SRAN Technology

เก็บบันทึกข้อมูลจราจร หรือเรียกสั้นๆ ว่า เก็บ Log นั้น จะไม่มีประโยชน์หากผู้ทำการเก็บบันทึกข้อมูลจราจรนั้นไม่ได้สร้างการยืนยัน ว่า Log files นั้นทำการเปลี่ยนแปลงหรือแก้ไขได้ โดยปกติ การเก็บบันทึกข้อมูลจราจร ควรจะมีวิธีการตรวจถึงความถูกต้องของเนื้อ files เหตุการณ์ที่ได้บันทึกไว้ เมื่อเกิดปัญหา หรือมีการดำเนินคดี เราจะทราบได้อย่างไร ว่า Log ที่เก็บบันทึกนั้น ถูกต้องหรือไม่ หรือมีการแก้ไข จะผู้ดูแลระบบหรือไม่ หรืออาจจะมีบุคคลอื่นที่สามารถเข้าถึงระบบได้ทำการแก้ไขเนื้อหา files Log ที่เก็บบันทึก ตามหลัก Chain of event ในภาษาไทยเรียกว่า ห่วงโซ่ของเหตุการณ์ นั้นได้กล่าวว่า เหตุการณ์ที่ปรากฏจากที่หนึ่ง ย่อมมีผลต่อเหตุการณ์จากที่หนึ่ง กรณีศึกษา (Case Study) จากเหตุการณ์สมมุติ ที่ทำเกิดความเสียหาย หรือก่อกวน ทำลายระบบคอมพิวเตอร์

<18:30 21/03/51> มีผู้เสียผู้ให้บริการ Hosting A แจ้งว่ามีได้ถูกบุกรุกโดยการโจมตีชนิด DoS (Denial of Services) มาที่เว็บไซด์หนึ่งซึ่งเป็นลูกค้าของตน บน Hosting ที่ตนเองให้บริการอยู่ โดยการ DoS ครั้งนี้ ทำให้ระบบของตนเองล่ม ใช้งานไม่ได้ และทำให้ลูกค้าในเว็บของตนเองได้รับความเสียหาย ไม่สามารถติดต่องานได้ ลูกค้าที่ Hosting A จึงร้องเรียนตนมา เมื่อรับเรื่องจึงรีบดำเนินงานทันที โดยแจ้งไปที่เจ้าหน้าที่พนักงาน และ เจ้าหน้าที่ตำรวจ ในสน. ที่รับเรื่อง

ซึ่งเหตุการณ์นี้ ตรงตาม มาตรา10 ฐานความผิด การรบกวนข้อมูลคอมพิวเตอร์ จำคุก5 ปี ปรับไม่เกิน100,000 บาท หรือทั้งจำ/ปรับ

<19:50 21/03/51> เจ้าหน้าที่ชุดสืบสวนสอบสวน ขอข้อมูล Hosting A และขอข้อมูล Log ที่ Hosting A ได้เก็บบันทึกไว้ จากนั้นทำการขอข้อมูล Log ที่ทาง ISP ของ Hosting A ให้บริการอยู่ ได้รับความร่วมือจาก ISP ส่ง Log ข้อมูลของอุปกรณ์เครือข่ายSwitch ที่ Hosting A ติดตั้งอยู่ และได้ Log ของเครื่อง Hosting A ที่เป็นระบบ Windows Server เปิด Services IIS และWebDav ด้วย ซึ่ง Hosting A ให้เป็นชนิด Local Log คือ Log บนตัวเครื่องนั้นเอง <สามารถอ่านเทคนิคการเก็บ Log ได้ที่นี้>

<22:30 21/03/51> เจ้าหน้าที่ชุดสืบสวนสอบสวน ค้นพบว่าการบุกรุกครั้งนี้ เกิดมาจาก IP ของ บริษัท XXX ซึ่งเช่าอินเตอร์เน็ต โดยใช้ ISP YYY ลักษณะการให้บริการเป็น ADSL ที่ Fix IP หรือ IP จริงที่มีค่าคงที่

<8:30 22/03/51> เจ้าหน้าที่ชุดสืบสวนสอบสวน เข้าทำการขอข้อมูล กับบริษัท XXX โดยทำติดต่อประสานงานไปที่บริษัท และขอความร่วมมือบริษัท XXX ให้ส่ง Log ที่เก็บบันทึกไว้

