Feeds:
Posts
Comments

Archive for May, 2008

กระทรวงไอซีที และ PACnet ร่วมให้ความรู้เกี่ยวกับ พ.ร.บ คอมพ์ฯ และการใช้อุปกรณ์ SRAN

เมื่อวันที่ 29 พฤษภาคม 2551 ที่ผ่านมา บริษัท แพลนเน็ต คอมมิวนิเคชั่น เอเชีย จำกัด ร่วมกับ บริษัท แปซิฟิค อินเทอร์เน็ต (ประเทศไทย) จำกัด ได้จัดงานสัมมนาเชิงปฏิบัติการเรื่องเทคโนโลยีการเก็บบันทึกข้อมูลจราจรขึ้น ที่โรงแรมโนโวเทล สยาม โดยเชิญแขกผู้มีเกียรติร่วมฟังงานสัมมนาเพื่อสร้างความเข้าใจถึงพระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 โดยคุณกฤษฏิ์พงษ์ หริ่มเจริญ ที่ปรึกษารัฐมนตรีว่าการกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ได้ให้ความรู้เกี่ยวกับวิธีการเก็บบันทึกข้อมูลจราจรร่วมกับ PACNET และคุณนนทวรรธนะ สาระมาน ผู้ร่วมก่อตั้ง SRAN Technology และผู้อำนวยการฝ่ายพัฒนาผลิตภัณฑ์และบริการ บริษัท โกลบอลเทคโนโลยี อินทิเกรเทด จำกัด ได้จัดทีมสาธิตอุปกรณ์ SRAN Security Center โดยแบ่งตามรุ่นต่างๆ ตั้งแต่รุ่น SR-M , SR-L และ SR X Series 1000 ซึ่งได้รับความสนใจเป็นอย่างมากจากผู้เข้าร่วมสัมมนา ทั้งที่เป็นลูกค้าอินเตอร์เน็ตของ PACNET และผู้ประกอบการกว่า 60 ราย

ทาง PACNET กล่าวว่าจะมีการจัดสัมมนาเชิงปฏิบัติการในลักษณะนี้อีกเพื่อให้ความรู้ความเข้าใจ และส่งเสริมให้ผู้แทนจากกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร ได้ให้ความรู้อย่างถูกต้องแก่ผู้ประกอบการอีกครั้งในเร็ววันนี้

ภาพบรรยายกาศงานสัมมนาเชิงปฏิบัติการ แบ่งกลุ่มให้ผู้ร่วมสัมมนาได้เรียนรู้อุปกรณ์ SRAN

รูปบน จากซ้ายไปขวาคุณนริณีนาฎ จันทภุชงคเดช ผู้อำนวยการฝ่ายการตลาดบริษัท PACNET,

คุณกฤษฏิ์พงษ์ หริ่มเจริญ ผู้แทนจากกระทรวงไอซีที และคุณนนทวรรธนะ สาระมาน

Link

แพ็คเก็จใหม่จาก Pacnet เพื่อความคุ้มครองสูงสุดสำหรับเครือข่ายอินเทอร์เน็ต ที่รองรับการใช้งานตาม พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550

Advertisements

Read Full Post »

ทางกลุ่ม SRAN ได้นำ Wiki Pedia Technology มาใช้กับเว็บไซด์ SRAN Community

ซึ่งเปิดโอกาสให้ ปรับแต่งฐานข้อมูลบนอุปกรณ์ SRAN Security Center ทั้งที่เป็นฐานข้อมูลที่มีความเสี่ยงแต่ภัยคุกคามที่เกิดขึ้น (Threat Data) และข้อมูลการใช้งานทั่วไป (Normal Data) โดยสามารถปรับแต่งการตรวจจับตามความต้องการ ไม่ว่าเป็นการ ใช้ข้อมูลผ่านเว็บไซด์ (HTTP, HTTPS , HTTP Proxy) การใช้ข้อมูล รับ-ส่ง เมลล์ , การ Upload และ Download อื่นๆเป็นต้น

