Social Network ที่มีผลกระทบกับคนไทยในช่วยนี้หนีไม่พ้น “กระแสของ Twitter” กรณีนายกรัฐมนตรีส่งข้อความอวยพรวันคล้ายวันเกิดปรากฏอยู่บนหน้า Twitter ของอดีตนายกรัฐมนตรี และมีเรื่องที่ต้องขบคิดกันถึงว่าจะรู้ได้อย่างไรใครเป็นคนโพสตัวจริง ทำให้ทางทีมงาน SRAN จึงพยายามพัฒนา rule base เพื่อตรวจสอบ twitter ลงบนระบบของ SRAN Security Center เพื่อที่จะมองหาไอพีต้นทางที่เข้าถึงระบบ twitter ทั้งผ่านเว็บและผ่านโปรแกรมเฉพาะของ twitter เช่น TweetDeck ซึ่งการตรวจหาไอพีต้นทางดังกล่าวเกิดขึ้นบนระบบเครือข่าย ที่มีการติดตั้งอุปกรณ์ SRAN ตามจุดที่เหมาะสม (อ่านรายละเอียดการติดตั้งที่ http://www.sran.net/archives/101 )
SRAN เทคโนโลยีด้านความมั่นทางข้อมูล ของคนไทย ได้พัฒนาวิธีการตรวจลักษณะการใช้งาน Twitter
ก่อนที่จะดูวิธีการตรวจหาไอพีต้นทางที่ทำการโพสข้อมูลใน Twitter นั้นเรามาทำความรู้จักเกี่ยวกับ Twitter กันก่อน
Twitter คือระบบบริการ Social Networking และบริการ Micro-blogging ซึ่งอนุญาติให้ผู้ใช้สามารถส่งข้อความหรืออ่านข้อความที่เรียกว่า Tweets (เสียงนกร้อง) ซึ่งการส่งข้อความตัวอักษรนั้นสามารถส่งได้ไม่เกิน 140 ตัวอักษรซึ่งจะแสดงอยู่บน Profile ของเจ้าของ Blog รวมไปถึง Profile ของสมาชิกซึ่งเรียกกันว่า Followers (ผู้ติดตาม) ผู้ส่งสามารถส่งข้อความให้เฉพาะหมู่เพื่อนได้ แต่โดยค่ามาตรฐานนั้นจะอนุญาติให้ใครมาอ่านดูได้ ซึ่งผู้ใช้สามารถส่งหรือรับข้อความได้จากทาง Website Twitter , ทางการส่งข้อความ (SMS) หรือ Applications อื่นๆ โดยการส่งทาง SMS นั้นสามารถใช้ได้ฟรี โดยไม่ต้องเสียค่าบริการ
ครั้งแรกที่ Twitter เปิดตัว และพยายามอธิบายถึงวิธีใช้งานนั้นถูกเริ่มต้นจาก ‘What are you doing?’ คือเริ่มต้นใช้ Twitter ด้วยการบอกว่าคุณกำลังทำอะไร ที่ไหน อย่างไร คนที่ติดตามก็จะสามารถติดตามคุณได้ตลอดเวลา ซึ่งก็ทำให้ทุกคนที่เริ่มใช้ Twitter เริ่มต้นด้วยการตอบคำถามนี้กันหมด ซึงในความเป็นจริงแล้ว คุณไม่จำเป็นต้องคอยตอบคำถามนี้ตลอดเวลาที่เล่น Twitter
แน่นอนว่า Twitter ไม่ได้มีลูกเล่นแค่พิมพ์ข้อความกันอย่างเดียว ยังมีอีกหลายอย่างที่คุณทำบน Twitter ได้
Reply: คุณสามารถ ตอบกลับ Tweet ของคนอื่นได้
Direct Message: สามารถส่งข้อความส่วนตัว ถึงคนอื่น โดยไม่มีใครเห็น
Favourite: สามารถเก็บ Tweet ที่สนใจใน Favourite ได้
Re-tweet: ถ้าเห็น Tweets ของใครน่าสนใจ อยากจะ Re-tweet ในกลุ่มของคุณก็ทำได้ คล้ายการ forward ต่อ
URLs/Links: ใส่ URL ในข้อความ TweetSearch: ค้นหาคำ หรือเรื่องที่คน Tweet
