เทคนิคเฝ้าระวังภัยเว็บไซต์ที่ไม่เหมาะสม

มี คำถามว่า “มีบ้างไหม ที่ท่องโลกอินเตอร์เน็ต ไม่เคยเปิดเว็บไซต์ ?” อย่างน้อยหากเราต้องการค้นหาข้อมูลก็ต้องเปิดเว็บค้นหาที่คุ้นเคย เช่น google หรือ yahoo ในโลกยุคดิจิตอลนั้น เว็บไซต์ถือเป็นหัวใจของการท่องเน็ต เราสามารถใช้งานซอฟต์แวร์ต่างๆ ได้ผ่านเว็บไซต์ แทบไม่ต้องลงโปรแกรมให้ยุ่งยาก หากเชื่อมต่ออินเตอร์เน็ตได้ก็สามารถทำสิ่งต่างๆ มากมายผ่านเว็บไซต์ ทว่าเว็บไซต์ที่เราเข้าเยี่ยมชมในแต่ละวันนั้น จะทราบได้อย่างไรว่า “เว็บใดเหมาะสม / ไม่เหมาะสม?”

เกณฑ์ การประเมินเว็บไซต์ คงไม่มีรูปแบบแน่นอนตายตัว ขึ้นอยู่กับคุณธรรมและสามัญสำนึกของผู้ใช้งานเป็นสำคัญ ตระหนักคิดด้วยวิจารณญาณว่าเว็บไซต์ที่ไปเยือน ณ เวลานั้นผิดศีลธรรม ประเพณีวัฒนธรรม หรือดูหมิ่นบุคคลอื่นอย่างไม่มีเหตุผลหรือไม่ เป็นเว็บไซต์ที่แฝงภัยคุกคามหรือไม่ ผมขอหยิบยกข้อมูลสถิติจาก สบทร. (truehits) มาเสริมว่า สถิติการเข้าเยี่ยมชมเว็บไซด์ในวันที่ผมได้เขียนบทความนี้อยู่ที่ 3,993,403 เครื่องที่เปิดเว็บ และจากการสำรวจการใช้บริการเว็บแบ่งประเภทได้เป็น เว็บ Blog, เว็บบอร์ด, เว็บที่ใช้ในการ upload/download, เว็บเผยแพร่วิดีโอ,เว็บหน่วยงาน/ห้างร้าน/บริษัท, เว็บที่เกี่ยวกับการซื้อขายสินค้าทางอินเตอร์เน็ต (E-commerce), เว็บ Social Network ฯลฯ ในขณะที่เว็บไซต์ไม่เหมาะสม และภัยคุกคามที่เกิดจากเว็บไซต์นั้นมีสถิติเพิ่มสูงขึ้นทุกปี ในอัตราปีละ 2 เท่า แสดงให้เห็นว่าภัยคุกคามทางเว็บไซต์แปรผันตรงกับปริมาณเว็บไซต์ที่เพิ่ม จำนวนขึ้น…เป็นเงาตามตัว จึงขอนำเสนอแนวทางเฝ้าระวังภัยคุกคามทางเว็บไซต์ และปิดกั้นเว็บไซต์ที่มีเนื้อหาไม่เหมาะสม ให้ได้รับทราบกัน ทั้งในมุมมองระดับองค์กร (P1) และระดับผู้ให้บริการอินเตอร์เน็ต (P2)

เหตุผลหลักที่ต้องมีระบบเฝ้าระวังทางเว็บไซต์
ภัย คุกคามที่เกิดขึ้นบนโลกอินเตอร์เน็ตมักเกิดจากพฤติกรรมการใช้งานของผู้ใช้ เอง โดยภัยส่วนใหญ่เกิดขึ้นบนเว็บไซต์ สามารถแบ่งประเภทภัยคุกคามที่เกิดขึ้นบนเว็บไซต์ได้ดังนี้
1. ภัยคุกคามจากเว็บไซด์หลอกลวง ได้แก่
- Phishing Web เว็บที่มีการหลอกให้ทำธุรกรรมออนไลน์ เพื่อดักข้อมูลในการกรอกค่า User ID และ Password ซึ่งมักจะตั้งชื่อ URL หรือ Domain name ใกล้เคียงกับเว็บไซต์จริง อาศัยความเข้าใจผิด/ความไม่รู้ของผู้ใช้งานเป็นเครื่องมือ เมื่อดักข้อมูลได้ ก็จะนำ User ID ของเหยื่อไปใช้ทำธุรกรรมออนไลน์ เป็นต้น ผู้เสียหายจากภัยลักษณะนี้คือบุคคลทั่วไปที่รู้เท่าไม่ถึงการณ์ และผู้ให้บริการเว็บไซต์ ซึ่งส่วนใหญ่เป็นธนาคาร, เว็บ E-commerce ที่มีบริการธุรกรรมออนไลน์