เจตนารมณ์ ของกลุ่ม SRAN Community
1. เผยแพร่ฐานข้อมูลการบุกรุกระบบเครือข่าย จากอดีต จน ถึงปัจจุบัน พร้อมเปิดโอกาสให้ร่วมเสริมสร้างความรู้จากคำศัพท์ที่เกี่ยวข้องกับอาชญกรรม คอมพิวเตอร์ ผ่านระบบ Wiki Pedia ที่จัดขึ้นในเว็บไซด์แห่งนี้
2. ปรับแต่งระบบตรวจจับตามความต้องการของผู้ใช้งานอุปกรณ์ SRAN Security Center เช่น การตรวจจับเนื้อหาในโปรแกรม Camfrog การตรวจจับเนื้อหาจากเว็บ Youtube หรือโปรแกรมต่างๆ ที่ต้องการให้ทางกลุ่มพัฒนา SRAN Technology ได้เขียนเพิ่ม เพื่อเป็นเสริมสร้างความปลอดภัย และรู้ทันปัญหาจากการใช้งานระบบสารสนเทศขึ้นในประเทศไทย
3. เผยแพร่ศัพท์ อาชญากรรมทางคอมพิวเตอร์ เพื่อเป็นแหล่งข้อมูลการศึกษา
4. เผยแพร่ความรู้ด้านการออกแบบระบบรักษาความปลอดภัยข้อมูลสารสนเทศให้มีความสอดคล้องกับ พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ปี 2550

ไม่ว่าเรื่องไหนๆ SRAN สามารถรู้ทันได้ หากมี Signature ดังนั้นหากท่านต้องการให้ SRAN ตรวจจับเนื้อหา สื่อทางอินเตอร์เน็ต ติดต่อมาที่ SRAN Community ร่วมสร้างสรรค์ Signature เพื่อคนไทย

เปิดทำการแล้ววันนี้ : )

Read Full Post »

กรณีศึกษา การสืบหาชื่อผู้กระทำความผิดคอมพิวเตอร์ โดยใช้ SRAN

การตรวจดูการ Login เมื่อในเครือข่ายนั้นได้ทำการติดตั้ง AD (Active Directory) สามารถทำได้ 2 วิธี คือ

วิธีที่ 1 ดูจาก Log ที่เกิดขึ้นผ่านระบบเครือข่าย เมื่อติดตั้ง SRAN ในตำแหน่งที่เหมาะสม นั้นคือ ตำแหน่งที่มองเห็นข้อมูลจราจรได้ทั่วทั้งระบบส่วนใหญ่แล้วจะติดตั้งที่ Core Switch โดยการ Mirror ข้อมูลมาที่อุปกรณ์ SRAN หรืออาจใช้อุปกรณ์เสริมอย่างเช่น Network Tap เข้ามาช่วย ซึ่งผลลัพธ์สามารถทราบถึง รายชื่อ User ที่ทำการ Login ได้เช่นกัน

ข้อดีวิธีนี้คือ สะดวกในการใช้งานเนื่องจากสามารถใช้ได้ทุกรุ่น

ข้อเสียวิธีนี้คือ ไม่สามารถทราบลักษณะการ Login ว่ามีความผิดพลาดเพียงใด เช่น ไม่ทราบรายละเอียดว่า Login ประสบความสำเร็จ หรือ ล้มเลว หรือไม่ และหากติดตั้งในต่ำแหน่งที่ไม่ถูกต้องจะไม่สามารถมองเห็นการ Login ได้เลย

รายละเอียดในวิธีที่ 1 สามารถอ่านได้ที่ ฐานข้อมูล Log Data Traffic ที่เกี่ยวกับการใช้ Login เข้า Domain Controller

ส่วนวิธีที่ 2 ใช้ SRAN ที่เป็น Hybrid จะสามารถทำให้ทราบถึง User Login ผ่าน Domain Controller ที่ประกาศเป็น AD ได้ละเอียดขึ้น