<10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท XXX นัดประชุมทีม เพื่อส่งข้อมูลให้เจ้าหน้าที่พนักงาน ได้ข้อสรุปในที่ประชุมว่า จะส่ง Log จากอุปกรณ์ดังนี้ให้เจ้าหน้า คือ Log Router , Log Firewall และ Log Domain Controller

<11:30 22/03/51> พนักงานบริษัท XXX คนหนึ่งชื่อนาย HHH ที่อยู่ฝ่ายไอที ที่พึ่งอบรมหลักสูตร Hacking มา เมื่อทราบข่าว ขึ้นจึงทำการ Sniffer ข้อมูลในวงผู้ดูแลระบบเพื่อดูรหัสผ่านในแต่ละอุปกรณ์ และทำการ Remote จากเครื่องตนเอง โดยใช้โปรแกรมจาก Tools Hacking ที่ได้ศึกษามา ไปทำการแก้ไข Log โดยเข้าไปยึดระบบ Router บริษัท และ ระบบ Domain Controller ซึ่งเป็นระบบปฏิบัติการ Window 2003 server และทำการเปลี่ยนแปลงข้อมูลใน Log เพราะหากลบอาจพบว่ามีการ Access จากเครื่องของตนได้ จึงทำการเข้าระบบเครื่องเพื่อนร่วมงานและใช้เครื่องผู้ร่วมงานทำการแก้ไข Log

<12:30 22/03/51> นาย HHH รับประทานอาหารอย่างสบายใจ

<13:20 22/03/51> ผู้จัดการฝ่ายไอทีบริษัท ได้ส่ง Log Router , Log Firewall และ Log Domain Controller ให้เจ้าหน้าที่พนักงาน <14:07 22/03/51> เจ้าหน้าที่พนักงานโทรมาตำหนิ ผู้จัดการบริษัท XXX ว่าไม่ได้ทำ Centralized Log เพราะการส่ง Log แต่ละอุปกรณ์ทำให้เจ้าหน้าเกิดความลำบาก และผิดตามมาตรฐานการเก็บบันทึกข้อมูลจราจรที่กระทรวงประกาศไป ผ่านไปหลายอาทิตย์ เรื่องถึงชั้นศาล เนื่องจาก ลูกค้ารายหนึ่งของผู้ให้บริการ Hosting A เสียหายคิดเป็นจำนวนเงินที่ระบบเว็บไซด์ที่ฝากไว้ล่มไป เกือบ 5 ชั่วโมง ฟ้อง Hosting A เป็นเงิน 5 แสนบาท Hosting A ดิ้นรนทุกวิถีทาง ทั้งที่เก็บ Log ถูกต้อง ให้ความร่วมมือกับเจ้าหน้าที่พนักงาน แต่เมื่อเรื่องถึงชั้นศาล ศาลไม่รับฟ้องเนื่องจาก Log ได้รับจาก Hosting A และ ISP รวมถึงที่บริษัท XXX ส่งมาไม่สามารถยืนยันความถูกต้องได้ และเมื่อทำการวิเคราะห์จากห้องพิสูจน์หลักฐานทางอิเล็คทรอนิกส์ แล้วไม่มีผู้ใดเห็น Log จากบริษัท XXX ทำความเสียหายให้กับ Hosting A แม้แต่น้อย เจ้าหน้าที่ขยายผล โดยการนำ Log Router , Log Firewall และ Domain Controller มาเปรียบเทียบและพบว่า เกิดความไม่สอดคล้องกับเหตุการณ์ที่พบ และคิดว่าอาจมีใครทำการแก้ไขข้อมูล Log Hosting A ผู้ถูกฟ้อง จากลูกค้าที่เช่าเว็บ พนักงานไอที บริษัท XXX ที่เป็นคนโจมตีเว็บ ก็ลอยนวล เจ้าของบริษัท XXX ถูกตำหนิว่าไม่มีการเก็บบันทึกข้อมูลตามกฏหมายที่ระบุไว้ ตามหลักเกณฑ์การเก็บ Log เจ้าหน้าที่พนักงานเกิดความยากลำบากในการสืบสวนคดี และ ข้อมูลทั้งหมดไม่สามารถยืนยันในชั้นศาลได้ เรื่องนี้จึงจบไป โดย Hosting A ต้องยอมรับค่าเสียหายให้แก่ลูกค้า เหตุการณ์นี้จะไม่เกิด หากท่านเลือกใช้ SRAN Technology ซึ่งจะกล่าวในตอนต่อไป ถึงการนำ SRAN มาช่วย เฝ้าระวัง วิเคราะห์ผล และเก็บหลักฐานข้อมูลจราจร อย่างถูกวิธี พบกันตอนหน้าครับ

