Tor สวรรค์ของเหล่าอาชญากรรมออนไลน์

สงคราม Cyber นับวันยิ่งทวีความรุนแรง ประโยชน์ของอินเทอร์เน็ตก็ยังคงเป็นสิ่งที่แฮ็คเกอร์พยายามขวนขวายหาผลประโยชน์อยู่เสมอ แต่นับวันระบบตรวจจับการโจมตีและการพยายามจับตัวผู้กระทำผิดนั้นก็ก้าวหน้าขึ้นทุกวัน อีกทั้งการวิเคราะห์มัลแวร์ (Malware) ต่างๆก็สามารถทำได้ง่ายขึ้น แฮ็คเกอร์จึงหาวิธีหลบเลี่ยงการตรวจจับหรือการตามตัวแฮ็คเกอร์ด้วยการเข้ารหัสข้อมูล (encryption) ซึ่งนั่นก็คือการนำไปสู่โลกแห่งเครือข่ายเข้ารหัสที่ชื่อว่า Tor Network นั่นเอง

Tor คืออะไร

แรกเริ่ม Tor ถูกออกแบบ, ใช้งานเป็น Onion Routing Project รุ่นที่ 3 ของกองทัพเรือสหรัฐ โดย Onion Routing Program เป็นโปรเจคที่ค้นคว้าวิจัย, ออกแบบ, วิเคราะห์เครือข่ายแบบไร้ตัวตน(Anonymous Communication Systems) เจาะจงไปยังการใช้งานอินเตอร์เน็ตโดยมีคุณสมบัติสามารถป้องกันการวิเคราะห์ traffic และการดักฟังข้อมูล รวมถึงการโจมตีใดๆจากบุคคลภายนอก(เช่น internet router เป็นต้น)และบุคคลภายในด้วย(เช่น Onion Routing Server เป็นต้น) โดยการพัฒนางานวิจัยนี้ทำเพื่อป้องกันเครือข่ายการสื่อสารของรัฐบาลนั่นเอง แต่ในปัจจุบัน Tor ถูกใช้กันอย่างแพร่หลายทั้งจากคนทั่วไป นักข่าว ผู้ประท้วงและอื่นๆอีกมากมาย

Tor เป็นเครือข่ายสำหรับการทำ virtual tunnel ที่ทำให้คนทั่วไปมีความปลอดภัยและความเป็นส่วนตัวในการใช้งานอินเตอร์เน็ต นักพัฒนาโปรแกรมที่จะพัฒนาโปแกรมสำหรับการสื่อสารใดๆ (Network Communication) ไม่จำเป็นต้องเขียนโค้ดแต่อย่างใดก็สามารถเพิ่มความปลอดภัยในการสื่อสารให้กับโปรแกรมได้ เพียงแค่โปรแกรมนั้นสื่อสารผ่าน Tor Network เท่านั้น จริงๆแล้ว เครือข่ายแบบไร้ตัวตนนั้นถูกเรียกว่าเป็น Darknet ซึ่งมีหลายเครือข่ายด้วยกัน แต่นิยมใช้มากที่สุดคือ Tor Network ที่ใช้งานง่ายและสามารถทำงานได้อย่างหลากหลายนั่นเอง