Trending Topics: เรื่องที่กำลังอยู่ในความสนใจของคนใช้ Twitter
เชื่อว่า Twitter ยังสามารถถูกดัดแปลงเพื่อการใช้งานอื่นๆ ได้อีกในอนาคต รวมไปถึงรูปแบบของอาชญากร ที่อาจใช้ twitter ในการประสงค์ร้ายก็ได้วิธีการใช้งานก็ไม่มากมายยุ่งยาก เพียบสมัครสมาชิก แล้วเข้าสู่หน้าเว็บ twitter.com หลังจากนั้นก็พิมพ์ข้อความลงไป ข้อความดังกล่าวก็จะถูกส่งไปหาเพื่อน ๆ ของคุณใน twitter ทันที
เริ่มต้นใช้ SRAN ในการตรวจจับ Twitter >>
ก่อนจะสร้างเรามาดูถึงรูปแบบการติดตั้งระบบ SRAN เพื่อตรวจจับผู้ส่งข้อความเข้า Twitter กันก่อน
เราได้ทำการติดตั้ง SRAN ลงบน network อยู่ในส่วนของทางออกสู่ Internet, เมื่อมีผู้ที่ทำการส่งข้อความเข้าสู่ Twitter เราจะสามารถตรวจจับข้อความดังกล่าวได้
ภาพที่ 1 การติดตั้งอุปกรณ์ SRAN ที่เครือข่ายคอมพิวเตอร์บริษัทสมมุติ (AAA)
วิธีการตรวจจับ
Twitter ถูกออกแบบมาให้สื่อสารแบบ HTTP protocol ก็เพื่อให้ทุกคนสามารถเข้าถึงได้
HTTP protocol ก็จะมี 2 รูปแบบ คือ
1.การร้องของ
2.การส่งข้อมูล
เมื่อติดตั้งอุปกรณ์ อย่างถูกต้องแล้วเราจึงทำการใช้สังเกตข้อมูลและลักษณะการสื่อสาร เพื่อนำมาวิเคราะห์ จนได้ช่องทางที่จะส่งข้อความเข้าสู่ twitter เมื่อผู้ใช้งานได้ทำการ login แล้ว ก็จะเข้าสู่หน้าเว็บของ twitter โดยมีช่องให้กรอกข้อความ
เมื่อผู้ใช้งาน กรอกข้อความและกดที่ปุ่ม update ข้อความเหล่านั้นจะถูกส่งไปยังระบบของ twitter ที่หน้า http://twitter.com/status/update ในหน้านี้จะเป็นตัวรับข้อความจากผู้ใช้งาน นำไปแสดงผลบน twitter
เมื่อได้ข้อมูลครบตามที่ต้องการแล้ว เราพบอะไรบ้าง?
ภาพที่ 2 ลักษณะการส่งค่าข้อมูลระหว่างเครื่องลูกข่าย (client) ไปยัง เครื่องแม่ข่าย (Server Twitter) เพื่อนำมาใส่ใน Rule SRAN
ผลที่ได้คือ ลักษณะของคำร้องขอ และข้อมูลนั้น อยู่คนละ Frame ของตอนส่งข้อมูล เราจำเป็นที่จะต้องตรวจจับทั้ง 2 ส่วนนี้ โดยในส่วนแรก เราจะจับในส่วนของคำร้องขอ และส่วนที่สองคือข้อความ เพื่อที่จะยืนยันการส่งข้อความเหล่านั้น
นำค่า Payload ที่ได้เขียนเข้าอุปกรณ์ SRAN สิ่งที่พบในอุปกรณ์ SRAN คือ
ภาพที่ 3 การแสดงผลการตรวจจับการใช้งาน Twitter ในองค์กร AAA
จากภาพข้างบน เราสามารถทราบได้ถึง IP Address ต้นทางที่ส่งคำสั่งและข้อความ)ไปยัง twitter นั่นหมายความว่า เราสามารถระบุตัวตนของผู้ที่ส่งข้อความดังกล่าวได้
Who : IP 192.168.1.87
What : Twitter Post Command / Massages
Where : IP Cloud Computing ของ Twitter ดูจากภาพข้างล่างจะเห็นว่ามีชุด IP เครื่อง Server ของ Twitter อยู่