- เว็บหลอกลวง ที่อาศัยความต้องการของผู้ใช้งานเป็นเหยื่อล่อ อันที่จริงอาจเรียกรวมกับกลุ่ม Phishing Web ได้เช่นกัน โดยเป็นการหลอกหลวงในส่วนอื่นๆ ที่ไม่ใช่การทำธุรกรรมออนไลน์ เช่น หลอกให้ผู้ใช้งาน download โปรแกรมไม่พึงประสงค์ ที่มีคุณสมบัติในการดักข้อมูล เช่น โปรแกรม Key Logger สาเหตุอาจเกิดจากผู้ใช้งานไม่ได้กลั่นกรองข้อมูลให้ดีเสียก่อน จึงตกเป็นเหยื่อของเนื้อหาชวนเชื่อ จำพวกยาลดความอ้วน, งานที่ได้รับค่าตอบแทนสูงเกินปกติ, โปรแกรม crack serial no., กลโกงเกมส์ เป็นต้น

2. ภัยคุกคามจากเว็บที่มีเนื้อหาไม่เหมาะสม ได้แก่
- เว็บไซต์ลามกอนาจาร
- เว็บไซต์พนัน
- เว็บข้อมูลขยะ เช่น เว็บบอร์ดที่มี Botnet มาตั้งศูนย์ส่งข้อมูลชวนเชื่อ โดยเฉพาะเว็บบอร์ดที่ขาดระบบรักษาความปลอดภัยที่ดี เช่น โฆษณาขายสินค้า ขายยา ขายบริการต่างๆ
- เว็บไซต์ที่มีเนื้อหากระทบความมั่นคงของชาติ ซึ่งอาจเข้าข่ายหมิ่นสถาบันชาติ ศาสนา และพระมหากษัตริย์ ซึ่งเป็นที่รักยิ่งของคนไทย

3. ภัยคุกคามที่เกิดจากเว็บเครือข่ายสังคม ได้แก่
- เว็บเกมส์ออนไลน์
- เว็บ Social Network เช่น Hi5, Facebook ในส่วนนี้อาจเชื่อมกับภัยคุกคามจากการหลอกลวงในรูปแบบอื่นได้ เช่น การขายบริการทางเพศ, การสอนเสพยาเสพติด ดังที่พบเห็นเป็นข่าวเมื่อเร็วๆ นี้
การป้องกันภัยในส่วนนี้ควรกระทำควบคู่กับการให้คำแนะนำ และควบคุมพฤติกรรมเยาวชน เพื่อป้องกันปัญหาที่อาจเกิดขึ้นกับสังคม

ช่วง เวลานี้หลายฝ่ายคงคิดหาทางป้องกันเว็บไซต์ที่ไม่เหมาะสมในประเทศไทย เพื่อป้องกันปัญหาดังที่กล่าวข้างต้น ประเด็นหนึ่งที่เด่นชัดและเป็นที่ถกเถียงกัน คือ การปิดกั้นเว็บไซด์ไม่ใช่คำตอบสุดท้าย เพราะไม่ใช่ทางออกที่ดีที่สุด โดยเฉพาะกับงานสืบสวนสอบสวนแล้ว ไม่ถือว่าเหมาะสมนัก เนื่องจากเราจะไม่อาจหาข้อมูลแหล่งที่มาของผู้กระทำความผิดได้เลย

