SRAN Technology

เนื่องจากกฏหมายนี้ออกมามีเสียงวิจารณ์อยู่จำนวนมาก ถึงจะมากด้วยเสียงบ่นก็ต้องทำความเข้าใจว่า นี้เป็นมิติใหม่ของวงการไอซีทีประเทศไทย ที่จะก้าวไปอีกก้าวหนึ่ง จากเดิมเรามักจะแก้ปัญหาที่ปลายเหตุเสมอ ในกรณีที่มีผู้บุกรุกระบบไม่ว่าเป็นคนภายนอกองค์กร หรือคนในองค์กรเอง ที่เป็นอาชญากรทางคอมพิวเตอร์ ทั้งที่ทำด้วยเจตนา และด้วยความรู้เท่าไม่ถึงการณ์ (ติดเป็น Zombie) หลักฐานสำคัญสำหรับการสืบสวนสอบสวนคือ Log ในอดีตที่ยังไม่มีกฏหมายคงมีหลายหน่วยงานที่อาจไม่ให้ความสำคัญกับเรื่อง ระบบรักษาความมั่นคงปลอดภัยทางข้อมูลเลยก็ว่าได้ และเมื่อเกิดปัญหาก็มักจะสืบหาผู้กระทำความผิดจากทางโลก มากกว่าทางธรรม นั้นคือ ทางโลกใช้พฤติกรรมมนุษย์ (Hacker) ไม่ว่าเป็นรัก โลภ โกรธ หลง มาใช้ในการสืบหา ในทางธรรม คือเทคโนโลยี เช่นระบบดิจิตอลที่ไม่หลอกคนใช้งาน แสดงผลอย่างไรก็ว่าไปอย่างนั้น การที่จะหาผู้กระทำความผิดทางระบบคอมพิวเตอร์มาลงโทษเมื่อสมัยก่อนจึงเป็น เรื่องที่ยากและเป็นเรื่องไกลตัว จากสถิติการใช้งานอินเตอร์เน็ตที่สูงขึ้นในอัตราที่ก้าวกระโดดทุกปี ปรากฏว่ามีคดีฟ้องร้องกันในด้านระบบไอทีไม่น้อยกว่า 2 คดีในแต่ละเดือน และมีแนวโน้มที่สูงขึ้น จึงขออยากทำความเข้าใจให้มากขึ้นสำหรับผู้ที่ศึกษาหาข้อมูล พ.ร.บ. ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ นี้ขึ้นอีกครั้ง โดยจะเน้นไปที่เนื้อหาใจความสำคัญที่เป็นหัวใจของกฏหมายฉบับนี้

สาระสำคัญของกฏหมายว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ ที่ประกาศขึ้นนั้นคือ “ต้องการหาผู้กระทำความผิดมาลงโทษ”

หลาย คนไปสนใจว่าต้องเก็บ Log อย่างไรถึงจะตรงตาม พ.ร.บ ฉบับนี้ แต่หากเข้าใจความหมายและหัวใจของกฏหมายฉบับนี้แล้วจะเป็นประโยชน์อย่างยิ่ง สำหรับการเตรียมตัวในการรับมือกับการเปลี่ยนแปลงทั้งองค์ความรู้ และการปรับตัวในการใช้ระบบสารสนเทศให้มีความตระหนักถึงภัยอันตรายมากขึ้น และส่วนหนึ่งที่ต้องนำมาศึกษากันมากขึ้นนั้นคือ การสร้างจริยธรรมในการใช้คอมพิวเตอร์ (Computer / Internet Ethics) จริยธรรมจะมีความสัมพันธ์พื้นฐานระหว่างมนุษย์ที่ต้องใช้หลัก “เอาใจเขามาใส่ใจเรา” หากเรามีสติและมีความตะหนักรู้ ก็ย่อมเกิดผลดีในโลกไซเบอร์นี้ได้

ดังนั้น Log files เป็นเพียงเครื่องมือหนึ่งที่ใช้ในการสืบสวนสอบสวน และใช้ในการประกอบคดีเพื่อหาผู้กระทำความผิดทางคอมพิวเตอร์

