Feeds:
Posts
Comments

Archive for July, 2008

คดีแรกตามพรบ.คอมพ์ฯ : ใช้ Log files สืบหาผู้กระทำผิด

Posted in Uncategorized on July 27, 2008 | Leave a Comment »

SRAN ช่วยตำรวจทลายแก๊งไนจีเรีย 419 อีเมล์หลอกลวงระดับโลก
เมื่อวันที่ 25 กรกฏาคม 2551 สำนักงานตำรวจแห่งชาติ และศูนย์ตรวจสอบและวิเคราะห์การกระทำผิดทางเทคโนโลยี (ศตท.) ร่วมกับทีม SRAN โดยมี พล.ต.อ.พัชรวาท วงษ์สุวรรณ ผบ.ตร. พล.ต.อ.เพรียวพันธ์ ดามาพงษ์ รอง ผบ.ตร. พล.ต.ท.สมยศ พุ่มพันธ์ม่วง ผบช.ก. พล.ต.ต.ปัญญา มาเม่น รอง ผบช.ก. แถลงข่าวการจับกุมแก๊งไนจีเรีย 419 ซึ่งเป็นกลุ่มอาชญากรคอมพิวเตอร์ที่ FBI และตำรวจต่างประเทศต้องการตัวมากที่สุด คดีนี้ถือเป็นคดีแรกที่จับกุมผู้กระทำความผิดตามฐานความผิดในพระราชบัญญัติ ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 อย่างเป็นทางการ โดยได้นำหลักฐาน Log Files จากอุปกรณ์ SRAN Security Center มาใช้ประกอบคดีและนำอุปกรณ์ไปติดตั้งในร้านอินเตอร์เน็ตที่สงสัยว่าจะมี กลุ่มไนจีเรีย 419 ใช้เป็นฐานในการหลอกหลวงผู้คนโดยการส่งอีเมล์ปลอมเอกสารเป็นธนาคารต่างๆ ไปยังผู้เสียหาย ที่หลงกลโอนเงินให้กับแก๊งดังกล่าวรวมมูลค่ามหาศาล
หลักฐานที่สำคัญในคดีนี้คือ Log Files จากอุปกรณ์ SRAN Security [...]

Read Full Post »

SRAN แจกชุดซอฟต์แวร์อ่าน Log

Posted in Technique on July 25, 2008 | Leave a Comment »

เร็วๆนี้ทางทีมงาน SRAN ได้พัฒนาชุดโปรแกรมอ่าน Log files เพื่อใช้ในงานสืบสวนสอบสวนหาผู้กระทำผิด (Forensics) ซึ่งมีจุดประสงค์ดังนี้
1. สามารถนำ Log จากระบบ IDP (Intrusion Detection Prevention system) นำมาเปิดอ่านได้สะดวกขึ้น โดยเปิดอ่านจากเครื่องคอมพิวเตอร์ที่ได้ลงชุดโปรแกรมชื่อ SRANviewer
2. เพื่อลดปัญหาการเปิดอ่าน Log files ขนาดใหญ่บนอุปกรณ์ SRAN Security Center คือมีขนาดเกิน 500MB ขึ้นไป
3. เพื่อใช้ในงานสืบค้นหาผู้กระทำผิด เมือนำ Log files มาทำการวิเคราะห์
โดยชุดโปรแกรมชื่อ SRAN viewer นั้นประกอบด้วย
- ชุดซอฟต์แวร์ Java runtime environment สำหรับระบบปฏิบัติการ Linux และ Windows
- ชุดซอฟต์แวร์ Mysql สำหรับระบบปฏิบัติการ Linux และ Windows
- ชุดซอฟต์แวร์ที่ใช้ทำการ Setup หน้าจอ [...]

Read Full Post »

Zombie ผีดิบซอฟต์แวร์

Posted in Attack, Technique, Threat Data on July 23, 2008 | Leave a Comment »

Zombie ที่กล่าวถึงนี้ คือ ซอฟต์แวร์ผีดิบที่ฝังในเครื่องคอมพิวเตอร์ของเราๆ ท่านๆ โดยไม่รู้ตัวและเป็นหนึ่งตัวอย่างที่อุปกรณ์ SRAN Security Center  สามารถวิเคราะห์และจับเหตุการณ์เครื่องคอมพิวเตอร์ที่เป็นซอฟต์แวร์ผีดิบนี้ได้  อาจกล่าวได้ว่า SRAN เป็นมากกว่าอุปกรณ์เก็บ Log ก็เพราะ SRAN บอกสาเหตุของภัยคุกคามที่อาจเกิดขึ้นได้ในองค์กรพร้อมทั้งแปลเนื้อหา Log ที่อ่านเข้าใจยาก ให้สามารถอ่านเข้าใจง่ายขึ้นโดยยึดหลัก Chain of event หรือเรียกว่า ห่วงโซ่เหตุการณ์ ว่า ใคร ทำอะไร ที่ไหน เวลาใด และอย่างไร
ซอฟต์แวร์ที่ติดตั้งไปในตัว Zombie ประกอบด้วย
- เครื่องมือโจมตีระบบ สามารถส่ง DoS (Denial of Services) , Remote Hacking โดยใช้ Robot ในการยิงค่า Exploit เพื่อยึดเครื่องคอมพิวเตอร์
- เครื่องมือดักจับข้อมูล เช่น Keylogger ซึ่งในบ้านเราเป็นข่าวอยู่บ่อยๆ สำหรับเรื่อง Keylogger
- เครื่องมือส่งข้อมูลไม่พึ่งประสงค์ เช่น ส่ง [...]