จุดประสงค์ของการเฝ้าระวังเว็บไซต์ไม่เหมาะสม มี 3 ข้อใหญ่ คือ
1. ต้องการทราบไอพีต้นทาง ที่เปิดเว็บไซต์ไม่เหมาะสม โดยระบุไอพีต้นทาง, ไอพีปลายทาง, ชื่อ ISP, ชื่อบริษัทหรือตำแหน่ง (Location) ที่ตั้งของผู้เปิดเว็บไซต์ไม่เหมาะสม
2. ต้องการทราบเนื้อหาที่ก่อให้เกิดความเสียหายต่อสถาบันหลักในประเทศ
3. ต้องไม่ส่งผลกระทบต่อเครือข่ายที่ทำการติดตั้งระบบ และไม่ไปเกี่ยวข้องกับค่าองค์ประกอบสำคัญของระบบเครือข่าย (Configuration)
เมื่อ แน่ใจแล้วว่าเป็นเว็บไซต์ที่ไม่เหมาะสมจริง จากการพิสูจน์หาหลักฐานและแหล่งที่มาต่างๆ แล้ว จึงจะทำการส่งข้อมูลไปยังระบบปิดกั้น (Web Filtering) ซึ่งรูปแบบนี้ผมขอขยายความเพื่อเป็นประโยชน์ในการจัดทำระบบดังกล่าวให้เกิด ขึ้นได้จริง ทั้งในระดับเครือข่ายองค์กรทั่วไป และเครือข่ายระดับประเทศ

รายละเอียดอ่านได้ที่

http://nontawattalk.blogspot.com/2009/02/blog-post.html

รู้ทันภัยเว็บไซต์ ตอนที่ 2

ข้อมูลจราจรที่เก็บบันทึกไว้มีการแสดงผลแบบ Real Time ดังแสดงในภาพที่ 3 ทั้งยังสามารถสืบค้นย้อนหลังได้ตามวัน-เวลาที่กำหนด (Data Archive) และยืนยันความไม่เปลี่ยนแปลงของข้อมูลที่เก็บบันทึกโดยการทำ Data Hashing ด้วยเหตุนี้ผู้ให้บริการเว็บไซต์ที่ติดตั้งระบบ SRAN Data Safehouse จึงไม่ต้องกังวลกับการเก็บบันทึกข้อมูลจราจร ให้สอดคล้องกับ พ.ร.บ. คอมพ์ อีกต่อไป

ภาพที่ 3 รายงานข้อมูลจราจรที่เกิดขึ้น แบบ Real Time

ภาพที่ 4 รายงานแสดงผลกรณีมีผู้ไม่ประสงค์ดีพยายามบุกรุกเว็บไซต์

นอกจากนี้เมื่อมีผู้ไม่ประสงค์ดีพยายามบุกรุกและโจมตีเว็บไซต์ (Web Application Hacking) ระบบจะแจ้งเตือนผ่านทางอีเมล์พร้อมบันทึกชื่อ IP / Location วัน-เวลา และลักษณะการโจมตีให้ทราบ โดยสร้าง Session ID เป็นค่าเฉพาะและเก็บบันทึกไว้ เพื่อเพิ่มความถูกต้องและทำให้ระบุตัวผู้กระทำผิดได้สะดวกยิ่งขึ้น พร้อมออกรายงานผลดังแสดงในภาพที่ 4 ซึ่งนอกจากมีประโยชน์ในแง่เป็นหลักฐานประกอบคดีแล้ว ผู้ให้บริการเว็บไซต์ยังสามารถรู้เท่าทันภัยคุกคาม ก่อนที่เว็บไซต์จะถูกเปลี่ยนหน้า, เปลี่ยนแปลงข้อมูล หรือถูกโจมตีจนทำให้ระบบล่ม และสามารถป้องกันเหตุร้ายที่อาจสร้างความเสียหายได้อย่างทันท่วงที Continue Reading »

ทำอย่างไรถึงจะรู้เท่าทันภัยเว็บไซต์ ตอนที่ 1

SRAN Data Safehouse เก็บข้อมูลจราจรและรู้เท่าทันภัยเว็บไซต์
  ทุกวันนี้เราปฏิเสธไม่ได้ว่า “เว็บไซต์คือประตูสู่องค์กร” เพราะหน่วยงานทั้งภาครัฐและเอกชน ตลอดจนบุคคลทั่วไป ล้วนใช้เว็บไซต์เป็นช่องทางสำคัญในการติดต่อสื่อสาร รวมทั้งบล็อก และกระดานสนทนาต่างๆ เมื่อเราเชื่อมต่ออินเตอร์เน็ต สิ่งที่มักจะทำคือเปิดเว็บไซต์เพื่อค้นหาข้อมูล, เช็คอีเมล์, สนทนาออนไลน์, แสดงความคิดเห็นผ่านทางเว็บบอร์ด, ทำธุรกรรมทางอินเตอร์เน็ต, Upload/Download ไฟล์หรือคลิปต่างๆ เป็นต้น เมื่อชีวิตประจำวันข้องเกี่ยวกับเว็บไซต์มากขึ้น อาชญากรรมทางด้านนี้ก็เพิ่มขึ้นเป็นเงาตามตัว จากสถิติที่ทีมงาน SRAN ได้เก็บรวบรวมไว้พบว่า การบุกรุกเจาะเว็บไซต์ (Web Hacking) มีแนวโน้มเพิ่มสูงขึ้นทุกปี โดยจำนวนเว็บไซต์ในประเทศไทยที่ถูกเปลี่ยนหน้าเว็บโดยมิชอบตั้งแต่ปี พ.ศ. 2549 – 2551 (ข้อมูลปี 2551 ตั้งแต่เดือนมกราคม – สิงหาคม) แสดงดังภาพที่ 1