รูปภาพตัวอย่าง Tor Client Program

Tor ทำงานอย่างไร

การทำงานของ Tor มีลักษณะการทำงานดังนี้

เครื่องของผู้ใช้งานติดต่อไปยัง Directory Server ด้วย program Tor client ของ Tor เพื่อร้องขอ list ของ Tor node ที่มีอยู่ใน network ปัจจุบัน ซึ่ง node และเส้นทาง(path) ที่ได้มานั้นจะเป็นการ random มาทั้งหมด ไม่มี pattern ใดๆทั้งสิ้น จึงไม่สามารถคาดเดา path ของการส่งรับข้อมูลระหว่างต้นทางและปลายทางได้รูปภาพการทำงานของ Tor #1
ผู้ใช้งานสร้างข้อความที่ถูกเข้ารหัสแล้วส่งไปยัง Tor node แรกของ path Onion Router ของ Tor node แรกจะทำการถอด layer ที่เข้ารหัสออก เพื่อดูว่า Tor node ที่ 2 คือที่ไหนจากนั้นจึงส่ง packet ต่อไปยัง Tor node ที่ 2 โดยใน Tor node ลำดับต่อๆไป ก็จะทำเหมือนกันไปเรื่อยๆจนกระทั่งถึงปลายทาง ทำให้ node ระหว่างกลางไม่สามารถทราบได้ว่าข้อความจริงๆที่ถูกส่งมาคืออะไรรูปภาพการทำงานของ Tor #2
สุดท้ายเมื่อเครื่องผู้ใช้งานต้องการเข้าเว็บไซด์อื่นๆ ก็จะต้องติดต่อผ่าน Tor Node และ path ใหม่ทั้งหมดอีกด้วย จึงไม่สามารถที่จะ track ค้นหากลับไปยังต้นทางได้เลยรูปภาพการทำงานของ Tor #3

Tor client มีทั้งบน Windows, Linux, Unix, Android, iOS เรียกได้ว่าสามารถทำงานได้ทุก platform เลย เพราะ Tor Client เป็น open source นี่เอง ทำให้มีการนำไปต่อยอดในหลายๆทาง ทั้งการนำไปใช้งานปกติ หรือนำ module ไปพัฒนาเป็นส่วนหนึ่งของเครื่องมือตนเองก็ตาม รวมถึงเราสามารถสร้าง server ที่สามารถเข้าได้เฉพาะผู้ใช้งาน Tor Network ได้อีกด้วย โดย Server เหล่านั้นจะมี domain name ลงท้ายด้วย .onion นั่นเอง

เว็บไซด์ภายใน Tor Network

เว็บไซด์ที่อยู่ภายใน Tor Network นั้นถูกเรียกว่า “Deep Web” โดยจากที่กล่าวไปแล้วว่าเว็บไซด์เหล่านั้นจำเป็นต้องเข้าจาก Tor Network เท่านั้น โดยจากงานวิจัยพบว่า Deep Web นั้นมีจำนวนมากกว่าเว็บไซด์ต่างๆที่สามารถเข้าถึงได้จากอินเตอร์เน็ตหรือ search engine อย่าง Google ถึง 500เท่าเลยทีเดียว

รูปภาพแสดงถึงจำนวนของเว็บไซด์เปรียบเทียบระหว่าง Surface Web และ Deep Web

รูปภาพวิธีการเข้าถึงเว็บไซด์แบบ Surface Web และ Deep Web

เว็บไซด์ที่ให้บริการใน Deep Web นั้นมักจะเป็นเว็บไซด์จำพวก การทหาร, ตำรวจ, หน่วยงานราชการลับต่างๆ เป็นต้น แต่ก็ยังคงมีเว็บไซด์ที่เกี่ยวกับการกระทำผิดกฎหมายมากมายเช่นกัน เช่น ค้าขายอาวุธ , ค้าขายไวรัส, ค้าขายประเวณี, ค้าขายข้อมูลลับ เป็นต้น โดยที่มาของการเกิด Deep Web อย่างต่อเนื่องในช่วง 2-3 ปีหลัง เกิดจากการเปิดเผยของนาย Edward Snowden และ Julian Assange ในเรื่องการดักฟังข้อมูลและการเข้าถึงข้อมูลลับในรูปแบบต่างๆของ NSA (National Security Agency) ส่งผลให้ผู้คนเริ่มตื่นตัวในการรักษาความเป็นส่วนตัวของแต่ละบุคคลมากขึ้นนั่นเอง