Read Full Post »

สร้างเครือข่ายตื่นรู้โดยใช้ SRAN Appliance

Posted in Authentication, Technique on July 21, 2008 | Leave a Comment »

จุดประสงค์ ที่จัดทำเครือข่ายตื่นรู้ โดยใช้ SRAN Appliance
1.เพื่อเป็นสูตรสำเร็จในการติดตั้งอุปกรณ์ระบบเครือข่ายให้มีความมั่นคงปลอดภัยทางข้อมูลสารสนเทศ โดยลดความซับซ้อนในการออกแบบและติดตั้งระบบเครือข่ายให้มีจำนวนน้อยที่สุดแต่ปลอดภัยและบริหารจัดการง่ายที่สุด
2. ระบุตัวตนผู้ใช้งานได้ อย่างถูกต้อง อีกทั้งผู้ที่ใช้งานอินเตอร์เน็ตยังสามารถรับรู้นโยบาย (Policy) ที่ประกาศใช้เพื่อความถูกต้องและป้องกันภัยคุกคามที่อาจเกิดขึ้นได้ในอนาคต
3. ระบุภัยคุกคามเหตุการณ์ที่อาจมีความเสี่ยงตามมาตราต่างๆ ที่กำหนดขึ้นจากพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ได้
4. สามารถสืบค้นหาผู้กระทำความผิด สถิติการใช้งานระบบสารสนเทศ ระบบอินเตอร์เน็ต และจัดเก็บบันทึกเป็นข้อมูลที่สามารถสืบค้นได้อย่างสะดวก
5. ประเมินพฤติกรรมการใช้งานอินเตอร์เน็ตภายในองค์กร (Network Awareness) เพื่อจัดทำการประเมินพนักงานสำหรับงานทรัพยากรบุคคลได้
6. คุ้มค่าการลงทุน และปลอดภัยกว่า (Lower Cost More Secure)
SRAN Energetic Network แบบที่ 1
เหมาะสำหรับองค์กรขนาดเล็ก และขนาดกลาง ที่ยังไม่มีระบบป้องกันภัยคุกคามภายในองค์กร และยังขาดนโยบายควบคุมบุคคลากรในองค์กร
อุปกรณ์ที่ติดตั้งประกอบด้วย
1. SRANwall Appliance เป็นอุปกรณ์ที่มีหน้าที่สำหรับระบุตัวตนผู้ใช้งานอินเตอร์เน็ต (Authentication Gateway) คุณสมบัติสำหรับผู้ต้องการใช้งานอินเตอร์เน็ตในองค์กรจะต้องผ่าน Web Authentication เพื่อระบุชื่อ และรหัสผ่านก่อนเข้าสู่ระบบ ซึ่งสามารถระบุได้ดังนี้
1.1 IP/MAC , Username สามารถเรียกตามฐานข้อมูล LDAP , Radius Server [...]

Read Full Post »

ตรวจจับการเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ

Posted in FTP, Technique, Threat Data on July 18, 2008 | Leave a Comment »

การโจมตีชนิด Brute Force Password เป็นอีกกรณีศึกษาหนึ่ง ซึ่งเข้าข่ายฐานความผิดตามมาตรา 5 การเข้าถึงระบบคอมพิวเตอร์โดยมิชอบ ที่กล่าวว่า “ผู้ใดเข้าถึงโดยมิชอบซึ่งระบบคอมพิวเตอร์ที่มีมาตรการป้องกันการเข้าถึงโดยเฉพาะและมาตรการนั้นมิได้มีมีไว้สำหรับตน ..”
กรณีศึกษาการ FTP Brute Force Password
บริษัท A ได้มีการเปิด FTP Server เพื่อใช้ในการ Upload / Download เอกสารข้อมูล ซึ่งได้ตั้ง FTP Server ใน DMZ Zone
เมื่อบริษัท A ได้ติดตั้งอุปกรณ์ SRAN Security Center
เวลา 7:03 AM ผู้ดูแลระบบเฝ้าสักเกตพฤติกรรมการใช้ ระบบเครือข่ายในบริษัท A เมื่อคลิกหน้าจอ Https://sranserver เพื่อเฝ้าระวังภัยว่ามีความเสี่ยงตามมาตราใด ที่อาจจะส่งผลกระทบต่อระบบเครือข่ายบริษัท พบว่า

ข้อดีประการหนึ่งของอุปกรณ์ SRAN คือสามารถทำ Data Correlation เปรียบเทียบเหตุการณ์ และความเสี่ยงเพื่อจับเหตุการณ์ที่เกิดขึ้นเชื่อมโยงกับฐานความผิดตามมาตราต่างๆ ที่แปลได้ทางเทคนิค ซึ่งทำให้ผู้ดูแลระบบ รู้ทันปัญหาได้สะดวกขึ้น [...]

Read Full Post »

Older Posts »