ปัญหา ส่วนใหญ่ที่มักเกิดความเสี่ยงภัยไม่ว่าเป็น การหมิ่นประมาท การก่อการร้าย การขโมยข้อมูล การปลอมแปลงข้อมูล การก่อกวนทำให้ผู้อื่นเสียหาย มักจะเกิดจากการใช้งานอินเตอร์เน็ต หนีไม่พ้น Application Protocol ดังต่อไปนี้ คือ Web (HTTP, HTTPS) , Mail (SMTP , POP3 , IMAP อื่นๆ) , Chat (MSN , Yahoo , ICQ , IRC อื่นๆ) , VoIP , การ Upload / Download ที่อาจมีละเมิดทรัพย์สินทางปัญญา โดยใช้การใช้โปรแกรมพวก P2P , การ Remote Access ทั้งจากภายในองค์กร สู่ภายนอก และ ภายนอกองค์กร เข้าสู่ระบบภายใน เป็นต้น ล้วนมีความเสี่ยงหากใช้ด้วยพฤติกรรมที่ไม่เหมาะสมและขาดจริยธรรม ซึ่งอาจทำให้เกิดเป็นคดี ตามมาตรา 5 - 16 ได้เช่นกัน

โดยความเสี่ยงภัยดังกล่าวสามารถมองได้ 2 มุม คือ

1. มุมภายในองค์กร ความหมายขององค์กรนี้คือ บริษัท , สถาบันการศึกษา , โรงแรม , โรงพยาบาล , ร้านอินเตอร์เน็ตคาเฟ่ อื่นๆที่มีการเชื่อมต่ออินเตอร์เน็ตหรือเชื่อมข้อมูลสู่ภายนอกองค์กร (Extranet) ส่วน ต้องมีการเก็บบันทึกข้อมูลจราจร (Log) ส่วนสถานที่ให้บริการเครือข่ายไร้สาย (อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/169) เช่น ร้านกาแฟ, อาพาท์เม้น อื่นๆที่เป็นสาธารณะที่สามารถใช้ระบบอินเตอร์เน็ตเชื่อมต่อข้อมูลได้ จำเป็นต้องเก็บบันทึกข้อมูลจราจร หรือที่เรียกว่า Log เพื่อเป็นประโยชน์ในการสืบหาผู้กระทำความผิด เมื่อมีการฟ้องร้องขึ้นมาจะได้หาผู้กระทำความผิดได้อย่างสะดวกมากขึ้น

2. มุมระดับเครื่องคอมพิวเตอร์ ที่ให้บริการ เช่น ผู้ให้บริการเว็บไซด์ทั้งที่เป็น Hosting และ Webmaster ที่มี Domain (www.xyz.com ดูบริการเก็บ Log เฉพาะเว็บไซด์ที่ SafeHouse Services) หรือมี Domain ใช้ในการรับส่งข้อมูล (FTP, Storage Server) หรือให้บริการสนทนาออนไลท์ (Chat Server เช่น IRC Server เป็นต้น) , ผู้ให้บริการ Mail Server , VoIP Server หรือให้บริการอินเตอร์เน็ต ISP ก็ควรต้องมีการเก็บบันทึกข้อมูลผู้ใช้งาน เพราะผู้ใช้บริการอาจสร้างความเสี่ยงให้เกิดคดีตามมาตรา 5 -16 ได้ ไม่ว่าผู้ใช้บริการเว็บ เว็บบอร์ด ผู้ใช้บริการ ISP ที่มี Account จากการเสียค่าบริการอินเตอร์เน็ต อาจใช้อินเตอร์เน็ตหมุนเบอร์โทรศัพท์ใช้ในทางที่ไม่เหมาะสม

ทั้ง 2 ข้อนี้พบว่าส่วนใหญ่แล้วผู้ที่มีความเสี่ยงภัยที่ก่อเหตุการอันไม่พึ่งประสงค์ ล้วนแล้วแต่เป็น ผู้ใช้งาน (User)

ใน มุมที่หนึ่ง : หน่วยงานที่ยังขาดโครงสร้างพื้นฐาน (ICT Infrastructure) เป็นเรื่องยากที่จะควบตุมการใช้งาน User ในองค์กรได้ หากยังไม่สามารถควบคุมการใช้งาน User ได้แล้วความเสี่ยงภัยย่อมเกิดขึ้นอย่างแน่นอน หากไม่มีการควบคุมการใช้งาน User นั้นคือ ขาดการควบคุมการใช้งาน User สำหรับใช้อินเตอร์เน็ต และขาดการควบคุมการใช้งาน User ที่ใช้ระบบไอซีทีภายในองค์กร เช่น การแชร์เอกสารไฟล์ , ขาดระบบระบุตัวตน (A=Authentication A=Authorization A=Accounting A=Auditing) , ขาดการมีสิทธิที่จะลงซอฟต์แวร์ในเครื่อง หรือการมีสิทธิในการรีโมตเข้าเครื่องสำคัญๆโดยปราศจากการเก็บบันทึก เช่น การ Telnet , Remote Desktop , FTP , VNC , VPN เป็นต้น