ทำไมแฮ็คเกอร์หรือผู้กระทำผิดกฎหมายต่างๆถึงใช้ Tor แต่ยังถูกจับ

ในช่วงปี 2010 เป็นต้นมา เราจะเห็นกลุ่มคนมากมายที่มีการประท้วงรัฐบาลหรือหน่วยงานต่างๆด้วยการแก้ไขหน้าเว็บเพจ (defacement) ของเว็บไซด์ต่างๆ เช่น กลุ่ม Anonymous, LuszSec เป็นต้น โดยกลุ่มเหล่านั้นมักจะคุยและสื่อสารกันระหว่าง IRC Channel ซึ่งเป็นช่องทางสื่อสารเฉพาะก่อนที่จะนำไปสู่การพยายามโจมตีเว็บไซด์ต่างๆ การจะใช้งานช่องทางนั้นแบบที่ไม่สามารถค้นหาต้นทางได้ จำเป็นต้องมีการใช้งาน Proxy ที่รองรับการทำงานแบบ SOCKS5 ซึ่งแต่ก่อนมีตัวเลือกไม่มากนัก โดยหนึ่งในตัวที่รองรับการทำงานความสามารถทั้งหมดที่กลุ่มประท้วงต้องการก็คือ Tor Network นั่นเอง จากที่กล่าวมาทั้งหมดทำให้ Tor Network จึงเป็นตัวเลือกอันดับต้นๆที่กลุ่มประท้วงหรือแฮ็คเกอร์เลือกใช้

แต่ Tor Network ก็ใช่ว่าจะไม่สามารถค้นหา IP จริงๆ ได้เสมอไป FBI ทราบดีว่าแฮ็คเกอร์ส่วนใหญ่นั้นใช้งาน Tor Network จึงได้ค้นหาวิธีต่างๆในการหาผู้กระทำผิดเหล่านั้นจากการเข้าไปสืบหาข้อมูลจากภายใน server ต่างๆที่อยู่ใน Tor Network ไม่ว่าจะเป็นการสร้าง Virus ที่แพร่กระจายผ่าน Tormail ซึ่งเป็นบริการเมล์ภายใน Tor Network รวมถึงการหลอกให้แฮ็คเกอร์เข้าถึงเว็บไซด์ภายใน Tor Network ที่ฝัง exploit ไว้ เพื่อจะนำไปสู่การค้นหา IP จริงของแฮ็คเกอร์ที่เป็นเป้าหมายเหล่านั้นได้ด้วยเช่นกัน

รูปภาพข่าวการจับตัว Web Hosting ที่ผิดกฎหมายด้วยการยึด TorMail โดย FBI

รูปภาพข่าวการฝัง exploit ไว้ใน Tor Web Server เพื่อจับเจ้าของเว็บไซด์ภายใน Tor Network ที่ชื่อว่า Silk Rose ที่มีการขายยาเสพติดต่างๆโดย FBI

Malware ที่ใช้ Tor Network

อย่างที่กล่าวไปข้างต้นว่า Tor Client นั้นเป็น Open Source ที่เปิดเผย source code ของโปรแกรม ทำให้มีนักพัฒนาโปรแกรมมากมายนำ source code เหล่านั้นมาใส่ในเครื่องมือของตน ไม่เว้นแม้กระทั่งผู้พัฒนา Malware โดยในปัจจุบันมี Malware จำนวนมากที่ทำงานผ่าน Tor Network เช่น Zeus, ChewBacca , Cythosia เป็นต้น

รูปภาพ source code ของ Botnet ที่มีการเชื่อมต่อกับเครื่อง Command & Control(C&C) Server ที่ตั้งอยู่ใน Tor Network

รูปภาพตัวอย่าง traffic ของ Sefnit Botnet ทิ่ติดต่อกับ C&C server ที่อยู่ใน Tor Network

การใช้งาน Tor Network ของ Malware เหล่านั้นทำให้ได้ความสามารถการไร้ตัวตนของ Tor Network ไปด้วย ส่งผลให้ระบบตรวจจับต่างๆสามารถทำงานได้ยากยิ่งขึ้น Malware ที่มีความสามารถนั้นจึงได้รับความนิยมมากขึ้นเรื่อยๆ โดยผู้พัฒนา Malware เหล่านั้นมักจะนำ Malware ไปขายในเว็บไซด์ที่เข้าถึงได้ยากอย่างตลาด malware และ forum ใต้ดินต่างๆ โดยเว็บไซด์เหล่านี้จำเป็นต้องมีการเชิญหรือผ่านการตรวจสอบข้อมูลก่อนเท่านั้นจึงจะสามารถเข้าถึงได้ อีกทั้งในเว็บไซด์เหล่านั้นมีการทำการตลาดแบบครบวงจร ทั้งขายเป็นแบบ service, การให้คะแนนผู้ขายผู้ซื้อ, การใช้งานที่ง่าย, การการันตีการให้บริการของ service, การวางเงินมัดจำก่อนซื้อขาย เป็นต้น ซึ่งสิ่งเหล่านั้นทำให้แหล่งซื้อขาย malware เหล่านั้นเปรียบเสมือนเป็น ebay ขนาดเล็กสำหรับการขาย malware โดยเฉพาะก็ไม่ปราณ นั่นคือเหตุผลว่าทำไมการพัฒนา Malware ต่างๆจึงมีการพัฒนาอย่างต่อเนื่องตลอด 10 ปีที่ผ่านมา