เนื่องจาก SRAN Hybrid จะทำการรับ syslog บนเครื่องที่ต้องการส่งมายังอุปกรณ์ SRAN ได้ ซึ่งจะทำให้ลักษณะการแสดงผลละเอียดมากขึ้น

ซึ่งเราขอนำเสนอหน้าจอ SRAN รุ่น Hybrid เพื่อสร้างความเข้าใจมากขึ้น ดังนี้
ตัวอย่างการทำงานของ SRAN SECURITY CENTER รุ่นที่เป็น HYBRID ในการค้นหา User จาก IP Address
เมื่อทราบ IP Address ของเครื่องที่สมมุติว่ามีการกระทำความผิดจากอุปกรณ์ SRAN หากเราจะทำการสืบค้นหาต่อตามหลัก Chain of Event (Who, What, Where, When, Why)
จะพบว่า
Who : IP ต้นทาง Port ต้นทาง , IP ปลายทาง Port ปลายทาง ในที่นี้ IP ที่น่าสงสัย 192.168.1.14

คลิกที่รูปเพื่อดูขยาย

what : ดูลักษณะการใช้งาน IP 192.168.1.14 ว่าเคยมีประวัติการใช้งาน จะทำให้ทราบ ชื่อ IP /name / MAC Address และรายละเอียดการใช้งานต่างๆ ดังภาพล่างนี้

Where : ดูพฤติกรรมการใช้งาน IP 192.168.1.14 หากเป็นการเปิด Web ก็คลิก (HTTP Get Web Data Traffic ว่าเปิดเว็บ Path URL อะไรเป็นต้น หากเป็นการรับ-ส่ง Mail ก็คลิกดูว่า รับ – ส่งไป IP/Domain อะไร เป็นต้น)

When : ช่วงเวลาที่ใช้งาน ของ IP 192.168.1.14 เวลาเปิด ปิดเครื่อง และเวลาในการใช้งานต่างๆ แยกตาม Application Protocol เช่นเริ่มเปิด Web เวลาใด เสร็จเมื่อไหร่ เริ่มเปิด Mail เวลาใดเสร็จสิ้นเมื่อไหร่ อื่นๆ ตามภาพข้างล่างที่ปรากฏ

ภาพประวัติการใช้งาน IP : 192.168.1.14

ภาพแสดงให้เห็นว่าเครื่อง IP : 192.168.1.14 ทำการเปิดเครื่อง- ปิดเครื่อง และจำนวนการใช้ข้อมูล

ภาพลักษณะการใช้ Application Services และ Domain / IP ปลายทางที่มีการเชื่อมต่อข้อมูล

เป็น Hybrid นั่นหมายความว่า SRAN นอกจากจะใช้เทคโนโลยี Deep packet Inspection และ Flow Collector แล้วยังสามารถรับ syslog จากเครื่องสำคัญๆ ได้อีกด้วย เพื่อพร้อมความสมบูณในการเก็บบันทึกมิให้สูญหายและสามารถสืบหาข้อมูลจาก อุปกรณ์ SRAN เพียงอุปกรณ์เดียวก็สามารถได้ครบทุกส่วน ไม่ว่าเป็น การเฝ้าระวัง (Monitoring) การวิเคราะห์ (Analysis) และการเก็บบันทึก (Record)


เพิ่มความละเอียดในการค้นหาข้อมูล IP / Name และชื่อการใช้งาน User โดยใช้ SRAN Hybrid
ทำการค้นหารายชื่อ IP : 192.168.1.14

คลิกเพื่อดูภาพขยาย จากภาพต้องการต้นหา IP : 192.168.1.14 ว่าใช้ User Name อะไร สามารถทำได้โดย ให้ AD (Active Director) ส่งค่า syslog มายังอุปกรณ์ SRAN ผลที่ได้จากการค้นหาจะแสดงผลดังนี้

