Feeds:
Posts
Comments

กรณีศึกษาการใช้ SRAN วิเคราะห์ Log ตอนที่ 1

การเก็บบันทึกข้อมูลจราจร หรือเรียกสั้นๆ ว่า เก็บ Log นั้น จะไม่มีประโยชน์หากผู้ทำการเก็บบันทึกข้อมูลจราจรนั้นไม่ได้สร้างการยืนยัน ว่า Log files นั้นทำการเปลี่ยนแปลงหรือแก้ไขได้

โดยปกติ การเก็บบันทึกข้อมูลจราจร ควรจะมีวิธีการตรวจถึงความถูกต้องของเนื้อ files เหตุการณ์ที่ได้บันทึกไว้ เมื่อเกิดปัญหา หรือมีการดำเนินคดี เราจะทราบได้อย่างไร ว่า Log ที่เก็บบันทึกนั้น ถูกต้องหรือไม่ หรือมีการแก้ไข จะผู้ดูแลระบบหรือไม่ หรืออาจจะมีบุคคลอื่นที่สามารถเข้าถึงระบบได้ทำการแก้ไขเนื้อหา files Log ที่เก็บบันทึก

ตามหลัก Chain of event ในภาษาไทยเรียกว่า ห่วงโซ่ของเหตุการณ์ นั้นได้กล่าวว่า เหตุการณ์ที่ปรากฏจากที่หนึ่ง ย่อมมีผลต่อเหตุการณ์จากที่หนึ่ง

กรณีศึกษา (Case Study) จากเหตุการณ์สมมุติ ที่ทำเกิดความเสียหาย หรือก่อกวน ทำลายระบบคอมพิวเตอร์

<18:30 21/03/51> มีผู้เสียผู้ให้บริการ Hosting A แจ้งว่ามีได้ถูกบุกรุกโดยการโจมตีชนิด DoS (Denial of Services) มาที่เว็บไซด์หนึ่งซึ่งเป็นลูกค้าของตน บน Hosting ที่ตนเองให้บริการอยู่ โดยการ DoS ครั้งนี้ ทำให้ระบบของตนเองล่ม ใช้งานไม่ได้ และทำให้ลูกค้าในเว็บของตนเองได้รับความเสียหาย ไม่สามารถติดต่องานได้ ลูกค้าที่ Hosting A จึงร้องเรียนตนมา เมื่อรับเรื่องจึงรีบดำเนินงานทันที โดยแจ้งไปที่เจ้าหน้าที่พนักงาน และ เจ้าหน้าที่ตำรวจ ในสน. ที่รับเรื่อง


ซึ่งเหตุการณ์นี้ ตรงตาม มาตรา10 ฐานความผิด การรบกวนข้อมูลคอมพิวเตอร์ จำคุก5 ปี ปรับไม่เกิน100,000 บาท หรือทั้งจำ/ปรับ

<19:50 21/03/51> เจ้าหน้าที่ชุดสืบสวนสอบสวน ขอข้อมูล Hosting A และขอข้อมูล Log ที่ Hosting A ได้เก็บบันทึกไว้ จากนั้นทำการขอข้อมูล Log ที่ทาง ISP ของ Hosting A ให้บริการอยู่ ได้รับความร่วมือจาก ISP ส่ง Log ข้อมูลของอุปกรณ์เครือข่ายSwitch ที่ Hosting A ติดตั้งอยู่ และได้ Log ของเครื่อง Hosting A ที่เป็นระบบ Windows Server เปิด Services IIS และWebDav ด้วย ซึ่ง Hosting A ให้เป็นชนิด Local Log คือ Log บนตัวเครื่องนั้นเอง <สามารถอ่านเทคนิคการเก็บ Log ได้ที่นี้>

<22:30 21/03/51> เจ้าหน้าที่ชุดสืบสวนสอบสวน ค้นพบว่าการบุกรุกครั้งนี้ เกิดมาจาก IP ของ บริษัท XXX ซึ่งเช่าอินเตอร์เน็ต โดยใช้ ISP YYY ลักษณะการให้บริการเป็น ADSL ที่ Fix IP หรือ IP จริงที่มีค่าคงที่

<8:30 22/03/51> เจ้าหน้าที่ชุดสืบสวนสอบสวน เข้าทำการขอข้อมูล กับบริษัท XXX โดยทำติดต่อประสานงานไปที่บริษัท และขอความร่วมมือบริษัท XXX ให้ส่ง Log ที่เก็บบันทึกไว้

