ในอดีตเมื่อ 10-20 ปีที่แล้ว หากพูดว่าเราทุกคนสามารถทำงานหรือใช้ชีวิตอยู่กับบ้านได้ โดยที่เรายังคงทำงาน พูดคุยซื้อขายของ ได้อย่างปกติคงเป็นเรื่องเพ้อฝันไม่น้อย แต่พอมาถึงวันนี้ วันที่ตู้เย็นสามารถสั่งของให้ได้เองอัตโนมัติ วันที่เราสามารถประชุมงานสำคัญผ่านระบบ video conference ได้ วันที่เราสามารถขายของออนไลน์ได้ตลอด 24 ชม. คงต้องบอกว่าทุกบริการหรือการใช้งานล้วนแต่เข้าสู่ระบบการให้บริการออนไลน์ทั้งหมดทั้งสิ้น ทำให้การสร้างความปลอดภัยของระบบจึงเป็นปัจจัยหนึ่งที่สิ่งสำคัญมาก เพื่อให้ธุรกิจขององค์กรต่างๆเดินหน้าต่อไปได้อย่างต่อเนื่อง หลักสำคัญหนึ่งของการสร้างความปลอดภัยของระบบคือการทำให้ระบบพร้อมใช้งานทุกเมื่อ ซึ่งอุปสรรคของการพร้อมใช้งานเป็นไปได้หลายประการ ไม่ว่าจะเป็น การเกิดภัยพิบัติ การเกิดเหตุจลาจล ฮาร์ดแวร์มีปัญหา บัคของระบบ และสิ่งที่อาจเกิดขึ้นได้บ่อยที่สุดคือการพยายามโจมตีเพื่อให้ไม่สามารถใช้บริการได้(Denial of Service หรือเรียกสั้นๆว่า DoS ) การโจมตีดังกล่าวสร้างปัญหาให้กับผู้ให้บริการต่างๆมากมาย ไม่ว่าจะเป็นผู้ให้บริการขนาดเล็กอย่างเว็บไซด์ หรือเว็บ Hosting ทั่วไป ไล่ไปจนถึงผู้ให้บริการขนาดใหญ่อย่างระดับ ISP เลยครับ โดยในบทความนี้จะพูดถึงการโจมตีแบบ Denial of Service ที่เป็นปัญหาเหล่านี้ครับ

ตรวจสอบ version OpenSSL ที่ใช้งาน
openssl version -aหากเป็น version 1.0.1, 1.0.1a-1.0.1f หรือ 1.0.2-beta แสดงว่าเป็นเวอร์ชั่นที่มีความเสี่ยงที่จะมีช่องโหว่

ทดสอบว่ามีช่องโหว่หรือไม่จากเว็บไซด์ดังต่อไปนี้

https://www.

ในปัจจุบันเราจะเห็นข่าวข้อมูลรั่วไหลจากองค์กรและบริษัทต่างๆมากมาย ข้อมูลที่หลุดออกมาไม่ว่าจะเป็น ข้อมูลแผนการตลาด, ข้อมูลของลูกค้าที่ใช้บริการ, ข้อมูลบัตรเครดิตของลูกค้า, ข้อมูลเงินเดือนของพนักงาน และอื่นๆอีกมากมาย ส่งผลให้องค์กรหรือบริษัทเหล่านั้นสูญเสียและมีผลกระทบมากมาย โดยสิ่งที่องค์กรเหล่านั้นสูญเสียนั้นมีหลายๆสิ่งที่ไม่สามารถตีค่าเป็นตัวเงินได้ ไม่ว่าจะเป็น ความน่าเชื่อถือขององค์กร, ความเชื่อมั่นของลูกค้า, ชื่อเสียงขององค์กร, โอกาสในการทำธุรกิจ, ความสามารถในการสู้ในเชิงการค้า และอื่นๆอีกมากมาย ซึ่งสิ่งเหล่านี้จำเป็นต้องใช้เวลาค่อนข้างมาก อาจจะมากกว่าเวลาทั้งหมดที่ใช้หรือก่อตั้งองค์กรนั้นๆขึ้นมาก็เป็นได้ ทำให้บริษัทต่างๆล้วนเห็นความสำคัญต่อ Cyber Security หรือการป้องกันการโจรกรรมข้อมูลต่างๆจากแฮคเกอร์ โดยถือว่าเป็นภัยคุกคามจากภายนอก แต่หารู้ไม่ว่าภัยจากภายในองค์กรก็น่ากลัวไม่ยิ่งหย่อนไปกว่าภัยคุกคามจากภายนอกเลยทีเดียว