คลิกที่รูปเพื่อดูภาพขยาย

จากภาพแสดงให้เห็นว่า IP : 192.168.1.14 ชื่อ User wiroj.k ทำการ Join Domain และ Login ถูกต้อง

เสริมสร้างประโยชน์ สำหรับองค์กรที่มีเครื่องแม่ข่าย ที่สำคัญ ได้แก่ Mail Server ที่ตั้งในองค์กร , Web server ที่ตั้งในองค์กร หรือ Domain Controller (AD) หากต้องการเก็บ Log เครื่องสำคัญเหล่านี้ให้ได้ประโยชน์สูง ก็ควรใช้ SRAN Hybrid เข้ามาช่วย

ส่วนลักษณะการใช้งาน User หากต้องนำ Log เครื่อง Client เพื่อยิง log มาทั้งหมดคงไม่มีทางเป็นไปได้ ดังนั้นหน้าที่สำคัญของ SRAN ก็เพื่อต้องการตรวจจับการใช้งาน User ด้วย เนื่องจากภัยคุกคาม การหมิ่นประมาท การทำลายข้อมูล มักจะเกิดจากการใช้งาน User เป็นหลัก และเพื่อให้สอดคล้องกับสาระสำคัญของ พระราชบัญญัติว่าด้วยการกระทำผิดทางคอมพิวเตอร์ การเก็บ Log จึงจำเป็นที่ต้องเก็บลักษณะการใช้งานด้วย เพื่อประโยชน์ในการสืบสวน สอบสวนหาผู้กระทำความผิดมาลงโทษ ให้ได้ ดังนั้นหากเก็บเฉพาะ User เวลาการใช้งาน เราจะไม่สามารถทราบถึงลักษณะการใช้งาน ที่เป็น What (ทำอะไร)และ Why (ทำอย่างไร) ได้เลย เก็บ Log ไปแล้วก็ไม่สามารถระบุหาผู้กระทำความผิดได้ จึงเป็นเหตุผลให้ทางทีมงาน SRAN หาวิธีที่สะดวกที่สุดในการเก็บ Log และที่สำคัญ SRAN สามารถ Correlation Log ให้สอดคล้องกับความเสี่ยงที่อาจเกิดขึ้นได้ตามมาตราต่างๆ ที่แปลทางเทคนิคได้คือ มาตรา 5 – 11 ทำให้ผู้ดูแลระบบ หรือผู้บริหารองค์กรสามารถเข้าใจ Log ที่เกิดขึ้นได้มากขึ้นอีกด้วย

ภาพการ Correlation Log ตามมาตรต่างๆ พร้อมทั้งสามารถคลิกดูรายละเอียดการกระทำความผิดตามมาตรานั้นได้อีกด้วย

รายละเอียดเพิ่มเติม

Log คืออะไร

เทคนิคการเก็บ Log

ทำความรู้จัก SRAN Hybrid

การวิเคราะห์ข้อมูลผ่าน SRAN Hybrid

กรณีศึกษาการใช้ SRAN วิเคราะห์จาก Log ตอนที่ 1

กรณีศึกษาการใช้ SRAN วิเคราะห์จาก Log ตอนที่ 2

Read Full Post »

เมื่อวันที่ 7 พฤษภาคม 2551 ทาง SRAN ได้รับเชิญร่วมให้ความรู้เกี่ยวกับ พ.ร.บ. ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ ซึ่งจัดโดยบริษัท Solution Zone และ O2 Micro Security ในงานนี้จัดขึ้นที่ศูนย์ศึกษาวิภาวดีม.รังสิต (ถ.วิภาวดีรังสิต) อาคาร ทีเอสที ทาวเวอร์

ทางคุณนนทวรรธนะ สาระมาน ผู้อำนวยการฝ่ายวิจัยและพัฒนาเทคโนโลยี บริษัท โกลบอล เทคโนโลยี อินทิเกรเทด ซึ่งเป็นผู้ก่อตั้ง SRAN ได้อธิบายถึงสาระสำคัญของการเก็บบันทึกข้อมูลจราจร และอธิบายถึงหลักการณ์วิเคราะห์เพื่อสืบสวนสอบหาผู้กระทำผิด ทางอาชญากรรมคอมพิวเตอร์ ตามหลัก 3 in 3 out และพิจารณาห่วงโซ่เหตุการณ์ (Chain of Event) รวมถึงเทคนิคการเก็บบันทึกข้อมูลจราจร (Log) เก็บแบบใดพอเพียง เก็บแบบใดไม่พอเพียง ซึ่งสร้างความสนใจแก่ผู้เข้าฟังเป็นอย่างมาก

ภาพบรรยากาศงานสัมนา

Read Full Post »

ที่บอกว่ามากกว่าการเก็บ Log ก็เพราะการเก็บ Log เพียงอย่างเดียว แต่ไม่สามารถหาสาเหตุ หาเหตุผล หาปัญหาที่เกิดขึ้นบนระบบเครือข่ายได้ ก็ไม่ได้ช่วยพนักงานเจ้าหน้าที่ ตำรวจ หรือผู้ประกอบการได้เลย แต่หากเก็บแล้วสามารถบอกถึงสาเหตุ และปัญหาต่างๆ ที่เกิดขึ้นจากการใช้งานข้อมูลสารสนเทศนั้น ทั้งยังสามารถยืนยันได้ว่าข้อมูลที่เก็บบันทึกไม่สามารถแก้ไขได้ จะทำให้เป็นมากกว่าการเก็บ Log ธรรมดา สิ่งต่างๆ เหล่านี้ล้วนเกิดขึ้นบนอุปกรณ์ “SRAN”

รูปอุปกรณ์ SRAN Security Center รุ่น SR-L

ติดตั้งอุปกรณ์ SRAN เพียงไม่เกิน 1 นาที และไม่มีผลกระทบต่อการเชื่อมต่อเครือข่ายเดิม ก็สามารถใช้งานได้ พร้อมทั้งออกรายงานผลเปรียบเทียบความเสี่ยงที่พบตามมาตราต่างๆ ของพ.ร.บ ว่าด้วยการกระทำผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 ได้อัตโนมัติ ซึ่งสะดวกแก่ผู้ดูแลระบบ นายจ้าง และพนักงานเจ้าหน้าที่ อีกทั้งยังสามารถเก็บบันทึกข้อมูลจราจรได้มากกว่า 90 วัน เป็นไปตามกฏกระทรวง และเป็นที่ยอมรับจากสำนักงานตำรวจแห่งชาติ หน่วยงานราชการ หน่วยงานเอกชนหลายแห่งที่เลือกใช้อุปกรณ์ SRAN

นอกจากนี้ SRAN ยังเป็นความภาคภูมิใจของคนไทย เพราะ SRAN เป็นผลิตภัณฑ์เทคโนโลยีด้านความมั่นคงปลอดภัยข้อมูลสารสนเทศจากเมืองไทย ที่จัดแสดงในงานระดับโลกอย่าง CeBiT จึงเป็นเครื่องยืนยันว่าอุปกรณ์ SRAN เป็นที่ยอมรับในขณะนี้ Site Reference นี่คือหนึ่งเหตุผลที่หลายคนมองหาอุปกรณ์นี้อยู่ อุปกรณ์นี้มีชื่อเต็มว่า SRAN Security Center ถูกออกแบบขึ้นเพื่อตัดปัญหา 3 ประการ คือ

1. ค่าใช้จ่าย (Cost) ที่บานปลายในการจัดซื้อจัดจ้างหาระบบป้องกันภัยและเก็บบันทึกข้อมูลจราจร เพราะ SRAN อยู่ในรูปแบบ Appliance พร้อมใช้งาน เมื่อเปิดเครื่องก็จะทำงานอัตโนมัติ โดยไม่จำเป็นต้องอาศัยการปรับแต่งมากมาย