SRAN Dev (21/03/51)

เมื่อทำการเปลี่ยนแปลงเหตุการณ์ บริษัท XXX ได้จัดหาระบบเก็บบันทึกเหตุการณ์ โดยใช้ SRAN Security Center รุ่น SR L มาใช้ในองค์กร โดยผู้บริหารบริษัท XXX มีความตระหนักถึงการเก็บบันทึกข้อมูลจราจร และการเฝ้าระวังภัยคุกคาม ตลอดถึงต้องการทราบถึงลักษณะการใช้งานของ User ในองค์กร ที่เป็นลูกจ้าง ที่ตนเองต้องจ่ายเงินเดือนให้ จึงเลือกใช้ อุปกรณ์ SRAN และเป็นรุ่นที่เหมาะสมกับเครือข่ายขนาด เครื่องคอมพิวเตอร์ที่ออกอินเตอร์เน็ตได้ ไม่เกิน 400 เครื่อง คือรุ่น SR L

โดยผู้ดูแลระบบ ทำการติดตั้งอุปกรณ์ SRAN Security Center โดยทำการรับค่า Mirror Port จากอุปกรณ์ Core Switch ทำให้เห็นถึง Data Traffic ทั้งหมดของเครือข่ายคอมพิวเตอร์ บริษัท XXX

รูปการติดตั้งอุปกรณ์ SRAN

ย้อนกลับไปจากตอนที่แล้ว ในเวลา <10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท XXX นัดประชุมทีม เพื่อส่งข้อมูลให้เจ้าหน้าที่พนักงาน ได้ข้อสรุปในที่ประชุมว่า จะส่ง Log จากอุปกรณ์ดังนี้ให้เจ้าหน้า คือ Log Router , Log Firewall และ Log Domain Controller

ก็เปลี่ยนใหม่ เป็น ในเวลา <10:30 22/03/51> ผู้จัดการฝ่ายไอที ของบริษัท XXX นัดประชุมทีม เพื่อส่งข้อมูลให้เจ้าหน้าที่พนักงาน ได้ข้อสรุปในที่ประชุมว่า จะส่ง Log จากอุปกรณ์ดังนี้ให้เจ้าหน้า คือนำ Log จากอุปกรณ์ SRAN Security Center รุ่น SR L

เมื่อทำการเปิดเครื่อง https://xxxxxx ใส่ user/ password ตามนโยบายของบริษัท สำหรับผู้ดูแลระบบ 2 ท่านที่สามารถเข้าถึง SRAN ได้

เข้าเปิดหน้า Management เข้าสู่เมนู Data Archive

และทำการคลิกไปที่หน้า Data Hashing

<14:07 22/03/51> ผู้ดูแลระบบนำ Log จากบริษัท XXX โดยคลิกที่หน้าปฏิทินในอุปกรณ์ SRAN และนำ Log files พร้อมค่า MD5 (Data Hashing) ไปพร้อม

<15:00 22/03/51> พัฒ หนึ่งในผู้ดูแลระบบเครือข่ายบริษัท XXX ซึ่งได้ลาพักร้อนไปเที่ยวต่างจังหวัด เมื่อทราบข่าว จึง Remote ผ่านระบบ GPRS บนมือถือเพื่อเชื่อมต่อระบบ VPN เข้าสู่บริษัท XXX และทำการวิเคราะห์เหตุการณ์ผ่านช่องทาง (HTTPS) Web Application บนตัวอุปกรณ์ SRAN Security Center เมื่อทำการเข้าหน้า Login ในสิทธิที่พัฒมีแล้วคือระดับนักวิเคราะห์ (analysis) ก็ดูในหน้า Summary ทันที

(ดูวิธีการใช้งาน SRAN ผ่าน iPhone )

ซึ่งพัฒเองได้ผ่านการอบรมจากทีมงาน SRAN Dev ถึงวิธีการใช้งานอุปกรณ์ SRAN และวิธีการวิเคราะห์ตามห่วงโซ่ของเหตุการณ์ (Chain of Event)

Who ใคร : What ทำอะไร : Where ที่ไหน : When เมื่อไหร่ : Why อย่างไร

(more…)