ภาพที่ 1 จำนวนเว็บไซต์ที่ถูกเปลี่ยนหน้าเว็บโดยมิชอบ ตั้งแต่ปี พ.ศ. 2549 – 2551
จากสถิติที่เพิ่มสูงขึ้นนี้ แน่นอนว่าหากเว็บทุกเว็บทำการเก็บบันทึกข้อมูลจราจร (Log File) ก็จะช่วยให้สืบหาผู้กระทำผิดได้ง่ายขึ้น และเพื่อป้องกันปัญหาเหล่านี้ กระทรวงเทคโนโลยีสารสนเทศและการสื่อสารจึงได้ออกพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดยออกกฎเกณฑ์ในการเก็บบันทึกข้อมูลจราจรสำหรับเว็บไซต์ขึ้น ทว่าคนทำเว็บไซต์ส่วนใหญ่มักคิดว่า ISP และ Hosting ที่ตนเองเช่าใช้บริการ ได้เก็บบันทึก Log File ไว้ให้แล้ว จึงไม่ได้ใส่ใจนัก แต่ในความเป็นจริง ISP และ Hosting เก็บข้อมูลเพียงบางส่วน และแทบไม่มีการเก็บเนื้อหา (content) หรือตรวจสอบความเหมาะสมแต่อย่างใด จึงอาจมีเนื้อหาหรือความคิดเห็น ที่เสี่ยงต่อการกระทำผิดได้ เช่น กรณีหมิ่นประมาท, Upload File หรือคลิปวิดีโอที่ไม่เหมาะสม เป็นต้น ซึ่งปรากฏให้เห็นเป็นข่าวบ่อยครั้ง

SRAN Data Safehouse สามารถเก็บบันทึกข้อมูลจราจรของเว็บไซต์ได้ตรงตามกฎเกณฑ์ที่กระทรวงไอซีทีบัญญัติไว้ โดยผู้ใช้งานไม่ต้องลงทุนซื้อฮาร์ดแวร์ หรือซอฟต์แวร์แต่อย่างใด จึงช่วยประหยัดงบประมาณ ทั้งยังติดตั้งง่ายเพียงนำ Script ไปติดที่เว็บไซต์เท่านั้น

ภาพที่ 2 แสดงรายงานข้อมูลจราจรที่เกิดขึ้น โดยแสดงผลดังนี้
  • Who (ใคร) : ระบบจะกำหนดค่า Session ID ที่สร้าง ID เฉพาะเครื่อง คล้ายกับค่า MAC address เครื่องหากมีการเปลี่ยน ISP ก็จะไม่เป็นปัญหาในการสืบค้น
  • What (ทำอะไร) : แสดงระบบปฏิบัติการ (OS/Mobile device), ชนิดบราวเซอร์ ของผู้เข้าชมเว็บไซต์
  • Where (ที่ไหน) : ระบุชื่อองค์กร และชื่อ ISP ซึ่งเป็นจุดเด่นของ SRAN Data Safehouse ที่มีฐานข้อมูล IP /Location/ISP รวมถึงชื่อองค์กร มากถึง 2 ล้านฐานข้อมูล
  • When (เมื่อใด) : ระบุวัน-เวลาที่ผู้ใช้งานเยี่ยมชมเว็บไซต์
  • Why/how (อย่างไร) : แสดงหน้าเพจที่ผู้ใช้ทำการเปิดขึ้น และแหล่งที่มาจากการค้นหา “Key Word” ผ่านเว็บค้นหา เป็นต้น

    