2. การออกแบบและติดตั้ง (Design & Implement) SRAN ถูกออกแบบให้ง่ายต่อการติดตั้ง ใช้เวลาน้อย เหมาะกับเครือข่ายในประเทศไทย อีกทั้งไม่จำเป็นต้องออกแบบระบบเพื่อรองรับข้อมูลจราจรให้วุ่นวาย การเก็บบันทึกข้อมูล ก็เป็นไปตามหลักการสืบสวนสอบหาผู้กระทำผิด และเก็บบันทึกเป็นหลักฐานที่ไม่สามารถเปลี่ยนแปลงแก้ไขได้ เพิ่มความสะดวกให้แก่พนักงานเจ้าหน้าที่ เจ้าหน้าที่ตำรวจ และผู้บริหารองค์กร ที่ต้องการทราบถึงพฤติกรรมการใช้งานอินเตอร์เน็ต และการใช้งานระบบสารสนเทศในองค์กร ในเชิงลึก เนื่องจากอุปกรณ์ SRAN ได้นำเทคโนโลยี Deep Packet Inspection เพื่อตรวจดูเนื้อหาการใช้งานระบบสารสนเทศได้อย่างลึก อีกทั้งสามารถวินิจฉัยได้ว่าลักษณะหรือพฤติกรรมการใช้งานดังกล่าว เป็นภัยคุกคามชนิดใด จึงมีความสะดวกในการสืบค้นอย่างยิ่ง

3. เนื้อที่การเก็บบันทึกข้อมูลจราจร (Storage) หลายคนคงนึกวิตกกังวลกับเรื่องการเก็บข้อมูลจราจร หรือ Log จำนวนมากที่ต้องเก็บบันทึกไว้ อุปกรณ์ SRAN ได้ถูกคิดค้นขึ้นเพื่อเก็บบันทึกข้อมูล โดยแยกเป็นประเภท และจัดตามหลักเกณฑ์ห่วงโซ่ของเหตุการณ์ (Chain Of Event) จึงทำให้มีน้ำหนักในการเก็บบันทึกเพียงพอแล้วสำหรับงานสืบสวนสอบหาผู้กระทำความผิดที่เกี่ยวข้องกับ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ โดยสามารถจัดเก็บตามลักษณะ ใคร (who), ทำอะไร (what) , ที่ไหน (where) , เวลาใด (when) , และอย่างไร (why/how) ได้อย่างละเอียด โดยไม่จำเป็นต้องใช้เนื้อที่การเก็บบันทึกข้อมูลจำนวนมาก

อุปกรณ์ SRAN นำปัญหาเรื่อง ราคา (Cost) การติดตั้ง (Implement) และ เนื้อที่การเก็บบันทึก (Storage) มาแก้ไขและหาทางออกให้ โดยราคา SRAN เสร็จสิ้นในอุปกรณ์เดียว ไม่คิดค่าใช้จ่ายเพิ่มเติม การติดตั้ง ใช้เวลาติดตั้งไม่เกิน 1 นาที เห็นผล พร้อมรายงานผลให้ผู้ดูแลระบบรับทราบ ไม่ต้องนั่งปรับแต่งเพิ่มเติม การเก็บบันทึกใช้เนื้อที่น้อย และสามารถเก็บบันทึกเกิน 90 วัน ตามหลักการเก็บบันทึกข้อมูลจราจร

นอกจากจะนำปัญหาทั้ง 3 มาแก้ไขแล้ว ยังเพิ่มความสะดวกให้กับผู้ดูแลระบบ พนักงานเจ้าหน้าที่ ตำรวจ หรือผู้บริหารองค์กร ด้วยการแสดงผลที่เข้าใจง่าย สามารถรู้ข้อมูลได้แม้ไม่ใช่ผู้เขี่ยวชาญ โดยประมวลผลผ่าน Web Base (HTTPS) มีรายงานตามมาตรฐานระบบตรวจจับผู้บุกรุก และรายงานผลเปรียบเทียบมาตรฐาน ตาม ISO 27001 รวมถึง มาตรา 5 – 11 ของ พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ จึงทำให้ผู้ดูแลระบบ สามารถทราบภัยคุกคามที่อาจเกิดขึ้นก่อนที่ภัยคุกคามนั้นจะมาถึงองค์กร พร้อมวิธีการแก้ไข (Incident Response) ได้ทันท่วงที