การควบคุม User ในการใช้งานอินเตอร์เน็ตไม่ใช่เรื่องยาก สามารถทำได้หลายวิธี แต่การควบคุม User การใช้งานภายในองค์กรเป็นเรื่องที่ยากและต้องใช้วิธีการออกแบบระบบจากผู้ เชี่ยวชาญและมีประสบการณ์

จึงกล้าพูดอย่างชนิดว่าเป็นความจริงว่าน้อยนักที่หน่วยงานในบ้านเราจะมีความพร้อมทางโครงสร้างพื้นฐาน ICT Infrastructure

ความ หมายของโครงสร้างพื้นฐาน (ICT Infrastructure) นั้นคือ ต้องมีเทคโนโลยีที่เหมาะสม ต้องมีคนดูแลเทคโนโลยีให้เหมาะสม และมีนโยบายที่เหมาะสมในการจัดระเบียบการทำงานให้มีความเป็นมาตราฐาน และควบคุมคนเพื่อให้คนควบคุมเทคโนโลยีได้อย่างสอดคล้องกัน

ดังนั้น จากการวิจัยและพัฒนากว่า 4 ปีพบว่าหน่วยงานส่วนใหญ่ในประเทศไทย ยังขาดเรื่องโครงสร้างพื้นฐาน (ICT Infrastructure) ดังนั้นเพื่อเป็นการอำนวยความสะดวกจึงได้จัดทำอุปกรณ์ที่ชื่อว่า SRAN Security Center เราจะช่วยลดปัญหานั้นได้คือเราไม่จำเป็นต้องนำ Log จากทุกเครื่องคอมพิวเตอร์มาประมวลผลที่ศูนย์กลางเป็นเก็บเป็นหลักฐาน ซึ่งในความเป็นจริงแล้วเป็นเรื่องที่ยากมากในการติดตั้งให้ครบและมีค่าใช้ จ่ายสูงมาก แต่เราใช้เทคนิคทั้ง 4 ส่วนคือ Network Analysis , Network IDS/IPS , VA/VM และ Syslog เฉพาะเครื่องแม่ข่ายที่สำคัญ รวมถึงเทคนิคการ Correlation คือการจับเปรียบเทียบเหตุการณ์ให้โยงความสัมพันธ์จากพฤติกรรมการใช้งานและ ภัยคุกคามที่พบ นำมาเรียบเรียงเพื่อให้เข้าใจง่าย ตามแบบอย่าง Chain of Event นั้นคือห่วงโซ่ของเหตุการณ์ ที่พูดถึง ใคร (Who) , ทำอะไร (What) , ที่ไหน (Where) , เมื่อไหร่ (When) , อย่างไร (How/Why) ซึ่งถือว่าเทคนิคนี้จะช่วยลดปัญหาความซับซ้อนทางด้านเทคโนโลยีไปได้สูงมาก และเป็นสูตรลัดในการจัดหาอุปกรณ์ด้านระบบรักษาความมั่นคงปลอดภัยเพื่อใช้ เป็นตัวสอดส่องภัยคุกคามและเก็บบันทึกข้อมูลจราจร ที่เกิดขึ้นในองค์กรที่ยังขาดโครงสร้างพื้นฐานเป็นอย่างมาก

ใน ต้นปีที่ผ่านมาเราได้นำนวัตกรรมนี้ไปโชว์ที่งาน CeBIT ประเทศเยอรมัน จนได้รับความชื่นชมในส่วนผสมผสานเทคโนโลยีได้อย่างลงตัวและกระชับในด้าน ผลลัพธ์ที่ปรากฏ ที่เรียกว่า ระบบ Hybrid Log Recorder และนี้เป็นมิติใหม่การประยุกต์เทคโนโลยี SRAN จึงถือได้ว่าสร้างมาเพื่อค้นหาผู้กระทำความผิดทางอาชญากรรมคอมพิวเตอร์ได้ เรียบง่ายและสมดุลที่สุด “Simple is the Best”

หากกล้องวงจรปิด (CCTV) คืออุปกรณ์ที่คอยเก็บบันทึกข้อมูลทางกายภาพ ที่จำเป็นต้องติดทุกสถานที่ ที่มีการเฝ้าระวัง