ในช่วงเดือนมกราคม 2014 เกิดเหตุการณ์ข้อมูลรั่วไหลซึ่งถือเป็นภัยภิบัติต่อชาวเกาหลีใต้เลยก็ว่าได้ เมื่อข้อมูลบัตรเครดิตจำนวน 105.8 ล้านใบและข้อมูลของเจ้าของบัตรจำนวน 15-20 ล้านรายถูกพนักงานที่เป็น Software Engineer ทำสำเนาออกไปด้วย USB Drive จาก 3 สถาบันการเงินของเกาหลีใต้คือ KB Kookmin Card, Lotte Card, และ NH Nonghyup โดยเหตุการณ์นี้นับว่าเป็นการรั่วไหลข้อมูลครั้งใหญ่ที่สุดของเกาหลีใต้เลยทีเดียว โดยเมื่อข่าวปรากฎขึ้นพบว่ามีลูกค้าถึงห้าแสนรายยื่นเรื่องขอทำบัตรใหม่แล้วและอีกทั้งยังมีกลุ่มลูกค้าอีก 130 คนยื่นเรื่องขอฟ้องแบบกลุ่มต่อบริษัทบัตรเครดิต และส่งผลให้ผู้บริหาร 27 คนได้ยื่นใบลาออก รวมถึง CEO ของ NH Nonghyup Card และผู้บริหารระดับสูงหลายคน ยื่นใบลาออกเพื่อรับผิดชอบกับเหตุการณ์ที่เกิดขึ้นเลยทีเดียว

ข้อมูลที่ถูกนำออกมาได้ถูกขายไปแล้วอย่างน้อยสองครั้ง โดยหลังจากตำรวจสามารถตามจับพนักงานคนดังกล่าวและผู้ซื้อรายหนึ่งได้แล้ว พบว่าการกระทำผิดนี้ทำมาแล้วเป็นเวลา 1 ปีครึ่งเลยทีเดียว โดยพนักงานคนดังกล่าวกล่าวว่าได้เขียนโปรแกรมสำหรับการหลบเลี่ยงการตรวจจับการโกงเงิน (anti-fraud software) ขึ้นในขณะที่ทำสำเนาข้อมูลจากเครื่องของสถาบันมาสู่ USB Drive ของพนักงานคนดังกล่าว

การเกิดเหตุรั่วไหลครั้งนี้ส่งผลต่อแบรนด์(Brand) และความน่าเชื่อถืออย่างมาก มีหลายบริษัทที่ต้องล้มละลายหรือไม่สามารถกลับมายืนในธุรกิจได้ เนื่องด้วยไม่สามารถกู้ชื่อเสียงกลับมาได้นั่นเอง โดยการป้องกันการรั่วไหลของข้อมูลเหล่านี้เราสามารถทำได้ด้วยการคอย audit พนักงานที่ทำงานกับข้อมูลที่สำคัญเหล่านี้อย่างสม่ำเสมอและติดตั้งระบบตรวจจับพฤติกรรมที่ผิดปกติของผู้ใช้งาน เพื่อคอยสอดส่องการใช้งานต่างๆ ซึ่งในกรณีนี้ พนักงานที่เป็นผู้ร้ายจำเป็นต้องมีสิทธิ์การเข้าถึงระบบงานและสำเนาข้อมูลออกมาจำนวนมาก หากเราตั้งค่าของระบบเตือนภัยให้มีการเตือน(Alert) เมื่อผู้ใช้งานมีการสำเนาข้อมูลจำนวนมากกลับมาจากเซอร์เวอร์ได้ ซึ่งหากผู้ดูแลระบบได้รับการเตือนก่อนหน้านี้ เหตุการณ์ทั้งหมดก็อาจไม่เกิดขึ้นและจะสามารถจับผู้กระทำความผิดได้ในทันทีก็เป็นได้

รูปภาพ infographic ค่าความเสียหายที่เกิดขึ้นในกรณีข้อมูลรั่วไหลต่างๆจากเว็บไซต์
http://www.

ในวันที่ 5/06/2014 ที่ผ่าน มีการเปิดเผยโดยนักวิจัยทางด้านความปลอดภัยที่ใช้ชือว่า Pinkie Pie ได้ตรวจพบช่องโหว่ใน function futex_requeue() ในไฟล์ kernel/futex.

การเข้ารหัสการสื่อสารข้อมูลระหว่างเครื่อง client และเครื่อง server เริ่มมีการใช้งานกันอย่างแพร่หลาย และ library ที่ใช้กันอย่างแพร่หลายคือ OpenSSL เพราะเป็น Open Source และสามารถใช้ได้ทั้งใน TLS, SSL Protocol ทำให้มีผู้นำไปพัฒนาใช้กับโปรแกรมประเภทต่างๆมากมาย แต่ในเมื่อวันที่ 7 เมษายน 2557 ที่ผ่านมามีการเปิดเผยช่องโหว่ OpenSSL ในส่วนของ Heartbeat extension จาก OpenSSL โดยผู้แจ้งคือ Riku, Antti และ Matti, ทีม security engineer จาก Codenomicon และ Neel Mehta จาก Google Security Team ช่องโหว่นี้กระทบทั้ง HTTPS, Email, Instant Messaging, VPN บางตัว หรือแม้แต่ Server ต่างๆที่ให้บริการกับ Mobile Application ต่างๆก็อาจมีช่องโหว่ได้เช่นกัน โดยช่องโหว่ดังกล่าวถูกตั้งชื่อว่า “Heartbleed” (CVE-2014-0160) ไม่ทราบเหมือนกันว่าทำไมถึงใช้ชื่อนี้ แต่อาจจะพยายามให้คล้ายกับชื่อเดิมก็เป็นได้ครับ