<10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท XXX นัดประชุมทีม เพื่อส่งข้อมูลให้เจ้าหน้าที่พนักงาน ได้ข้อสรุปในที่ประชุมว่า จะส่ง Log จากอุปกรณ์ดังนี้ให้เจ้าหน้า คือ Log Router , Log Firewall และ Log Domain Controller

<11:30 22/03/51> พนักงานบริษัท XXX คนหนึ่งชื่อนาย HHH ที่อยู่ฝ่ายไอที ที่พึ่งอบรมหลักสูตร Hacking มา เมื่อทราบข่าว ขึ้นจึงทำการ Sniffer ข้อมูลในวงผู้ดูแลระบบเพื่อดูรหัสผ่านในแต่ละอุปกรณ์ และทำการ Remote จากเครื่องตนเอง โดยใช้โปรแกรมจาก Tools Hacking ที่ได้ศึกษามา ไปทำการแก้ไข Log โดยเข้าไปยึดระบบ Router บริษัท และ ระบบ Domain Controller ซึ่งเป็นระบบปฏิบัติการ Window 2003 server และทำการเปลี่ยนแปลงข้อมูลใน Log เพราะหากลบอาจพบว่ามีการ Access จากเครื่องของตนได้ จึงทำการเข้าระบบเครื่องเพื่อนร่วมงานและใช้เครื่องผู้ร่วมงานทำการแก้ไข Log

<12:30 22/03/51> นาย HHH รับประทานอาหารอย่างสบายใจ

<13:20 22/03/51> ผู้จัดการฝ่ายไอทีบริษัท ได้ส่ง Log Router , Log Firewall และ Log Domain Controller ให้เจ้าหน้าที่พนักงาน

<14:07 22/03/51> เจ้าหน้าที่พนักงานโทรมาตำหนิ ผู้จัดการบริษัท XXX ว่าไม่ได้ทำ Centralized Log เพราะการส่ง Log แต่ละอุปกรณ์ทำให้เจ้าหน้าเกิดความลำบาก และผิดตามมาตรฐานการเก็บบันทึกข้อมูลจราจรที่กระทรวงประกาศไป

ผ่านไปหลายอาทิตย์ เรื่องถึงชั้นศาล เนื่องจาก ลูกค้ารายหนึ่งของผู้ให้บริการ Hosting A เสียหายคิดเป็นจำนวนเงินที่ระบบเว็บไซด์ที่ฝากไว้ล่มไป เกือบ 5 ชั่วโมง ฟ้อง Hosting A เป็นเงิน 5 แสนบาท Hosting A ดิ้นรนทุกวิถีทาง ทั้งที่เก็บ Log ถูกต้อง ให้ความร่วมมือกับเจ้าหน้าที่พนักงาน แต่เมื่อเรื่องถึงชั้นศาล ศาลไม่รับฟ้องเนื่องจาก Log ได้รับจาก Hosting A และ ISP รวมถึงที่บริษัท XXX ส่งมาไม่สามารถยืนยันความถูกต้องได้ และเมื่อทำการวิเคราะห์จากห้องพิสูจน์หลักฐานทางอิเล็คทรอนิกส์ แล้วไม่มีผู้ใดเห็น Log จากบริษัท XXX ทำความเสียหายให้กับ Hosting A แม้แต่น้อย เจ้าหน้าที่ขยายผล โดยการนำ Log Router , Log Firewall และ Domain Controller มาเปรียบเทียบและพบว่า เกิดความไม่สอดคล้องกับเหตุการณ์ที่พบ และคิดว่าอาจมีใครทำการแก้ไขข้อมูล Log

Hosting A ผู้ถูกฟ้อง จากลูกค้าที่เช่าเว็บ พนักงานไอที บริษัท XXX ที่เป็นคนโจมตีเว็บ ก็ลอยนวล เจ้าของบริษัท XXX ถูกตำหนิว่าไม่มีการเก็บบันทึกข้อมูลตามกฏหมายที่ระบุไว้ ตามหลักเกณฑ์การเก็บ Log เจ้าหน้าที่พนักงานเกิดความยากลำบากในการสืบสวนคดี และ ข้อมูลทั้งหมดไม่สามารถยืนยันในชั้นศาลได้ เรื่องนี้จึงจบไป โดย Hosting A ต้องยอมรับค่าเสียหายให้แก่ลูกค้า

เหตุการณ์นี้จะไม่เกิด หากท่านเลือกใช้ SRAN Technology ซึ่งจะกล่าวในตอนต่อไป ถึงการนำ SRAN มาช่วย เฝ้าระวัง วิเคราะห์ผล และเก็บหลักฐานข้อมูลจราจร อย่างถูกวิธี พบกันตอนหน้าครับ

SRAN Dev

(21/03/51)

Comments RSS

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: