SRAN Technology

วันที่ 6 สิงหาคม 52 ชาว Tweet ทั้งหลาย เกือบลงแดงตาย เพราะใช้งาน Tweeter ไม่ได้ เป็นเวลานานกว่าหลายชั่วโมง ที่เว็บไซต์ และระบบทั้งหมดของ Tweeter.com ทำการกูระบบขึ้นมา โดยใช้ระบบสำรอง ทำให้สามารถใช้งานได้ตามปกติ จากรายงานข่าว พบว่าไม่เพียง Twitter เท่านั้นที่โดนโจมตี Facebook, Blogspot ก็ถูกโจมตีด้วยเช่นเดียวกัน ถึงขั้นขนาดเป็นวาระของชาติสหรัฐฯ เลยทีเดียว อีกทั้งมีการตั้งค่าหัวในการค้นหาผู้ที่ทำการโจมตีในครั้งนี้ Twitter’s security team ได้ทำการ response ในทันทีที่โดนโจมตี จากการวิเคราะห์พบว่า รูปแบบการโจมตีที่กระทำเข้ามานั้น เป็นรูปแบบ DDoS (Distribution Denial of Services) หรือการโจมตีแบบรุม โดยอาศัย BOT Net จากทั่วโลกในการโจมตี * ข้อมูล BOT Net เพิ่มเติม http://www.sran.net/archives/51 จนเวลาผ่านไปกว่าอาทิตย์ Twitter ยังโดนโจมตีอย่างไม่หยุดหย่อน โดยอาศัยช่องทางที่ทาง twitter เปิดรับข้อมูล ไม่ว่าจากทางหน้าเว็บ หรือทาง API ที่ใช้สื่อสารกับ Third-party client เรื่องเก่ายังไม่จบ ล่าสุด Twitter’s security team ก็พบว่า มี account ไว้ใช้สำหรับอัพเดท ชุดคำสั่งในการควบคุมด้วยเครื่อง โดยชุดคำสั่งนี้เป็นการ update ชุดคำสั่ง เพื่อเปิดโปรแกรม, ดาวน์โหลด และเปิด

จากคำสั่งเบื้องต้น โดยการสุ่มเดาและทดสอบหลายรูปแบบจาก “http://tools.web-max.ca/encode_decode.php” ทำให้เรารู้ได้ว่า คำสั่งดังกล่าว ถูกเข้ารหัสในรูปแบบของ Base 64 เพราะฉะนั้น เมื่อเราถอดข้อความ ออกมา เราก็จะได้ข้อมูลที่เราต้องการ

(more…)

สำหรับเครือข่ายภายในองค์กรที่มีการแชร์ files เพื่อใช้งานร่วมกัน มักมีคำถามว่า เราจะทราบถึงตัวตนผู้ใช้งานที่ทำการแชร์ files ภายในองค์กร เพื่อป้องกันการขโมยข้อมูล ความลับของบริษัทไปเผยแพร่ที่อื่นได้อย่างไร ?

คำตอบในเรื่องนี้มีหลายวิธีเพื่อที่จะระบุตัวตนการเข้าถึงข้อมูลที่มีการแชร์ ผ่านเครื่อง Files Server ซึ่งทางทีมงาน SRAN ได้คิดค้นวิธีการเฝ้าระวังข้อมูลจากการแชร์ files ขึ้น  โดยเขียนเป็น Signature ในการตรวจจับการเคลื่อนไหวข้อมูลผ่านทางระบบเครือข่ายคอมพิวเตอร์

การคิดค้นเทคนิคนี้ ทางทีมงานใช้ความสามารถของระบบ Network Intrusion Detection มาช่วยขึ้น ซึ่งเป็นวิธีที่มีผลกระทบต่อระบบเครือข่ายน้อย และ มีความสะดวกต่อการติดตั้งเป็นอย่างมาก ซึ่งเป็นการเพิ่มประสิทธิภาพการเฝ้าระวังภัยคุกคามระบบ File Server หลังจากการทดสอบแล้วในห้อง LAB ของบริษัทโกลบอลเทคโนโลยี ฯ ผลที่ได้รับประสบความสำเร็จและตรวจจับได้ผลเป็นอย่างดี โดยเทคนิคนี้ สามารถทำได้จากอุปกรณ์ SRAN Security Center ทุกรุ่นที่เป็น Version Adventure ปี 2008 ขึ้นไป ที่ประกอบด้วย SR-SE , SR-ME , SR-L , SR-L Hybrid และ SR-X series สามารถใช้งานได้ปกติ หลังจากการ update signature ล่าสุด

คุณสมบัติ : สามารถที่จะตรวจพฤติกรรมการใช้งานของ User ในองค์กรเพื่อใช้เฝ้าสังเกตการณ์การแชร์ File ในองค์กร เพื่อป้องกันปัญหาการขโมยข้อมูลที่สำคัญในองค์กรไปเผยแพร่และสามารถบันทึกการใช้งานเพื่อใช้เป็นเครื่องมือในการสืบหาหลักฐานที่ใช้งานต่อไป

ภาพตัวอย่างระบบ SRAN Security Center ในการเฝ้าระวังพฤติกรรมการใช้งานที่มีผลต่อ Files Server