อะไรคือ Heartbeat Extensionและช่องโหว่ของ Heartbeat Extension เกิดขึ้นได้อย่างไร

Heartbeat extension (RFC 6520 Standard) เป็นส่วนเสริมของ OpenSSL โดยใช้เป็น Keep Alive packet มีส่วนประกอบด้วยกัน 2 ส่วนคือ request และ response กล่าวคือเป็นการตกลงกับ server ปลายทางว่าหลังจากจบการเชื่อมต่อที่เข้ารหัสแล้ว ให้ยังคงเก็บ session เปิดค้างไว้แม้ว่าจะไม่มีการส่งข้อมูลอะไรให้อีกก็ตาม นอกจากนี้ยังใช้ในการตกลงระหว่างทั้ง 2 ฝ่ายให้คุยกันได้อย่างราบรื่นอีกด้วย

การส่ง Request ตาม Standard นั้นจะกำหนดขนาดสูงสุดอยู่ที่ 16KByte (214 Byte) แต่โดยปกติ OpenSSL จะสร้าง request ที่สั้นกว่านั้นมาก โดยส่วนประกอบของ Heartbeat Request เป็นดังนี้

TLS1_HB_REQUEST ขนาด 1 Byte เป็นตัวกำหนดประเภทของ Message
Payload Length ขนาด 2 Byte เป็นตัวกำหนดขนาดของ Payload + Padding(ส่วนเติมเต็ม packet)
Sequence Number ของ Payload ขนาด 2 Byte
Payload ขนาด 18 Byte
Padding ขนาด 16 Byte

/* Enter response type, length and copy payload */
*bp++ = TLS1_HB_RESPONSE;
s2n(payload, bp);
memcpy(bp, pl, payload);
ตัวอย่าง Source Code ที่มีช่องโหว่ของ Heartbeat extension

แต่ประเด็นคือตอนรับข้อมูลไม่ได้ตรวจสอบดีนัก เนื่องด้วย Heartbeat extension จะตอบกลับด้วย copy ของ payload data ที่ได้รับตอน request ซึ่งเป็นตัวบ่งบอกว่าวงจรการเข้ารหัส (Encrypted circuit) ยังคงทำได้ปกติทั้ง 2 ฝั่ง ซึ่งหากผู้ส่ง Request มีการใส่ค่า payload ขนาดเล็กแต่กำหนด payload size เป็น 0xFFFF(65535 byte) ทาง OpenSSL จะไป copy 65535 byte จาก payload ที่ส่งไปและ memory ที่ใช้กับ connection ของผู้อื่นที่จบ connection พอดีมาให้แทน นั่นหมายความว่าหาก Heartbeat request ที่ส่งไปยังเว็บไซต์ที่เป็น HTTPS โดยไม่ได้ใส่ payload ใดๆลงไปแต่กลับกำหนดขนาดของ payload length เป็น 0xFFFF แทน จะทำให้ OpenSSL จะนำข้อมูล HTTP ของผู้อื่นทั้ง HTTP Request และ HTTP Response จะถูก copy จนครบ 65535 และส่งกลับมาให้เราแทน โดยข้อมูลเหล่านั้นอาจจะเป็นได้ทั้ง username, password, cookies, x.509 certificates เป็นต้น

รูปภาพตัวอย่างโครงสร้าง Heartbeat Request และ Response ที่เป็นปัญหา

มีเว็บไซต์ชื่อดังมากมายที่ได้รับผลกระทบจากช่องโหว่นี้ไม่ว่าจะเป็น www.

ช่วงที่ผ่านมามีคนตั้งคำถามมากมายเกี่ยวกับการเก็บรหัสผ่าน(Password) ของเว็บไซต์ต่างๆทั่วโลกรวมถึงประเทศไทยด้วย ว่าการเก็บเป็นแบบข้อความโดยไม่มีการเข้ารหัส (plain text) สมควรหรือไม่ บางคนก็ว่าเว็บไซต์ไม่ได้มีการทำธุรกรรมออนไลน์ใดๆ ไม่จำเป็นต้องเก็บแบบเข้ารหัสหรอก ไม่ต้องให้ความสำคัญหรือจริงจังอะไร แต่หารู้ไม่ว่าการเก็บข้อมูล password แบบไม่เข้ารหัสนั้นแฝงไปด้วยภัยอันตรายมากมาย

