบตรวจสอบความไม่เปลี่ยนแปลงของข้อมูลจราจร (Log) โดยการทำ Data Hashing ด้วยอัลกอริธึม MD5

• บันทึกและจัดเก็บข้อมูลจราจรสำหรับการใช้งานเกี่ยวกับเว็บ, เมล์, IM (Chat) และ FTP พร้อมลำดับเหตุการณ์ตามช่วงเวลาที่เกิดขึ้น และรายงานผลในรูปแบบ HTML และ PDF

• สำหรับรุ่นที่เป็นระบบ Hybrid Log Recorder สามารถรับค่า Syslog จากอุปกรณ์เครื่องแม่ข่ายที่สำคัญได้ เช่น DHCP Server, Domain Controller, Mail Server, Web Server เป็นต้น

Continue Reading »

SRANwall องค์รักษ์พิทักษ์ระบบเครือข่าย

หลังจากที่ทีมงาน SRAN ได้พัฒนาอุปกรณ์ด้านความมั่นปลอดภัยข้อมูลในรูปแบบ Security Gateway ด้วยความเพียรพยายาม จนสามารถสร้างเป็นอีกตระกูลหนึ่งจากสายการผลิตผลิตภัณฑ์ภายใต้แบนด์ SRAN ขึ้น ซึ่งอุปกรณ์ชนิดนี้เรียกชื่อว่า “SRANwall” ซึ่งคุณสมบัติเป็น Firewall ชนิด StateFul Inspection โดยเน้นการทำ AUP (Acceptable User Policy) เพื่อทำการระบุตัวตน และให้ รายชื่อผู้ใช้งานที่ถูกสร้างขึ้นได้มีการยอมรับเงื่อนไขตามนโยบายด้านความ มั่นคงปลอดภัยภายในองค์กร เป็นการป้องกันไม่ให้ผู้บริหารของหน่วยงานนั้นหรือองค์กรนั้นต้องรับผิดชอบ กับการกระทำที่อาจขาดความรู้เท่าไม่ถึงการณ์จากการใช้งานอินเตอร์เน็ตของผู้ ปฏิบัติงานในองค์กร เนื่องจากได้มีการประกาศเงื่อนไขนโยบายของหน่วยงานทุกครั้งเมื่อมีการเปิด ใช้เครื่องคอมพิวเตอร์เพื่อทำการเชื่อมต่ออินเตอร์เน็ต ซึ่งนับว่าเป็นจุดเด่นสำคัญที่ SRANwall จะช่วยผู้บริหารหน่วยงานนั้นๆ ได้อีกด้วย

ด้วยคุณสมบัติการป้องกันภัยคุกคาม ที่เปรียบเสมือน “องค์รักษ์พิทักษ์ระบบเครือข่าย” SRANwall ยังเหมาะกับระบบเครือข่ายที่ยังขาดการควบคุมผู้ใช้ (User) ในการใช้งานอินเตอร์เน็ตภายในองค์กรได้อีกด้วย ซึ่งคุณสมบัติหลักประกอบด้วย 3 ส่วนสำคัญคือ

• Security Gateway กักขังเครื่องคอมพิวเตอร์ที่ไม่ได้รับสิทธิการใช้งาน (Jail Computer Anonymous) ซึ่งจะใช้ได้ก็ต่อเมื่อมีรายชื่อ (Accounting) ที่กำหนดขึ้นจากผู้ดูแลระบบเท่านั้น ซึ่งทั้งนี้เพื่อการระบุตัวตนในส่วนการเก็บบันทึก Authentication Log ได้ ซึ่งสรุปได้ว่าส่วนของ Network Protection นอกจากป้องกันภัยได้แล้ว ยังสามารถทำ Network Identity ที่กำหนดได้ทั้ง Authentication , Authorization , Accounting และ Auditing ในตัวเดียว
• Network Protection ควบคุมการใช้งาน Bandwidth กำหนดสิทธิผู้ใช้งานได้ โดยการทำ Bandwidth Shaping ตามกลุ่ม IP และตามกลุ่ม Application ที่สำคัญ พร้อมทั้งควบคุมการเข้าออกข้อมูลผ่านระบบ Rule Base Security Policy Firewall
• Secure Remote Access ในระบบ SRANwall สามารถทำ VPN (Virtual Private Network) ทั้งที่เป็นแบบ Client to Site และ Site to Site ได้อีกด้วย