รูปภาพตัวอย่างการขาย SpyEye toolkit

ในเว็บไซด์เหล่านั้นทำให้ไม่เพียงแต่มีการขาย malware เท่านั้น ยังมีการนำหมายเลขบัตรเครดิตมาขายอีกด้วย

รูปภาพการขายหมายเลขบัตรเครดิต

ไม่เพียงแต่จะนำหมายเลขบัตรเครดิตมาขายเท่านั้น ยังมีการนำเครื่องมือสำหรับทำการโจมกรรมข้อมูลต่างๆเช่น เครื่องมือการติดตั้ง Skimmer ตามตู้ ATM ต่างๆ, เครื่องมืออานข้อมูลจากบัตรเครดิต เป็นต้น มาขายด้วยเช่นกัน

รูปภาพการขายเครื่องมือโจรกรรมข้อมูลบัตรเครดิตต่างๆ

ระวัง Tor Malware

ด้วยความนิยมของ Tor Network ทำให้มีการสร้าง Malware ที่ปลอมเป็น Tor Client ขึ้นมามากมาย ไม่ว่าจะเป็น Platform Windows, Linux หรือแม้กระทั่ง Mobile OS อย่าง Android, iOS ก็ตาม โดยตัวอย่างของ iOS จะใช้ชื่อป็น Fake Tor Network Application เคยถูกค้นพบภายใน Apple Store เลยทีเดียว แต่เมื่อมีผู้เชี่ยวชาญตรวจพบก็ได้แจ้งไปทาง Apple และได้นำ Application ดังกล่าวออกจากระบบทันที โดยจริงๆแล้วเราสามารถ download Tor Client ที่เป็นแบบ Official release ได้จากเว็บไซด์ Tor (www.

Privoxy Proxy Authentication Information Disclosure Vulnerabilities

Privoxy มีช่องโหว่ information-disclosure
ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลสำคัญของผู้ใช้งานได้ ซึ่งอาจส่งผลให้เกิดการโจมตีอื่นๆจามมา
Privoxy 3.0.20 มีผลกระทบ และเวอร์ชั่นอื่นอาจมีผลกระทบด้วย

ที่มา : securityfocus

How necessary of choosing WAF solution

หากเว็บไซต์จำเป็นกับองค์กรคุณ Web Application Firewall
ก็สำคัญกับองค์กรคุณเช่นกันคุณคงไม่อยากให้เว็บไซต์ขององค์กรคุณเสียชื่อเสียง จากการโดนแฮ็คเว็บไซต์  รวมทั้งกลายเป็นแหล่งกระจายไวรัสอย่างไม่รู้ตัว  ปัจจุบันหลายองค์กรหันมาให้ความสำคัญในการทำธุรกิจออนไลน์บนเว็บไซต์ผ่านเว็บแอพพิเคชันมากขึ้น เนื่องจากผู้ใช้งานสามารถเชื่อมต่ออินเตอร์เน็ตได้ทุกที่ ทุกเวลา ดังนั้นการเข้าถึงบริการต่างๆ ก็สามารถทำได้สะดวกรวดเร็ว  เช่น การสั่งซื้อสิ้นค้า การทำธุรกรรมทางการเงิน ผ่านเว็บไซต์ เป็นต้น  แม้ว่าการให้บริการออนไลน์จะมาพร้อมความสะดวกรวดเร็วแต่ในขณะเดียวกันภัยคุกคามที่เกิดขึ้นบนโลกอินเตอร์เน็ตมีให้เห็นอยู่บ่อยครั้ง  จากเหตุการณ์ที่ธนาคารถูกโจรกรรมก็เพราะเป็นที่รับ-ฝากเงินจำนวนมาก จึงเสมือนกับข้อมูลสำคัญบนเว็บเซิฟเวอร์ขององค์กร ซึ่งปัจจุบันหลายองค์กรเริ่มตระหนัก และหันมาให้ความสำคัญเรื่องการป้องกันการโจมตีผ่านการใช้งานผ่านเว็บแอพพลิเคชันบนเว็บไซต์ จะเห็นได้จากการพัฒนาเว็บแอพพลิเคชันให้มีความปลอดภัย และรูปแบบการเลือกใช้งานเว็บแอพพลิเคชันไฟร์วอลล์

แม้ว่าการเลือกใช้งานเว็บแอพพลิเคชันไฟร์วอลล์อาจเป็นทางเลือกที่ดีในการป้องกันเว็บเซิฟเวอร์จากภัยคุกคาม แต่ด้วยการบริหารจัดการ  ประสิทธิภาพ และราคา  ยังถือได้ว่าเป็นปัญหาสำหรับองค์กรในการตัดสินใจเลือกใช้งานอยู่ไม่มากก็น้อย  จริงอยู่ที่การใช้งานเว็บแอพพลิเคชันไฟร์วอลล์สามารถป้องกันการโจมตีเว็บเซิฟเวอร์ได้  แต่สามารถป้องกันได้เพียงร้อยละ 90 สำหรับในส่วนที่เหลือนั้นองค์กรจำเป็นจะต้องมีผู้เชี่ยวชาญในเรื่องการปรับแต่งค่า และนโยบายความปลอดภัยเพื่อลดความผิดพลาดในการป้องกันเว็บแอพพลิเคชันที่อาจจะเกิดขึ้น   ซึ่งส่งผลให้ผู้ใช้งานไม่สามารถให้บริการบนเว็บไซต์ได้ ทั้งนี้การใช้งานเว็บแอพพลิเคชันไฟร์วอลล์เพื่อการป้องกันการโจมตีอาจไม่ใช่คำตอบทั้งหมด โดยองค์กรจะต้องมีการเฝ้าระวังและตรวจสอบภัยคุกคามที่เกิดขึ้นกับเว็บไซต์ หรือเว็บแอพพลิเคชันอยู่อย่างสม่ำเสมอ  เพื่อให้ทราบถึงชนิดของภัยคุกคาม  รูปแบบการโจมตี ระดับความรุนแรง และวิธีการรับมือ หากเกิดความเสียหายในกรณีที่ถูกโจมตีได้อย่างทันท่วงที

สำหรับโซลูชันการเลือกใช้งานเว็บแอพพลิเคชันไฟร์วอลล์นั้นมีหลากหลายรูปแบบทั้งนี้ขึ้นอยู่กับโครงสร้างการติดตั้งเว็บเซิฟเวอร์   ประสิทธิภาพในการส่งผ่านข้อมูล และงบประมาณในการลงทุน   องค์กรส่วนใหญ่ในประเทศไทยนิยมที่จะลงทุนในการซื้อ ติดตั้ง และบริหารจัดการอุปกรณ์ทางคอมพิวเตอร์ด้วยตนเอง ดังนั้นหลายองค์กรจึงเลือกใช้งานเว็บแอพพลิเคชันไฟร์วอลล์ในลักษณะที่เป็นฮาร์ดแวร์ ซึ่งมีข้อดีคือ ได้อุปกรณ์มาติดตั้งในองค์กรตนเอง รวมถึงได้ประสิทธิภาพด้านระบบเครือข่ายที่ดี  และไม่กระทบต่อการใช้งานเว็บไซต์ที่มีการเข้าใช้งานเป็นจำนวนมาก