ภาพที่ 4 ไอพีปลายทางที่เป็นเครื่องแม่ข่าย (Server) ของ Twitter ที่อุปกรณ์ SRAN ตรวจพบ
When : ช่วงเวลาที่เปิด Twitter
Why / How : ลักษณะความเสี่ยงขึ้นอยู่กับเนื้อหา อุปกรณ์ SRAN ตรวจเป็นเหตุการณ์ปกติ
ถ้าต้องการรู้ถึงรายชื่อพนักงานที่โพส Twitter ต้องใช้ SRAN Security Center รุ่น Light ที่สามารถตรวจสอบรายชื่อพนักงานได้
อ่านเพิ่มเติมที่ http://www.sran.net/archives/211
ขั้นตอนการกรองข้อมูลเพื่อบันทึกการตรวจจับ (Rule Base) ลงไป 2 วิธีได้แก่
1. Twitter Post command ใช้ในการตรวจดูชุดคำสั่ง
ผลที่ได้รับจากการแสดงผลค่า payload ที่พบใน SRAN คือ
ภาพที่ 5 จะสามารถมองเห็นค่าคำสั่ง POST ที่ติดต่อกับตัว Host ของ twitter เอง
2. Twitter Post message ใช้ในการตรวจดูข้อความที่ส่งถึง twitter
ซึ่ง SRAN สามารถแสดงผลได้ดังนี้
ภาพที่ 6 จะเห็น SRAN สามารถตรวจจับได้ถึงเนื้อหาที่ทำการโพสใน Twitter ได้ในนี้จะสามารถอ่านภาษาไทยได้ด้วยเช่นกัน โดยจะสามารถเห็นเนื้อหาที่ ไอพีต้นทางคือ 192.168.1.87 ทำการโพสไปที่เว็บไซต์ Twitter
ในหน้านี้เราจะเห็นถึงส่วนสำคัญนั่นคือ
authenticity_token ที่ใช้ในการยืนยันสิทธิการเข้าใช้งาน
status เป็นข้อความที่ผู้ใช้งานส่ง
และค่าอื่น ๆ ที่ระบบต้องการใช้งาน
ประโยชน์ที่ได้?
โลกอินเทอร์เน็ต เราจะตั้งชื่อตัวเองเป็นใครก็ได้ เพราะฉะนั้นหากมีการแอบแฝงขึ้นมา เราก็แทบไม่สามารถที่จะระบุตัวบุคคลได้ แต่หากเรามีระบบเก็บ log เพื่อยืนยันถึงตัวบุคคลที่กระทำความผิดแล้วนั้น ก็ยากยิ่งที่จะหลบเลี่ยงจากหลักฐานที่มีอยู่
ใน Twitter ก็เช่นเดียวกัน ปัจจุบันนี้ในโลกของ Twitter การพิสูจน์ตัวตนการใช้งานมาโพสข้อมูล รวมไปถึงการปลอมเป็นบุคคลอื่นนั้น ไม่สามารถตรวจหาได้นอกจากจะขอ ข้อมูลจากผู้ให้บริการ Twitter เองหรือช่องทางเชื่อมต่อ IIG ที่เชื่อมต่อข้อมูลไปยังต่างประเทศซึ่งเชื่อว่าไม่สามารถจะจัดเก็บได้อย่างครบถ้วน เพราะปริมาณข้อมูลอันมหาศาล ดังนั้นการใช้ SRAN ในการสืบจึงเป็นอีกทางเลือกหนึ่งที่ต้องการหลักฐานในการตรวจหาไอพีต้นทางได้
ส่วนการป้องกันเบื้องต้น คือการป้องกันที่ตนเองก่อน ทาง Twitter ก็เริ่มมีระบบ verify ตัวตนแล้ว แต่ก็ยังต้องใช้เวลานานในการยืนยันตัวตนของบุคคลได้
(*ข้อมูลเพิ่มเติม Twitter Verify http://twitter.com/help/verified )
ขึ้นกับว่า User ที่ใช้ต้องมี Password ที่ยากแก่การเดาได้ ก็จะปลอดภัยและระบุตัวตนได้ระดับหนึ่ง
บทความที่เกี่ยวข้อง
SRAN Detect Clip Video Youtube : http://www.sran.net/archives/55
SRAN Camfrog Analysis : http://www.sran.net/archives/42