เว็บไซต์กับรูปแบบการเก็บ Password

ไม่ว่าจะเป็นเว็บไซต์ของบริษัทชื่อดังหรือไม่ก็ตาม ก็ยังพบเห็นได้ทั่วไปกับพฤติกรรมการเก็บ Password แบบที่ไม่เข้ารหัส โดยถึงแม้ว่าเว็บไซต์เหล่านั้นจะไม่มีการทำธุรกรรมออนไลน์แต่อย่างใด แต่กลับมีการระบุให้ผู้ใช้งานทั่วไปที่ต้องการสมัครสมาชิกของเว็บไซต์เหล่านั้นกรอกข้อมูลสำคัญของตนเองในแบบฟอร์มการสมัครสมาชิกด้วยเช่นกัน นั่นหมายความว่าเว็บไซต์เหล่านั้นก็จะเก็บข้อมูลสำคัญของผู้ใช้งานไว้พร้อมกับการเก็บ password แบบไม่เข้ารหัสไว้นั่นเอง

รูปภาพตัวอย่างเว็บไซต์ที่เก็บ password แบบไม่เข้ารหัส

โดยปกติเว็บไซต์ทั่วไปจะมีการเก็บ Password เป็น 3 แบบด้วยกันคือ

การเก็บข้อมูลแบบ plain text คือการเก็บ password แบบไม่มีการเข้ารหัสแต่อย่างใด
การเก็บข้อมูลแบบเข้ารหัส แต่สามารถถอดรหัสได้
การเก็บโดยใช้เป็นแบบ one-way hashing คือการเข้ารหัสแบบทางเดียว กล่าวคือเมื่อทำการเข้ารหัสไปแล้ว จะไม่สามารถทำกระบวนการย้อนกลับหรือถอดรหัส(decryption) ได้อีก

รูปภาพตัวอย่างการใช้งาน Hash function

นั่นหมายความว่าหากเราทดสอบด้วยการ “ลืม password (forgot password)” กับเว็บไซต์ใดๆ แล้วเว็บไซต์ส่ง email กลับมายังฝั่งผู้ใช้งานพร้อมกับ password ของผู้ใช้ นั่นหมายความว่าเว็บไซต์เหล่านั้นมีการเก็บ password เป็นแบบ 1, 2 แน่นอน และมักจะพบว่าเป็นแบบที่ 1 อีกด้วย

ภัยจากการเก็บ Password แบบไม่เข้ารหัส

ถ้ามองแบบผิวเผิน การเก็บ Password แบบไม่เข้ารหัสก็น่าจะไม่มีพิษมีภัยอะไร แต่จริงๆ แล้วมันทำให้เกิดภัยอันตรายต่างๆ ได้มากมายเช่น

การปลอมแปลงตัวตน(Impersonate Person) ในปัจจุบันการใช้งานเว็บไซต์ใดๆ จะมี username เปรียบเสมือนตัวแทนของเรา ไม่ว่าเราจะกระทำสิ่งใดก็แล้วแต่ในเว็บไซต์นั้นๆ เช่น การเขียนข้อความลงในกระทู้ภายในเว็บไซต์ การส่งข้อความให้กับผู้ใช้งานอื่น เป็นต้น เปรียบเสมือนเป็นการกระทำของตัวเราเอง โดยทางเว็บไซต์จะเก็บการกระทำต่างๆ จากผู้ใช้งานลง log file หากมีการเก็บ password เป็นแบบ plain text จะทำให้ผู้ดูแลเว็บไซต์หรือใครก็แล้วแต่ที่สามารถเข้าถึง database ที่เก็บ password นั้นๆ ได้ สามารถปลอมแปลงเป็นผู้ใช้งานใดๆ ก็ได้ ซึ่งอาจนำไปสู่กาสร้างสถานการณ์และโยนความผิดกับผู้ใช้งานใดๆ ก็เป็นได้
การได้มาซึ่งข้อมูลสำคัญของบุคคล(Internal Threat & Information Leak)
จากที่กลาวไปก่อนหน้านี้ว่า ยังมีเว็บไซต์หลายเว็บไซต์ที่ให้ผู้สมัครสมาชิกจำเป็นต้องกรอกข้อมูลสำคัญของผู้ใช้งานเช่น เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วัน/เดือน/ปีเกิด เป็นต้น หากผู้ดูแลสามารถทราบถึง password ที่ไม่ได้เข้ารหัสของผู้ใช้งานได้ ก็อาจจะเข้าถึงข้อมูลสำคัญเหล่านี้ได้ และอาจนำข้อมูลสำคัญเหล่านี้ไปใช้ในทางที่ผิดต่อไปได้
การเข้าถึง account อื่นๆของผู้ใช้งาน (Using same password in multiple account)มีหลายท่านที่มีการใช้งาน username, password เหมือนๆกันในหลายๆเว็บไซต์ หรือในหลายๆ email account นั่นหมายความว่าหากเว็บไซต์หนึ่งในนั้นสามารถถูกเข้าถึง password ที่ไม่ได้เข้ารหัสไว้ได้ ไม่ว่าจะเกิดจากการถูกแฮ็ค หรือผู้ดูแลระบบเข้าถึงข้อมูลดังกล่าวเองก็ตามที ผู้ที่ได้ password นั้นไปก็จะสามารถเข้าถึง account ในเว็บไซต์อื่นๆที่มีความสำคัญของผู้ใช้งานได้ รวมถึงผู้ที่ได้ password อาจไปแก้ไข password ของผู้ใช้งานนั้นได้อีกด้วย
การหลอกล่อมาเพื่อให้ได้ password (Phishing with genuine website) *** หากมี Hacker สามารถเจาะเข้าไปในเว็บไซต์ชื่อดังที่มีชื่อเสียงแต่กลับเก็บ password เป็นแบบ plain text ได้ Hacker อาจพยายามหลอกล่อให้ผู้อื่นเข้ามาสมัครเว็บไซต์ชื่อดังดังกล่าว เพื่อหวังผลทางด้านโปรโมชั่นหรือรับข่าวสารใดๆก็แล้วแต่ เมื่อมีเหยื่อติดกับ Hacker ก็จะได้ทั้ง password ซึ่งอาจจะมีการใช้ร่วมกับเว็บไซต์อื่น, รวมถึงข้อมูลส่วนตัวที่สำคัญอื่นๆก็เป็นได้