อย่างไรก็ดี  เว็บแอพพลิเคชันไฟร์วอลล์ไม่ได้มีแบบที่เป็นฮาร์ดแวร์เพียงอย่างเดียว บริษัท ยูไนเต็ด อินฟอร์เมชั่น ไฮเวย์ จำกัด (UIH) ร่วมกับ บริษัท เอซิส ไอ-ซีเคียว จํากัด  ได้ร่วมกันให้บริการด้านความปลอดภัยทางคอมพิวเตอร์ด้วยการนำเว็บแอพพลิเคชันไฟร์วอลล์มาให้บริการในรูปแบบ Cloud Computing  ที่มีลักษณะการแชร์ทรัพยากรของอุปกรณ์เว็บแอพพลิเคชันไฟร์วอลล์บน Cloud Computing  ให้มีการใช้งานรวมกันได้อย่างประหยัด และมีประสิทธิภาพ  ซึ่งระบบคลาวด์เว็บแอพพลิเคชันไฟร์วอลล์มีข้อดีคือ องค์กรที่เลือกใช้งานไม่จำเป็นต้องมีการติดตั้งซอฟต์แวร์ หรือฮาร์ดแวร์ใดๆ เพียงแค่องค์กรทำการเปลี่ยนหมายเลขไอพี DNS (Domain Name Service) มาเป็นหมายเลขไอพีของผู้ให้บริการ  เพียงเท่านี้ ก็สามารถใช้บริการคลาวด์เว็บแอพพลิเคชันไฟร์วอลล์ เพื่อการป้องกันเว็บเซิฟเวอร์ได้ทันที  ทั้งนี้การใช้งานคลาวด์เว็บแอพพลิเคชันไฟร์วอลล์ยังช่วยลดต้นทุนให้กับองค์กรในการสั่งซื้ออุปกรณ์ติดตั้ง การฝึกอบรมผู้ดูแลระบบ  และที่สำคัญมีบริการเฝ้าระวัง  แจ้งเตือน รวมทั้งผลการวิเคราะห์ภัยคุกคามต่อเว็บคลาวด์เว็บแอพพลิเคชันเป็นภาษาไทย  พร้อมแนวทางการแก้ไขจากผู้เชี่ยวชาญตลอด 24 ชั่วโมง

 

Why must WAF

ทำไมต้อง“Web Application Firewall”
ไม่ผิดนักหากจะบอกว่าในรอบ 10 ปีที่ผ่านมา เว็บไซต์คือสิ่งหนึ่งที่ทำให้มนุษย์เรานั้นใช้ชีวิตได้อย่างสะดวกสบายมากขึ้นสิ่งหนึ่ง เพราะไม่ว่าเราจะต้องการทำอะไรเว็บไซต์ก็สามารถที่จะตอบโจทย์เราไปได้เสียทุกอย่างเช่น หากเราต้องการไปยังสถานที่หนึ่งที่ไม่เคยไปมาก่อนและไม่มีคนที่เรารู้จักเคยไปมาก่อน เราก็สามารถไปสถานที่นั้นได้ด้วยตนเองโดยค้นหาเส้นทางไปยังเป้าหมายจากเว็บไซต์ท่องเที่ยวหรือเว็บไซต์อย่าง Google Map หรือหากเราต้องการนัดเพื่อนฝูงไปกินข้าวด้วยกันก็ไม่จำเป็นต้องโทรศัพท์หากันอีกต่อไป เราก็สามารถนัดเพื่อนๆผ่านเว็บไซต์ Social Network ต่างๆได้เลยเป็นต้น ซึ่งบ่งบอกถึงการที่เว็บไซต์เข้ามามีบทบาทในชีวิตประจำวันของคนเรามากขึ้นนั้นเอง

เว็บไซต์มีการวิวัฒนาการณ์อย่างต่อเนื่องในรอบ 10 ปีที่ผ่านมา จากแต่ก่อนในเว็บ1.0 (Web1.0) ที่จะมีแค่ไว้ใช้เพื่อนำข้อมูลที่ต้องการมาใส่ไว้ในเว็บเพจให้คนอื่นดูและไม่มีการตอบโต้กับผู้ใช้งานแต่อย่างใด การก้าวข้ามสู่โลกการใช้งานที่หลากหลายมากขึ้นของรูปแบบเว็บ2.0 (Web2.0) เช่น การจ่ายเงินค่าน้ำค่าไฟผ่านเว็บไซต์ การประชุมงานออนไลน์ผ่านเว็บไซต์ รวมไปถึงการสั่งซื้อสิ่งของเครื่องใช้ต่างๆผ่านเว็บไซต์ก็ทำได้เช่นกัน เพราะฉะนั้นการเข้าถึงได้ง่ายและการใช้งานที่ทำให้ชีวิตสะดวกสบายมากขึ้นนี่เองที่ทำให้ผู้คนส่วนใหญ่หันมาใช้งานเว็บไซต์เพื่อทำกิจวัตรประจำวันมากขึ้น แต่เหรียญนั้นมี 2 ด้าน ยิ่งมีคนใช้ประโยชน์จากเว็บมากขึ้นเท่าใด ก็ยิ่งมีผู้ไม่ประสงค์ดีต้องการหาผลประโยชน์จากคนที่ใช้เว็บมากขึ้นเท่านั้น ซึ่งกลุ่มผู้ไม่ประสงค์ดีเหล่านั้นก็คือ Hacker นั่นเอง