ติดตั้ง SRAN แบบ Mirror Port ที่ไม่เกิด Loop

ปัญหาการเกิด  Loop บน Switch

เกิดจากเครื่อง SRAN Security Center ในรุ่น ME , L , L-Hybrid , X-Series  จะ bypass ทุก port โดยจับคู่ เป็น port 1, 2 คู่แรก port 3,4 คู่ สอง (ซ้ายไปขวา) ฉะนั้นเวลา shutdown เครื่อง traffic ที่ทำการ mirror มาจาก switch จะ bypass traffic ไป port manage ของเรากลับไปยัง switch ทำให้ traffic มันท่วมและเป็น loop เรื่อยๆ จนไม่สามารถใช้งานเครือข่ายได้ เพราะ switch ทำงานหนัก

วิธีแก้ไข : เมื่อ shutdown เครื่อง ควรทำการถอดสายที่ทำ passive ออก คือ ไม่เสียบสายที่สอง จะทำให้ Switch ไม่เกิด Loop และใช้งานได้เป็นปกติ

สามารถอ่านการแก้ไขปัญหาอื่นๆได้ที่ http://www.gbtech.co.th/th/product/troubleshooting

กระทู้ถามตอบเกี่ยวกับ SRAN เทคโนโลยี สามารถแสดงความคิดเห็นได้ที่  http://sran.wikidot.com/forum/start หรือคลิกผ่าน www.sran.org

Content Filtering โดยใช้ SRAN

ไม่นานนี้ทีมพัฒนาอุปกรณ์ SRAN Security Center ได้ปรับแต่งหน้าต่างแสดงผลของ เมนู Monitoring สำหรับ HTTP / HTTPS  ในการเปิดใช้งานเว็บโดยสามารถบอกรายละเอียด URL และ URI ที่ผู้ใช้งานเข้าใช้บริการ จากเดิมจะสามารถดูได้ในค่า Payload แต่ตอนนี้จัดแต่งให้ดูสะดวกขึ้นในหน้า Monitoring

จุดประสงค์ เพื่อใช้ในการพิสูจน์หาหลักฐาน (Forensic) ที่สามารถตรวจเนื้อหา (Content) ที่เป็นภาษาไทย จากการใช้งานตาม Protocol ที่สำคัญได้ เช่น Web, Mail ,Chat, Upload/Download เป็นต้น  ซึ่งรายงานผลจะแสดงผลให้ดูสะดวกขึ้นจากเดิม

ซึ่งจากการทดสอบ ตรวจเนื้อหา (Content) เฉพาะส่วน HTTP ทั้งรูปแบบ GET และ Post

รูปแบบข้อความ encode แบบ tis-620 ,windows-874, utf-8ในส่วนของ POST จะมีสองแบบคือ

1. post ในลักษณะที่ ตัว Web server ใช้ utf-8 ในการเข้ารหัสภาษา
2. post ในลักษณะที่ ตัว Web server ใช้ tis-620 , windows-874 ในการเข้ารหัสภาษา
post ทั้งสองหัวข้อ ทดสอบได้จากการ โพสตามบอร์ดต่างๆในส่วนของ GET จะแยกออกมาประมาณ 6 แบบ
1. HTTP Header Get เป็น Percent encoding for URI จาก UTF-8 format
2. HTTP Header Get เป็น Hex format -> Percent URI -> UTF-8 format
ทั้งสองหัวข้อด้านบน  ทดสอบได้จากการ search ตาม google , yahoo  , mthai , sanook เป็นต้น
3. HTTP Content เป็น Hex format
4. HTTP Content เป็น UTF-8 format

รูปที่ 1 แผนภาพเมื่อนำอุปกรณ์ SRAN Security Center ติดตั้งบนระบบเครือข่าย (Network) เพื่อใช้ดูเนื้อหาที่ไม่เหมาะสมตามฐานข้อมูลที่มีอยู่ จาก Protocol ที่สำคัญเช่น Web / Mail / Chat / Upload / Download / VoIP เป็นต้น

ตัวอย่างหน้าจอ Monitoring เฉพาะส่วน HTTP / HTTPS

รูปที่ 2  แสดงหน้าจอ HTTP Monitoring ทำให้เห็น URI path ในหน้าเดียวกัน แสดงผลค่า TIme , Source IP , Destination IP , ID , HTTP (GET or Post) , URI

จะเห็นได้ว่าสามารถรายงานผลค่าเหมือนกับเทคโนโลยี Report Proxy Web แต่ SRAN แสดงผลได้ละเอียดถึงบอก path URI ได้

รูปที่ 3 การแสดงผล SRAN ตามหลักเกณฑ์ห่วงโซ่เหตุการณ์ (Who , What , Where , When , How) ทำให้สืบค้นได้สะดวกขึ้น

Continue Reading »