*** อ้างอิงแนวคิดนี้จาก http://pantip.

เมื่อวันที่ 7 เมษายน 2557 ที่ผ่านได้มีนักวิจัยทางด้านความปลอดภัยพบช่องโหว่ที่รุนแรงที่สุดตั้งแต่มีโลกของอินเตอร์เน็ตมา นั่นคือช่องโหว่ของ OpenSSL ที่ชื่อว่า Heartbleed ช่องโหว่ดังกล่าวกระทบกับเว็บไซด์และระบบชื่อดังต่างๆที่มีการใช้งาน OpenSSL ไม่ว่าจะเป็น Gmail, Yahoo mail, ผลิตภัณฑ์ของ Juniper, ผลิตภัณฑ์ของ CISCO และอื่นๆอีกมากมาย หากมองว่าผมกระทบความรุนแรงมีตั้งแต่ระดับ 1 – 10 ช่องโหว่นี้ถือว่ามีความรุนแรงในระดับ 11 เลยทีเดียว ช่องโหว่ดังกล่าวมีสิ่งที่ทำให้ระดับความรุนแรงสูงเนื่องด้วย 3 ประการ

แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการขโมย username, password ของผู้ใช้งานเว็บไซด์ต่างๆได้ นั่นทำให้
แฮ็คเกอร์สามารถขโมย user/password ของผู้ใช้งานทั่วไปจากเว็บไซด์การให้บริการทางการเงินออนไลน์(Internet Banking) เพื่อทำการโอนเงินของเหยื่อเหล่านั้น
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของอุปกรณ์เครือข่ายต่างๆ(network device) เพื่อแก้ไขค่า config ใดๆของระบบได้(เช่น การเพิ่ม rule “Allow any any” เพื่อให้สามารถเข้าถึงเน็ตเวิร์คภายในได้ทั้งหมาดจากภายนอก)
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของเว็บไซด์ใดๆ จากนั้นแก้ไขค่า config ของเว็บไซด์นั้นๆ(เช่น การเพิ่ม user ของแฮ็คเกอร์เป็น admin ใหม่ของเว็บไซด์ เป็นต้น)
และยิ่งสำคัญไปกว่านั้น มีหลายๆคน(โดยเฉพาะ IT Admin)มักจะใช้ password เดียวกันในหลายๆ account.

เมื่อวันที่ 7 เมษายน 2557 ที่ผ่านได้มีนักวิจัยทางด้านความปลอดภัยพบช่องโหว่ที่รุนแรงที่สุดตั้งแต่มีโลกของอินเตอร์เน็ตมา นั่นคือช่องโหว่ของ OpenSSL ที่ชื่อว่า Heartbleed ช่องโหว่ดังกล่าวกระทบกับเว็บไซด์และระบบชื่อดังต่างๆที่มีการใช้งาน OpenSSL ไม่ว่าจะเป็น Gmail, Yahoo mail, ผลิตภัณฑ์ของ Juniper, ผลิตภัณฑ์ของ CISCO และอื่นๆอีกมากมาย หากมองว่าผมกระทบความรุนแรงมีตั้งแต่ระดับ 1 – 10 ช่องโหว่นี้ถือว่ามีความรุนแรงในระดับ 11 เลยทีเดียว ช่องโหว่ดังกล่าวมีสิ่งที่ทำให้ระดับความรุนแรงสูงเนื่องด้วย 3 ประการ

แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการขโมย username, password ของผู้ใช้งานเว็บไซด์ต่างๆได้ นั่นทำให้
แฮ็คเกอร์สามารถขโมย user/password ของผู้ใช้งานทั่วไปจากเว็บไซด์การให้บริการทางการเงินออนไลน์(Internet Banking) เพื่อทำการโอนเงินของเหยื่อเหล่านั้น
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของอุปกรณ์เครือข่ายต่างๆ(network device) เพื่อแก้ไขค่า config ใดๆของระบบได้(เช่น การเพิ่ม rule “Allow any any” เพื่อให้สามารถเข้าถึงเน็ตเวิร์คภายในได้ทั้งหมาดจากภายนอก)
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของเว็บไซด์ใดๆ จากนั้นแก้ไขค่า config ของเว็บไซด์นั้นๆ(เช่น การเพิ่ม user ของแฮ็คเกอร์เป็น admin ใหม่ของเว็บไซด์ เป็นต้น)
และยิ่งสำคัญไปกว่านั้น มีหลายๆคน(โดยเฉพาะ IT Admin)มักจะใช้ password เดียวกันในหลายๆ account.

เมื่อวันที่ 7 เมษายน 2557 ที่ผ่านได้มีนักวิจัยทางด้านความปลอดภัยพบช่องโหว่ที่รุนแรงที่สุดตั้งแต่มีโลกของอินเตอร์เน็ตมา นั่นคือช่องโหว่ของ OpenSSL ที่ชื่อว่า Heartbleed ช่องโหว่ดังกล่าวกระทบกับเว็บไซด์และระบบชื่อดังต่างๆที่มีการใช้งาน OpenSSL ไม่ว่าจะเป็น Gmail, Yahoo mail, ผลิตภัณฑ์ของ Juniper, ผลิตภัณฑ์ของ CISCO และอื่นๆอีกมากมาย หากมองว่าผมกระทบความรุนแรงมีตั้งแต่ระดับ 1 – 10 ช่องโหว่นี้ถือว่ามีความรุนแรงในระดับ 11 เลยทีเดียว ช่องโหว่ดังกล่าวมีสิ่งที่ทำให้ระดับความรุนแรงสูงเนื่องด้วย 3 ประการ

แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการขโมย username, password ของผู้ใช้งานเว็บไซด์ต่างๆได้ นั่นทำให้
แฮ็คเกอร์สามารถขโมย user/password ของผู้ใช้งานทั่วไปจากเว็บไซด์การให้บริการทางการเงินออนไลน์(Internet Banking) เพื่อทำการโอนเงินของเหยื่อเหล่านั้น
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของอุปกรณ์เครือข่ายต่างๆ(network device) เพื่อแก้ไขค่า config ใดๆของระบบได้(เช่น การเพิ่ม rule “Allow any any” เพื่อให้สามารถเข้าถึงเน็ตเวิร์คภายในได้ทั้งหมาดจากภายนอก)
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของเว็บไซด์ใดๆ จากนั้นแก้ไขค่า config ของเว็บไซด์นั้นๆ(เช่น การเพิ่ม user ของแฮ็คเกอร์เป็น admin ใหม่ของเว็บไซด์ เป็นต้น)
และยิ่งสำคัญไปกว่านั้น มีหลายๆคน(โดยเฉพาะ IT Admin)มักจะใช้ password เดียวกันในหลายๆ account.

เราทราบกันดีว่าภัยคุกคามมีการเพิ่มมากขึ้นทุกๆวัน มีการคิดค้นวิธีการโจมตีใหม่ๆมากมาย ไม่ว่าจะเป็นการ Obfuscation ในรูปแบบต่างๆ, Advance Persistent Threat และอื่นๆอีกมากมาย ทำให้เหล่าผู้ที่ทำงานอยู่ในศูนย์ระวังภัยคุกคามต่างๆ (Security Operations Center: SOC) ต้องปวดหัวที่จะปรับตัวตามอยู่เสมอ จึงเกิดแนวคิดพัฒนา SOC แบบใหม่ที่ชื่อว่า Next Generation SOC หรือ Security Operations Function (SOF) ขึ้นมาแทน