การโจมตีเว็บไซต์ต่างๆของ Hacker มักจะทำไปเพื่อการขโมยข้อมูลต่างๆของผู้ใช้งานในเว็บไซต์นั้นๆหรือไม่ก็เพื่อให้เว็บไซต์นั้นๆไม่สามารถให้บริการได้เป็นต้น ซึ่งโดยปกติแล้วผู้ใช้ทั่วไปมักจะใช้ username และ password เดียวกันกับทุกเว็บไซต์ที่ได้สมัครไว้ ไม่ว่าจะเว็บไซต์นั้นจะเก็บข้อมูลที่สำคัญหรือไม่สำคัญของผู้ใช้ก็ตาม ทำให้ Hacker อาจจะนำ username และ password จากการโจมตีเว็บไซต์ที่เก็บข้อมูลไม่สำคัญอะไรนักของผู้ใช้งาน ไปใช้หาข้อมูลบัตรเครดิตหรือข้อมูลทางการเงินที่สำคัญของผู้ใช้งานในเว็บไซต์อื่นก็เป็นได้ และการที่จะมาบังคับให้ผู้ใช้ทั่วไปสมัครเว็บไซต์ต่างๆโดยใช้ username และ password ไม่ซ้ำกันเลยก็คงเป็นไปได้ยาก ดังนั้นสิ่งที่สำคัญในการป้องกันเพื่อไม่ให้เกิดเหตุดังกล่าวได้ก็คือการป้องกันหรือตรวจจับการโจมตีเว็บไซต์แทนนั่นเอง

เทคโนโลยีการป้องกันในปัจจุบันไม่ว่าจะเป็น Firewall, Intrusion Detection System/Intrusion Prevention System (IDS/IPS) ก็ไม่สามารถป้องกันเหตุการณ์ภัยคุคามที่เกิดขึ้นกับเว็บไซต์ได้ เพราะการที่เราส่งข้อมูลไปที่เว็บไซต์ใดๆก็แล้วแต่ ก็เหมือนกับการที่เราส่งจดหมายไปยังเว็บไซต์นั้นโดย Firewall จะมีเห็นแค่ว่าเราส่งจดหมายนั้นไปได้ถูกที่ถูกทางหรือไม่ รวมทั้งการเข้าใช้งานเว็บไซต์ตามปกติและการโจมตีเว็บไซต์นั้นจะเป็นการใช้งานพอร์ต 80/TCP ( HTTP) และ 443/TCP(HTTPS) ซึ่งยากแก่ Firewall ธรรมดาที่จะบล็อคการใช้งานได้ ขณะเดียวกัน IDS/IPS ก็จะเห็นแค่ลักษณะของการส่งจดหมายเท่านั้น ซึ่งเทคโนโลยีทั้งสองดังกล่าวไม่สามารถรับรู้ได้เลยว่าในสิ่งที่อยู่ในจดหมายนั้นมีข้อความหรือสิ่งใดที่ประสงค์ร้ายต่อผู้รับหรือไม่ ดังนั้นจึงได้มีการพัฒนา Web Application Firewall (WAF) ขึ้น มาเพื่อตรวจสอบข้อมูลข้างในจดหมายดังกล่าว เปรียบเหมือนกับการที่เมื่อจดหมายถูกส่งมาถึงกล่องจดหมายหน้าบ้านแล้ว WAF ก็จะทำหน้าที่ส่งต่อ โดยการเปิดจดหมายเพื่อตรวจสอบข้อมูลภายใน เมื่อ WAF เห็นแล้วว่าข้อความภายในนั้นไม่มีจุดประสงค์ร้ายต่อผู้รับ (เว็บไซต์) ก็จะส่งจดหมายนั้นต่อไปยังผู้รับอีกทีหนึ่ง และอีกทั้งเรายังสามารถระบุหรือบอกกับ WAF ได้อีกด้วยว่าผู้รับสามารถอ่านจดหมายได้มากขนาดไหนในช่วงเวลาหนึ่ง เมื่อจดหมายเยอะถึงที่ได้ตั้งไว้ WAF ก็จะทำการถือไว้ให้ก่อนหรือไม่ก็สามารถทิ้งจดหมายที่เกินเข้ามา ทำให้ผู้รับสามารถอ่านจดหมายหรือทำงานได้อย่างต่อเนื่องอีกด้วย