SRAN ก็คือ กล้องวงจรปิด (CCTV) ทางด้านไอซีที ที่ต้องติดทุกสถานที่ ที่มีการใช้ระบบสารสนเทศ เพื่อเฝ้าระวังภัยและเก็บบันทึกเหตุการณ์ที่มีประโยชน์ต่อการสืบสวนสอบสวนหาผู้กระทำความผิด เพราะหากมีการใช้งานระบบไอทีก็ย่อมมีภัยคุกคามที่อาจจะเกิดขึ้นได้ทุกเมื่อ ดังนั้นเราควรเฝ้าระวังภัยและพร้อมเก็บบันทึกข้อมูลเพื่ออันเป็นประโยชน์ต่อเจ้าหน้าที่พนักงาน

อ่านเพิ่มเติมได้ที่

http://www.sran.net/archives/163 จุดเด่นของอุปกรณ์ SRAN Security Center

http://www.sran.net/archives/167 “SRAN ช่วยลดปัญหาโลกร้อนได้”

ใบรับรองคุณภาพอุปกรณ์ SRAN http://www.sran.net/archives/165

คดีแรก พ.ร.บ คอมพิวเตอร์ฯ ที่เป็นทางการนำ Log filesจาก SRAN ในการจับคดีอาชญากรรมข้ามชาติ http://www.sran.net/archives/161

SRAN เป็นมากกว่าอุปกรณ์เก็บ Log http://www.sran.net/archives/137

คัดลอกเนื้อหามาจาก http://nontawattalk.blogspot.com/2008/08/blog-post.html

หลังจากที่มีการกำหนดเวลามาตราฐานในประเทศไทยเกิดขึ้น ในวันที่ 23 สิงหาคม 2551 นี้ ส่วนหนึ่งที่สำคัญคือ จากที่ประกาศใช้ พ.ร.บ. อาชญากรรมคอมพิวเตอร์ ต้องการให้เวลาในค่า Log files ได้มีค่าที่ตรงกัน

เพื่อสร้างความเข้าใจ ทีมงาน SRAN จึงขออธิบายถึงค่าเวลาในการเก็บ Log files จากประสบการณ์จริงที่เคยร่วมงาน ปัญหาส่วนหนึ่งคือเวลา Log ในแต่ละอุปกรณ์มีค่าไม่ตรงกันจึงไม่สามารถหาพฤติกรรมการกระทำความผิดได้ ซึ่งครั้งหนึ่งที่เคยประสบมาคือ Log ของอปุกรณ์ Radius Server มีค่าไม่ตรงกับ Log Proxy Caching และไม่ตรงกับ Log อุปกรณ์ Router ทำให้เป็นเรื่องลำบากในการเปรียบเทียบเหตุการณ์เนื่องจากนักโจมตีระบบ (Hacker) ได้ยึดรายชื่อ Accounting ในการเชื่อมต่ออินเตอร์เน็ตจากเครื่อง Radius Server และใช้ Account นั้นไป Post ข้อความและทำการเปลี่ยนหน้าเว็บ ซึงหากเวลาตรงแล้วเราเพียงจับเหตุการณ์จาก Web Proxy Caching และ Log ในการ Login ผ่าน Radius Server ก็จะทราบเบอร์โทรศัพท์ที่ Hacker ใช้ในการกระทำผิดได้ หลังจากเหตุการณ์นี้จึงมีผลให้เป็นกรณีศึกษาสำคัญชิ้นหนึ่งในประเทศไทยและทางผู้เชี่ยวชาญหลายคนได้มีความเห็นว่าควรมีการตั้งเวลาให้ตรงกัน เพื่อใช้ในการสืบหาหลักฐานจาก Log ได้ถูกต้องขึ้น

วิธีการปรับเทียบเวลามาตรฐานทาง Internet ผ่านระบบ NTP
(Time Synchronization through Internet by NTP)

การปรับเทียบเวลามาตรฐานทาง Internet ผ่านระบบ Network Time Protocol ( NTP) คืออะไร
NTP Protocol เป็น Protocol ที่ใช้สำหรับปรับเทียบเวลา ( Time Synchronization) ของ Computer โดยอาศัยเครือข่าย Internet เป็นสื่อกลางในการส่งข้อมูลเวลามาตรฐานไปยังเครื่องลูกข่าย โดยมีเครื่องแม่ข่าย ( NTP Server) เป็นตัวให้บริการส่งเวลามาตรฐานไปยังเครื่องปลายทางเพื่อปรับเทียบเวลาให้ ตรงกลับเวลามาตรฐาน ( Time Standard) ซึ่งเป็นค่าเวลาที่ทาง Time & Frequency Lab. ได้ทำการเก็บรักษาไว้โดยวิธีการเปรียบเทียบกับเวลามาตรฐานของประเทศอื่นๆ ซึ่งเป็นที่ยอมรับในระดับนานาชาติ โดยมีความถูกต้องอยู่ที่ ประมาณ 1 millisecond ในระบบ LAN และประมาณ 10 millisecond ในระบบ WAN นับว่าเป็นความคลาดเคลื่อนที่อยู่ในระดับต่ำ อีกทั้งยังง่ายต่อการเข้าถึงของผู้ใช้ทั่วไป แค่เพียงมี PC ที่สามารถเชื่อมต่อ เข้าระบบ Internet ได้ผู้ใช้ก็สามารถที่จะ Synchronize เวลามาตรฐานผ่านระบบ NTP ได้ทันที (อ้างอิงจาก http://rru-comsci.blogspot.com/2008/08/blog-post_19.html )