SOC คืออะไร

SOC คือศูนย์เฝ้าระวังภัยคุกคามต่างๆจากช่องทางต่างๆ ไม่ว่าจะเป็น Network and System Monitoring, Security Monitoring, Log Management, Physical Security Management, Vulnerability Management โดยปกติจะเป็นการใช้งานและวิเคราะห์ด้วยเทคโนโลยีที่ชื่อว่า SIEM(Security Information Event Management) เป็นหลัก โดย SIEM นั้นจะทำหน้าที่ค้นหาภัยคุกคามต่างๆจากการนำ Log ของอุปกรณ์ทางด้าน Network และ Security ต่างๆเข้าด้วยกัน เช่น IDS, IPS, Firewall, Switch, WAF และอื่นๆอีกมากมาย มาหา event ที่มีความสัมพันธ์ร่วมกันที่คาดว่าน่าจะเป็นภัยคุกคาม เช่น ที่ Firewall เห็น traffic การใช้งาน port 22 เป็นจำนวนมาก ประกอบกับมี log จากเครื่องปลายทาง port 22 ดังกล่าวว่ามีการ login failed จำนวนมากเช่นกัน บ่งบอกว่า มีการโจมตีที่เป็นการเดาสุ่ม password เพื่อจะ login เข้าสู่ระบบ(Brute Forcing) อยู่ เป็นต้น ซึ่งเหตุที่เป็นการโจมตีเหล่านั้นจะถูกเรียกว่า incident เมื่อ SIEM ตรวจพบ incident ใดๆ ก็จะมีการแจ้งเตือนไปยังผู้ปฎิบัติงานทางด้านความปลอดภัย(Security Operator) อีกที เมื่อ Security Operator ได้รับ alert จาก SIEM ก็จะทำตาม Incident Response Plan ซึ่งเป็นขั้นตอนการแจ้งเตือนหรือการกระทำใดๆกับ incident นั้นๆอีกทีหนึ่ง

SOC แตกต่างจาก SOF อย่างไร

จากที่เราทราบกันแล้วว่า SOC จะมีการใช้งาน SIEM เป็นหลัก โดยจำเป็นต้องมีการนำข้อมูลของอุปกรณ์ต่างๆมาร่วมกันและใช้งาน Rule ต่างๆของ SIEM ในการแจ้งเตือนแบบ Real-Time ซึ่งแต่ก่อน SOC จะถูกใช้กับศูนย์เฝ้าระวังภัยคุกคามขนาดใหญ่ในจุดๆเดียว แต่ในปัจจุบัน SOC ย้ายไปในส่วนที่ทำงานได้หลากหลายมากขึ้นสามารถกระจาย SOC ไปในจุดต่างๆขององค์กร แล้วนำข้อมูลเหล่านั้นมาประมวลผลร่วมกันได้ นั่นคือที่มาของ SOF นั่นเอง โดยจากแต่ก่อนเราอาจจะต้องมี SOC ไว้ภายในองค์กร จะเปลี่ยนเป็นการนำ SOC ไปไว้ภายนอกแทนรวมถึงการส่งข้อมูลขององค์กรเข้า SOC เหล่านั้นที่อยู่ภายนอกองค์กรอีกด้วย สิ่งเหล่านั้นทำให้เราจำเป็นต้องพึ่งอุปกรณ์ต่างๆมากขึ้น อีกทั้ง SOC ยังจำเป็นต้องมีข้อตกลง (Service-Level Agreement:SLA) ที่เหมาะสมแต่ละองค์กรที่คอยเฝ้าระวังให้ด้วย รวมถึง SOC เหล่านั้นจำเป็นต้องมีความเข้าใจของ Information Security อย่างถ่องแท้ เข้าใจถึงความคิดของเหล่าผู้ที่หวังจะโจมตีองค์กรที่ดูแลอยู่ ผู้โจมตีไม่ได้มองที่การโจมตีผ่านระบบขององค์กรเสมอไป ภัยคุกคามในปัจจุบันมีการโจมตีไปที่บุคคลที่สำคัญกับองค์กรและครอบครัวของบุคคลที่เป็นเป้าหมายเหล่านั้นมากขึ้นอีกด้วย เนื่องด้วยคนภายในครอบครัวขององค์กรอาจไม่มีความตระหนักต่อภัยคุกคามมากพอ ส่งผลให้บุคคลในครอบครัวเหล่านั้นกลายเป็นช่องทางหนึ่งในการโจมตีจนเข้าถึงเครื่องของบุคคลสำคัญขององค์กรได้ SOC จึงจำเป็นอาจจะต้องมีการติดตั้ง Sensors ที่คอยเฝ้าระวังภายใน Network ของบุคคลที่ตกเป็นเป้าหมายอีกด้วย