สุดท้ายอุปกรณ์ SRAN สามารถเก็บบันทึกข้อมูลจราจรได้มากกว่า 90 วัน โดยมีหน้าจอแสดงผล ที่ดูแล้วเข้าใจง่ายพร้อมทั้งการทำ Data Hashing เพื่อสามารถนำ Log ที่เกิดขึ้นไปยืนยันในชั้นศาลได้อีกด้วย

เมื่อทราบถึงคุณสมบัติต่างๆ บนตัวอุปกรณ์ SRAN แล้วจึงทำให้หลายคนที่คิดจะหาอุปกรณ์เก็บ Log ต้องหันไปพิจารณามากขึ้นถึงเรื่องราคาที่บานปลายจากการติดตั้ง จาก License software จากการเปรียบเทียบมาตรฐาน (Compliance) การอ่าน Log ในรูปแบบต่างอุปกรณ์กันซึ่งยากต่อการติดตั้ง การส่ง Log หลายๆ อุปกรณ์ บนเครือข่าย การตรวจดูพฤติกรรมการใช้งานของ User ในองค์กร การยืนยันว่า Log ที่เก็บบันทึกไม่สามารถแก้ไขได้ รวมๆ แล้ว SRAN ขจัดปัญหา และครบเครื่องอยู่ในอุปกรณ์เดียว ไม่ต้องทำอะไรเพิ่มเติม และมีประโยชน์แก่พนักงานเจ้าหน้าที่ ตำรวจ และผู้ดูแลระบบในองค์กร ที่กล่าวมาทั้งหมดจะทำให้ทราบว่าการลงทุนด้าน IT ไม่มีวันสิ้นสุด แต่เราพอเพียงได้หากใช้อุปกรณ์ “SRAN”

รูปอุปกรณ์ SRAN Security Center

รายละเอียดเพิ่มเติม อ่านได้ที่ http://www.gbtech.co.th/th/product/usm

การใช้อุปกรณ์ SRAN Security Center อย่างถูกต้อง http://www.sran.net/archives/101

กรณีศึกษาการวิเคราะห์ Log เพื่อสืบหาผู้กระทำผิด พ.ร.บ คอมพ์ฯ ตอนที่ 1

กรณีศึกษาการวิเคราะห์ Log เพื่อสืบหาผู้กระทำผิด พ.ร.บ คอมพ์ฯ ตอนที่ 2

การแก้ไขปัญหาอุปกรณ์ SRAN ในรูปแบบต่างๆ

Read Full Post »

เรานำ Clip Video ที่เป็นช่องโหวต่างๆที่ค้นพบ

เพื่อเป็นกรณีศึกษาและหาวิธีการป้องกันในอนาคต
ช่องโหว่ที่เกี่ยวกับ phpBB 2.0.18

Read Full Post »

IM Malware

เป็นเหตุการณ์ที่เกิดขึ้นจากลูกค้าที่ใช้อุปกรณ์ SRAN จึงขอนำมาเป็นบทวิเคราะห์ เพื่อเป็นกรณีศึกษาต่อไป

ทางบริษัทได้ติดตั้งอุปกรณ์ SRAN มาใช้เป็นระยะหนึ่งแล้ว พบเหตุการณ์ดังนี้

รบกวนช่วยตรวจสอบให้ด้วย ว่าทำไมอยู่ดีๆ จึงมีข้อความจาก msn ส่งมาให้ว่า “http://aun_117.very.c0o0lthing.info”
จากคนที่เราไม่ได้ chat ด้วย และเจ้าของ user ก็ไม่ได้ส่งมา

