SRAN Technology

มาดูกันชัดๆ ถึงนวัตกรรม SRAN Light ที่คิดค้นขึ้นโดยทีมงานคนไทย ที่สามารถตรวจจับโปรแกรมดักข้อมูลด้วยเจตนาไม่พึ่งประสงค์ได้ภายในเครือข่ายองค์กร ซึ่งเป็นภัยคุกคามอย่างหนึ่ง  อุปกรณ์ SRAN Light ออกแบบมา ช่วยลดค่าใช้จ่ายการนำเข้าเทคโนโลยีได้ โดยไม่ต้องใช้หลากหลายอุปกรณ์เพื่อใช้ในการระบุตัวแนวใหม่ ที่ผู้ใช้ไม่จำเป็นต้อง Login  , การเฝ้าระวังและป้องกันภัยคุกคาม และจัดเก็บข้อมูลตามตามกฏหมายกำหนด ซึ่งในหัวข้อนี้จะเป็นการสาธิต SRAN Light เมื่อติดตั้งภายในเครือข่ายองค์กร (Network) แล้วเฝ้าระวังภัยคุกคามชนิดที่เรียกว่าตรวจจับยากที่สุดวิธีหนึ่ง คือการดักข้อมูลภายในองค์กร ซึ่งปกติมักจะพบเพียงค่า MAC Address และไม่สามารถระบุได้ว่าเป็นใครที่ทำการดักข้อมูลด้วยเจตนาไม่พึ่งประสงค์  แต่ด้วยนวัตกรรมของ SRAN Light จะนำแสงสว่างให้ระบบเครือข่ายองค์กรนั้น ทราบถึงภัยคุกคามชนิดนี้ได้

หากมีพนักงานหรือผู้ใช้งานในองค์กรใช้เทคนิค  MITM (Man in The Middle) ซึ่งเทคนิคนี้เป็นการ Hacking แบบหนึ่ง ซึ่งจะได้ User /Password ผู้ใช้ในเครือข่ายองค์กรได้ทั้งที่การใช้งานมีการเข้ารหัส (Encryption) ซึ่งถือว่าเป็นเทคนิคที่ตรวจจับได้ลำบากมากในระบบเครือข่ายองค์กร

SRAN Light สามารถตรวจเจอผู้กระทำความผิดได้ และมากกว่านั้นยังสามารถระบุชื่อผู้ที่ทำการดักข้อมูลภายในองค์กร ลักษณะการกระทำ วันและเวลา รวมถึงการเก็บบันทึกแบบ (Data Hashing) เพื่อยืนยันการไม่เปลี่ยนแปลงข้อมูล เพื่อใช้ยืนยันในชั้นศาลได้อีกด้วย ซึ่งการดักข้อมูลภายในเครือข่ายองค์กร ที่แฝงเจตนาอันไม่เหมาะสม คือ ดักข้อมูล User/password ผู้อื่นโดยมิชอบนั้น ยังถือได้ว่าเป็นการกระทำที่ผิดกฏหมายคอมพิวเตอร์ และถือได้ว่าเป็น Insider Threat ที่มีแนวโน้มสูงขึ้นในยุคปัจจุบัน

อ่านเพิ่มเติมได้ที่บทความ จะรู้ได้อย่างไรว่ามีใครดักข้อมูลเราอยู่ ?

คุณสมบัติ SRAN Light  อ่านได้ที่ http://sran.org/q

สมัยนี้การดักข้อมูลบนเครือข่ายคอมพิวเตอร์เป็นวิธีการที่สามารถทำได้อย่างสะดวก เนื่องจากมีวิธีการสอนหลักการนี้ในอินเตอร์เน็ตและหนังสือเกี่ยวกับการสอน Hack ตามแผงร้านหนังสือทั่วไป  จึงทำให้มีคน download โปรแกรม sniffer เช่น Cain , Netcut หรืออื่นๆที่สามารถดักข้อมูลพนักงานในองค์กร รวมถึงเจ้านายที่ทำงานได้

ดังนั้นจึงเกิดคำถามว่า เราจะรู้ได้อย่างไรว่ามีใครกำลังใช้โปรแกรม Cain & Abel เพื่อดักข้อมูลของเราได้

หน้าจอโปรแกรม Cain ที่ใช้ในการดัก User : password ของคนที่อยู่ในเครือข่าย (Network) เดียวกัน ซึ่งเป็นเครื่องมือสำหรับนักเจาะระบบที่รู้จักกันดี (ภาพจาก techtarget.com)

จึงทำให้ทีมพัฒนา SRAN ได้เพิ่มคุณสมบัติการตรวจจับการดักข้อมูล (sniffer) ชนิด MITM (Man in the Middle) ได้ เนื่องจากวิธี MITM นี้จะทำให้สามารถดักข้อมูลได้ทั้งเข้ารหัส (Encryption) และไม่เข้ารหัส (plain text) อีกจึงเป็นเทคนิคการดักข้อมูลที่อันตราย และตรวจสอบได้ยากเนื่องจากการดักข้อมูลมักเกิดขึ้นใน Layer 2 ซึ่งทำให้เราไม่สามารถตรวจได้ว่าเป็น IP Address ต้นทาง และ IP Address ปลายทางได้เลย

ดังนั้น SRAN Light จึงได้ทำระบบ HBW (Human Behavioral Warning) เพื่อจับค่า MAC Address กับรายชื่อ User ในการระบุตัวตนได้หากมีการดักข้อมูลเกิดขึ้นในเครือข่ายองค์กร

ภาพหน้าจอ Monitor บน SRAN Light ซึ่งสามารถระบุชื่อพนักงานที่ทำการดักขั้อมูล (Sniffer) จากการใช้โปรแกรม Cain ได้ซึ่งจะทำให้ระบุได้ว่าใครทำอะไรที่ไหนเวลาใด ได้อย่างครบถ้วน

การตรวจหาการดักข้อมูลใน SRAN Light ใช้เทคนิค Unicast Detection ซึ่งอาศัยการมอง Protocol ARP
ที่ผิดปกติจากเครื่องต้นทางที่ทำการส่งข้อมูลมายังเครื่องปลายทาง ประเภท Unicast Traffic ในขณะที่ไม่มีการร้องขอ
จากเครื่องปลายทางส่งไปยังเครื่องต้นทาง จากการ Patch core engine ใหม่ของ SRAN ให้สามารถตรวจจับความผิดปกติที่เกิดขึ้นใน Layer 2 ได้ และเชื่อมโยงฐานข้อมูล Inventory ที่ได้จาก HBW ทำให้เราระบุตัวบุคคลที่กระทำความผิดได้

การ Configuration เพื่อตรวจจับความผิดปกติจากการปลอมแปลงค่า MAC Address (Spoof MAC) ที่เป็น
เครื่อง Gateway หรือ Server ที่สำคัญ เพื่อใช้ในการเฝ้าระวังเป็นพิเศษได้

การดักข้อมูลหรือที่เรียกว่า sniffer เพื่อดักจับ User : password ของบุคคลอื่นหากทำด้วยเจตนาที่ไม่พึ่งประสงค์ โดยทำให้ผู้อื่นได้รับความเสียหายแล้วจะข่ายผิดมาตรา 8 ใน พระราชบัญญัติว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์อีกด้วย

รายละเอียด SRAN Light อ่านเพิ่มเติมได้ที่ http://sran.org/q

ข้อมูลภัยคุกคามตาม Layer ทั้ง 7 บน OSI 7 layer อ่านได้ที่ http://nontawattalk.blogspot.com/2009/08/layer-7.html