1. รูปแบบการเฝ้าระวัง File Server

ซึ่งทางทีม SRAN พัฒนา (SRAN Dev) ได้คิดค้นเขียน Signature ใหม่ที่เพิ่มขึ้นเพื่อใช้ในการเฝ้าระวังการใช้งานแชร์ files ภายในองค์กร ประกอบด้วย

1.1 NetBIOS Traffic [ Authenticate require] : จะแสดงขึ้นเมื่อมีการถาม user กับ password ก่อนเข้าใช้งานเครื่องแชร์ไฟล์ (File Server)  : Screenshot 1

1.2 NetBIOS Traffic [Create Directory] : แสดงถึงการสร้างโฟลเดอร์ขึ้นมาในเครื่องที่ใช้แชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของโฟลเดอร์ที่ถูกสร้างขึ้นมา : Screenshot 2

1.3 NetBIOS Traffic [Delete Directory] : แสดงถึงการลบโฟลเดอร์ที่มีอยู่เครื่องที่ใช้แชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของโฟลเดอร์ที่ถูกลบออกไป : Screenshot 3

1.4 NetBIOS Traffic [Delete File] : แสดงถึงการลบไฟล์ที่มีอยู่ในเครื่องที่ใช้แชร์ไฟล์ (File Server) ซึ่งจะมีการแสดงชื่อของไฟล์ที่ถูกลบออกไป : Screenshot 4

1.5 NetBIOS Traffic [New File] : แสดงถึงการ Upload โฟลเดอร์เข้าในเครื่องที่ใช้แชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของโฟลเดอร์ที่ถูก Upload เข้ามา : Screenshot 5

1.6 NetBIOS Traffic [Open File/Folder] : แสดงถึงการเปิดไฟล์ / โฟลเดอร์ที่ใช้งานในเครื่องแชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของไฟล์ / โฟลเดอร์ที่ใช้งาน : Screenshot 6

1.7 NetBIOS Traffic [Open Main Directory] : แสดงถึงการเข้ามาใช้งานในเครื่องที่ใช้แชร์ไฟล์ (File Server) : Screenshot 7

1.8 NetBIOS Traffic [Rename] : แสดงถึงเปลี่ยนชื่อไฟล์ / โฟลเดอร์ในเครื่องแชร์ไฟล์ (File Server) โดยจะมีการแสดงชื่อของไฟล์ / โฟลเดอร์ที่ถูกเปลี่ยนชื่อ: Screenshot 8

2. วิธีการติดตั้ง เพื่อให้สามารถตรวจวิเคราะห์ข้อมูลการแชร์ Files

สามารถติดตั้งอุปกรณ์ SRAN Security Center ได้ 3 วิธี

2.1 การติดตั้งแบบ In-line  คือ ติดตั้งขวางระหว่างอุปกรณ์ Switch กับ เครื่อง File Server และเปิด Mode NIPS (Network Intrusion Prevention)

ซึ่งการติดตั้งแบบนี้สามารถป้องกันลักษณะการบุกรุกอื่นๆ ในระดับ Application Layer ได้อีกด้วย ได้แก่ ภัยคุกคามไวรัสคอมพิวเตอร์ และ หนอนคอมพิวเตอร์ การโจมตีเครื่อง Files Server  เป็นต้น

2.2 การติดตั้งแบบ Transparent  คือ ติดตั้งขวางระหว่างอุปกรณ์ Switch กับ เครื่อง File Server  แบบเปิด Mode Bride Firewall

ซึ่งการติดตั้งแบบนี้สามารถป้องกัน IP Address และค่า MAC Address เครื่องที่ไม่ต้องการให้เข้าถึง File Server ได้

2.3 การติดตั้งแบบ Passive  คือ ใช้การ Mirror Traffic โดยใช้ความสามารถของ Switch มาช่วย ซึ่งการติดตั้งแบบนี้หากติดตั้งที่จุดส่วนรวมหลัก (Core Switch) ก็จะทำให้ทราบถึงพฤติกรรมการใช้งานอื่นๆ ทั้งเครือข่ายองค์กร ได้เช่นกันรายละเอียดสามารถอ่านได้เพิ่มที่ http://www.sran.net/archives/182

และในไม่ช้าจะสร้าง Signature เพื่อให้ตรวจจับการแชร์ Files ในระบบปฏิบัติการ unix ต่อไป ในเร็ววันนี้ จึงเป็นการพิสูจน์ให้เห็นว่า SRAN เทคโนโลยี มีการพัฒนาการต่อเนื่อง เพื่อนำสิ่งที่ดีที่สุด และปลอดภัยที่สุดให้กับผู้ใช้งาน SRAN ได้ ดังคำขวัญที่ว่า

“ไอทีไทยคุ้มค่า ใช้ SRAN คุ้มครอง”

อ่านเพ่ิมเติมการตรวจจับลักษณะการแชร์ File ผ่าน FTP โดยใช้ SRAN ที่ http://www.sran.net/archives/category/normal-data/ftp

ความหมายของ NetBios สามารถอ่านเพิ่มเติมได้ที่

http://www.justusers.net/knowledges/netbios.htm

http://en.wikipedia.org/wiki/NetBIOS