รูปที่ 1 อุปกรณ์ SRAN Security Center ที่ติดตั้งใน Site ลูกค้าที่ติดต่อเรื่องนี้มาซึ่งเป็นอุปกรณ์ในรุ่นเล็ก SR-S

เมื่อทีมงาน SRAN ได้เข้าไปดู Log จากอุปกรณ์ ซึ่งสามารถดูผ่าน HTTPS ได้ จึงพบว่า
ในกรณีที่ว่าเกิดขึ้นกับ MSN User ตาม Payload ที่โชว์ใน RAW Data บนอุปกรณ์ SRAN อาจมีความเสี่ยงที่ติด Malware ที่มากับเว็บไซด์ http://very.c0o0lthing.info/ ซึ่งเป็นการหลอกถาม Password ของ MSN ที่ตนเองใช้อยู่ ทำให้ msn ส่งข้อความมาตาม contact list ให้หลอกไปเข้าเว็บ http://very.c0o0lthing.info/ เพื่อที่ขยายโปรแกรม Malware ต่อไป
เป็นปัญหา MSN Malware ทั่วไปที่เจอในขณะนี้

จึงขอนำ Data Payload มาไว้ในการวิเคราะห์ดังนี้

รูปที่ 2 เป็นหน้าจอในการวิเคราะห์ข้อมูลบนตัวอุปกรณ์ SRAN ส่วนบนสุดพบว่าเหตุการณ์การสนทนา MSN (Chat MSN Signature) ซึ่งอยู่ในหมวดหมู Policy Violation เป็นค่าตั้งต้นที่สามารถปรับแต่งได้ ซึ่งในที่นี้การเล่น MSN ในองค์กรเป็นเรื่องที่ทางผู้ดูแลระบบดูแล และออกกฏ (Policy) ห้ามเล่นในเวลาทำงาน

จากรูปที่ 2 เราพบว่าเครื่องลูกข่าย และเครื่องปลายทางติดต่อ

ตามห่วงโซ่เหตุการณ์ (Chain of Event) นั้นคือ Who

IP : 192.168.0.135 ที่ Port 57782 กำลังติดต่อไปที่ MSN Server ที่ IP 207.46.27.168 ที่ Port 1863

และ When คือเวลาที่แสดงพบเหตุการณ์นี้ ในวันที่ 30 เดือน เมษายน ปี 2551 เวลา 12:08

และ Why (How) เป็นการใช้งาน MSN เพื่อสนทนา ดูจาก Chat MSN Signature

รูปที่ 3 เป็นค่า Payload ซึ่งจะทำให้รู้ลักษณะการใช้งาน ตามห่วงโซ่เหตุการณ์ (Chain of Event) นั้นคือค่า What ทำให้เราทราบลักษณะการใช้งาน มี Massage จาก User MSN ให้เปิด URL ที่มี Malware ฝั่งอยู่

ภัยคุกคามสมัยใหม่ มักจะเล่นงานที่ User เป็นหลัก จึงควรพิจารณาให้ดีก่อนจะรับ files  ใดๆ หรือ Link URL ใดจากบุคคลอื่น แม้กระทั้งเพื่อนที่เรารู้จัก

ข้อมูลที่เกี่ยวข้อง

ข้อมูลเพิ่มเติม การใช้ SRAN Security Center อย่างถูกต้อง

ความหมายของ Malware

“Malware คือความไม่ปกติทางโปรแกรมมิ่ง ที่สูญเสีย C (Confidentiality) I (Integrity) และ A (Availability) อย่างใดอย่างหนึ่ง หรือ ทั้งหมด จนทำให้เกิดเป็น Virus , Worm , Trojan , Spyware , Backdoor และ Rootkit”

ความหมายของ IM (Instant Messaging)

http://en.wikipedia.org/wiki/Instant_messaging

Read Full Post »