SOF จะไม่เพียงแค่คอยดูหรือคิดวิเคราะห์ภัยคุกคามที่จะเกิดขึ้นเท่านั้น SOF ยังคงคิดถึงความเป็นการป้องกันความปลอดภัยขององค์กรอย่างแท้จริง โดยการคอยสอดส่องการใช้งานสิทธิ์ที่ไม่ถูกต้องและการตรวจสอบสิทธิ์ที่ควรจะเป็นของพนักงานหรือบุคคลใดๆอีกด้วย (Identity Access & Entitlement Reviews) และการออกแบบ Network ขององค์กรให้ออกมาเหมาะสมกับความปลอดภัยหรือการคอยเฝ้าระวัง(Monitoring) อีกด้วย ซึ่งสิ่งเหล่านั้นจะเป็นส่วนที่ทาง SOF จะเข้ามาร่วมกับพนักงานภายในองค์กรเพื่อออกแบบโครงสร้างสิทธิ์ของพนักงานให้ออกมาได้อย่างเหมาะสม และสิ่งสุดท้ายที่ SOF เพิ่มเข้ามาคือทีมที่คอยทำการวิเคราะห์ Malware (Malware Analysis), Forensics, และการวิเคราะห์ภัยคุกคามใหม่ๆ เพื่อให้ SOF มีประสิทธิภาพในการเผชิญหน้าต่อภัยคุกคามใหม่ๆที่จะเกิดขึ้นอยู่ทุกๆวินาทีนั่นเอง

สิ่งที่จะทำให้เกิด SOF ได้

แน่นอนปัจจัยการทำ SOF คงไม่ต่างจาก SOC คือประกอบด้วย People, Technology, Process นั่นเอง โดยการจะทำให้ถึงจุดที่เรียกว่า SOF ได้แต่ละองค์ประกอบจำเป็นต้องมีลักษณะดังนี้

Technology
SIEM จำเป็นต้องมีระบบเก็บ Log แบบรวมศูนย์และการหาความสัมพันธ์อย่างมีประสิทธิภาพ
จำเป็นต้องมีการ Block malware ขาเข้าที่ครอบคลุมทั้งทาง email และ web
มีการ block Application ที่ไม่ถูกตามกฎ Policyขององค์กรและ Anti-Virus ในเครื่องของ Endpoint
มีการใช้อุปกรณ์ป้องกันความเสี่ยงที่เป็นมาตรฐานเพื่อให้สามารถทำงานร่วมกับส่วนอื่นๆขององค์กรได้อย่างง่าย
และสุดท้ายคือการเพิ่มในส่วนการทำงานต่างๆด้วย software เพื่อให้ได้ถึงมาตรฐานการทำงานต่างๆและตามธุรกิจที่ควรมี (Compliance ต่างๆ)

People
คนที่ทำงานจำเป็นต้องมีความเป็นผู้นำ
คนที่มีความเชี่ยวชาญใน network และ application security
คนที่มีความเชี่ยวชาญในการบริหารความเสี่ยง(risk management) และ security Policy
คนที่มีความเชี่ยวชาญในการทำ Malware Analysis และ Forensic
หลังจากที่มีบุคคลเหล่านั้นแล้วเราจะสามารถสร้างทีมที่ทำตามเป้าหมายและจุดประสงค์ของลูกค้าได้ ด้วยความหลากหลายของทีมที่เรามี

Process
ทำทุกอย่างให้เป็นแบบออโต้ให้มากที่สุดเท่าที่จะเป็นไปได้ เพื่อให้คนทำงานสามารถเฝ้าระวังภัยคุกคามใหม่หรือเรียนรู้เพิ่มเติมได้เสมอ
ต้องมีกฎและขั้นตอนในการควบคุมการเปลี่ยนแปลงของระบบ(change control), incident response, alerting และการทำ Report ที่ชัดเจน เพื่อให้สามารถทำงานได้อย่างมีระบบ
มีการรวบรวมสถิติการทำงานต่างๆ
มีการพยายามลดเวลาที่ใช้ในการตรวจจับ(detection), การควบคุมเหตุ(containment) และการแก้ไขระบบ(remediation) ให้เหลือน้อยลง
และสุดท้ายคือการให้พนักงานเข้าใจถึงภัยจริงๆ(real threats)ที่มีต่อองค์กรของเราว่าคืออะไร

บทสรุป

หลักการของ SOF นั้น MSSP ในหลายๆที่ทั่วโลกได้เริ่มทำขึ้นมาแล้ว ในไทยก็มีเช่นกัน แน่นอนว่าการทำงานแบบ SOF สร้างมาเพื่อต่อกรกับภัยคุกคามต่างๆ ซึ่ทำให้ศูนย์เฝ้าระวังภัยคุกคามต่างๆสามารถทำงานได้อย่างมีประสิทธิภาพมากขึ้น ตรวจจับและป้องกันเหตุร้ายต่างๆที่เกิดได้ดีขึ้น แต่แน่นอนว่าทางฝั่งผู้โจมตีก็ยังไม่หยุดพัฒนาเช่นกัน ดังนั้นเหล่าผู้ที่เป็นผู้เชี่ยวชาญทางด้านความปลอดภัยคงไม่มีเวลาให้หยุดพักหายใจ ยังจำเป็นต้องพัฒนาอย่างต่อเนื่อง เพื่อให้องค์กรมีความปลอดสูงที่สุดเท่าที่จะเป็นไปได้นั่นเอง

For more information, please contact: +662-615-7005 or contact@i-secure.