คำถาม Log ที่เกิดขึ้นบนตัวอุปกรณ์ หรือในระดับ Host ไม่ว่าเป็นอุปกรณ์ทางเครือข่าย หรือ เครื่องคอมพิวเตอร์ จำเป็นต้อง Set Time Server หรือไม่ หากมีการทำ Centralize Log Server แล้ว ?

คำตอบ : หากเป็นหน่วยงานที่สามารถควบคุมการใช้งานผู้ใช้งานได้ (เครื่อง Client User) ได้ ก็สามารถ Deploy ค่า Time Server ให้ตรงกันหมดได้ ส่วนอุปกรณ์เครือข่ายต้องให้ทางบริษัทที่จำหน่ายมาตั้งค่า Time Server เสียใหม่ หากไม่ได้มีการตั้งค่า Time server ให้ตรงกับเวลาไทยแล้วจะมีปัญหากับการทำ Computer Forensics ในระดับ Host

แต่สำหรับหน่วยงานใดที่ยังไม่มีระบบควบคุมการใช้งาน User ก็สามารถตั้งค่าเวลาตรง Time Server สำหรับ Centralize Log Server ก็ทำได้โดยไม่ต้องไปตั้งค่าที่เครื่องลูกข่ายและอุปกรณ์เครือข่ายใหม่ ก็ได้ เช่นกัน แต่หากต้องการหลักฐานมากขึ้นในการพิสูจน์หาความผิดทางอาชญากรรมคอมพิวเตอร์ต้องเข้าไปดูที่เครื่องลูกข่าย (Client) หรือมีการบุกรุกระบบแม่ข่าย (Server) จำเป็นต้องทำ Computer Forensic ก็ต้อง Set Time Server ให้ตรงหมด

สรุป ถ้าหากไม่พร้อม ตั้งเพียง Log Server ให้ตรงค่า Time Server มาตราฐานก็พอ แต่หากหลักฐานนั้นไม่พอในกรณีที่ต้องทำ Computer Forensics จำเป็นต้องได้ค่า Log ที่นั้นมีเวลาตรงตามมาตราฐาน

อุปกรณ์ SRAN ได้ประกอบด้วยคุณสมบัติการเฝ้าระวัง วิเคราะห์ข้อมูล และเก็บบันทึกข้อมูลจราจร ก็ถือว่าเป็นการผสมผสานเทคโนโลยีเข้าด้วยกัน ซึ่งสามารถดู Log Files จากอุปกรณ์ SRAN ได้อย่างสะดวกมากขึ้น

ขั้นตอนการตั้งค่า Time Sync Server เพื่อให้เวลาเป็นมาตราฐาน บนอุปกรณ์ SRAN Security Center

1. บริหารจัดการผ่าน SSL ใส่ User / Password ที่ถูกกำหนดให้เป็นผู้ดูแลระบบและเก็บรักษาข้อมูล (Data Custody) อ่านเพิ่มเติมการตั้งค่า Data Custody ได้ที่ www.sran.net/archives/155

2. ไปที่เมนู Management

หน้าจอ Management ที่ประกอบด้วย Icon เมนูย่อย 9 เมนูที่ใช้ในการปรับแต่งค่าระบบ

3. ไปที่เมนูย่อย Time Set

ค่า NTP Server ตั้งไปที่ time1.nimt.or.th ซึ่งในปัจจุบัน Firmware ปัจจุบันได้ตั้งค่านี้เป็น Default

Log ที่ปรากฏบนอุปกรณ์ SRAN ก็จะตรงกับค่าเวลามาตราฐานไทย

แหล่งข้อมูล:

• สถาบันมาตรวิทยาแห่งชาติ (http://www.nimt.or.th/nimt/Service/index.php?menuName=time)
• กรมอุทกศาสตร์ กองทัพเรือ (http://www.navy.mi.th/hydro/time/)