ด้วยการออกแบบที่เรียบง่าย และมีความสมดุลในตัว หรือที่เรียกว่า “Simple is the Best”

เมื่อใช้งานร่วมกับ SRAN Security Center เพียงใช้ 2 อุปกรณ์ ติดตั้งตามจุดเชื่อมต่อระบบเครือข่าย ก็จะสามารถควบคุมการใช้งานอินเตอร์เน็ตภายในองค์กรได้อย่างสมบูรณ์แบบและ เต็มประสิทธิภาพ ซึ่งทำให้การบริหารจัดการด้านระบบเครือข่ายลดความซับซ้อนได้ และลดปัญหาการติดตั้ง (Implement) ตามแนวทางที่ว่า “Lower Cost More Secure” คุ้มค่าอย่างปลอดภัย

ซึ่งในโลกความเป็นจริงองค์กรที่ยังไม่มีระบบควบคุมการใช้งานอินเตอร์เน็ตภายในองค์กร ที่กำลังมองหา AAAA ให้กับเครือข่ายองค์กร

Authentication : ใช้ SRANwall ระบุตัวตนตามรายชื่อที่กำหนดขึ้น ซึ่งทำให้ทราบถึงสถานะในการเริ่มใช้เครื่องคอมพิวเตอร์ ได้แก่การเปิดปิดเครื่องในองค์กรเนื่องจากมีคุณสมบัติเป็น DHCP Server ในตัว , ระบุการใช้งานอินเตอร์เน็ต ที่มีเงื่อนไขนโยบายด้านความมั่นคงปลอดภัย ให้ยอมรับก่อนใช้งานทุกครั้ง AUP (Acceptable User Policy)

Authorization : ใช้ SRANwall ควบคุมสิทธิในการใช้งานอินเตอร์เน็ต ตามช่วงเวลา ควบคุม Bandwidth และจำกัด (Limit) ข้อมูลการใช้งาน

Accounting : ใช้ SRANwall ระบุการใช้งาน Application ตามรายชื่อที่ถูกสร้างขึ้นตามรายชื่อพนักงานในองค์กรหรือหน่วยงานนั้น เพื่อระบุตัวตนในการใช้งานอินเตอร์เน็ต

Auditing : ใช้ SRANwall ในการเก็บบันทึกข้อมูลในตัวอุปกรณ์เองเพื่อระบุการใช้งานตามรายชื่อ และใช้ SRAN Security Center ในการจัดเปรียบเทียบตามมาตราฐาน (Compliance) โดยเปรียบเทียบเหตุการณ์ที่เกิดขึ้นให้สอดคล้องกับ ISO27001 และ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ (Thai Computer Crime ACT)

SRANwall ที่ทำหน้าที่ Security Gateway และ SRAN Security Center ที่เป็นระบบเฝ้าระวัง วิเคราะห์และเก็บบันทึกข้อมูลจราจร

และด้วยสูตรสมดุลแต่เรียบง่าย (Simple is the Best) นี้เองทำให้ระบบเครือข่ายของท่านจะสามารถควบคุมผู้ใช้งานในการใช้ข้อมูล อินเตอร์เน็ตภายในองค์กรได้ และสร้างเครือข่ายตื่นรู้ ซึ่งถือได้ว่าจะทราบเหตุการณ์ความเคลื่อนไหวของสาเหตุปัญหาระบบเครือข่ายอีก ทั้งระบุถึงที่มาที่ไปตามเหตุปัจจัยที่เกิดขึ้น รวมถึงระบุตัวตนผู้ใช้งานได้อย่างถูกต้อง

SRANwall ประกอบไปด้วย 3 รุ่น ประกอบด้วย AF 100 , AF 500 และ AF 1000 พร้อมทำตลาดกับเครือข่ายขนาดเล็ก และขนาดกลาง ด้วยคุณสมบัติเป็นระบบ Security Gateway ที่พร้อมใช้งาน หากติดตั้งควบคู่กับ SRAN Security Center จะทำให้เครือข่ายนั้นมีความปลอดภัยสูงขึ้น

SRAN Security Center + SRANwall คือทางออกสำหรับเครือข่ายที่ต้องการตื่นรู้ (Energetic Network) และพร้อมที่เป็นองค์รักษ์พิทักษ์ระบบเครือข่ายของท่านต่อไป

อ่านรายละเอียดเพิ่มเติมที่ การสร้างเครือข่ายตื่นรู้โดยใช้ SRAN Appliance

SRAN Dev (05/08/51)