การ WAF เข้ามาขวางหรือรับการใช้งานจากผู้ใช้งานเว็บไซต์แทนนั้น ทำให้เว็บไซต์สามารถทำงานได้อย่างสะดวกมากขึ้นและลดความกังวลของผู้ดูแลได้อย่างมาก เพราะจริงๆแล้วบริษัทส่วนใหญ่มักจะมีทีมที่ดูแลการเขียนเว็บไซต์และทีมที่ดูแลเซอร์เวอร์ของเว็บไซต์ทำหน้าที่แยกจากกัน หรือบางครั้งทีมที่พัฒนาเว็บไซต์ก็อาจจะเป็นบุคคลภายนอก (Outsource) ที่ถูกจ้างเข้ามาเพื่อพัฒนาเว็บไซต์นั้นๆ และเมื่อหมดสัญญาทางทีมผู้ดูแลเซอร์เวอร์ก็ต้องจัดการและดูแลเว็บไซต์ด้วยตัวเอง ซึ่งเมื่อเกิดเหตุการณ์โจมตีเกิดขึ้น ผู้ที่ต้องรับผิดชอบและแก้ไขเว็บไซต์กลับกลายเป็นผู้ดูแลระบบ ซึ่งอาจไม่ได้มีความเชี่ยวชาญทางด้านโปรแกรมมิ่งเว็บไซต์มากนัก ทำให้การป้องกันหรือแก้ไขเป็นไปได้อย่างยากลำบากหรือบางครั้งอาจจะไม่สามารถแก้ไขได้เลยทีเดียว ดังนั้นสิ่งที่เสียไปจะไม่ใช่แค่ข้อมูลของผู้ใช้งานภายในเว็บไซต์เท่านั้น แต่จะรวมถึงการเสียชื่อเสียงที่ทำผู้ใช้งานไม่มีความมั่นใจที่จะเข้ามาใช้งานเว็บไซต์จึงทำให้การใช้งานลดลง ซึ่งบางทีก็ยังต้องเสียค่าจ้างบุคคลภายนอกเพื่อให้เข้ามาแก้ไขซอร์ดโค้ด (Source code) ที่มีช่องโหว่ของการโจมตีอีกด้วย

แต่เหนือสิ่งอื่นใด การที่ WAF นั้นจะทำงานกรองหรือป้องกันเว็บไซต์จากการโจมตีของ Hacker ได้มากขนาดไหนนั้น ก็ขึ้นอยู่กับการปรับแต่งการป้องกันให้เข้ากับสภาพแวดล้อมนั้นๆด้วย รวมทั้งประสิทธิภาพของผู้ทำการปรับแต่งนั้นๆควรจะมีความสามารถหรือตระหนักการโจมตีในรูปแบบต่างๆที่ Hacker สามารถทำหรือคิดได้ เพื่อที่จะสามารถรู้เท่าทัน Hacker ดังคำกล่าวที่ว่า “รู้เขา รู้เรา รบร้อยครั้ง ชนะร้อยครั้ง” นั่นเอง

 

Why WAF?

Over the past decade or so, the Web has simplified our hectic social and working lives to a staggering degree. The possibilities of the Web seem limitless, and even the process of arranging a dinner with a friend has been revolutionized. We can easily search for a great restaurant on review sites, find directions on Google Maps and can even make appointments with friends through social networking sites, and not make a phone call as we may have in the past.