Industrial Control System (ICS) ตอนที่ 2

ในตอนนี้มาทำความรู้จักกับ Protocol Modbus TCP ซึ่งเป็น Protocol ที่นิยมใช้กันในระบบ ICS หรือ SCADA นะครับ

เริ่มจากการดักจับข้อมูลบน Network

ในวีดีโอจะเห็นว่าจะมีการรับส่ง Packet ของข้อมูลตลอดเวลา โดยส่วนใหญ่จะเป็น Read เนื่องจากว่า HMI (Human Machine Interface) มีการเรียกข้อมูลจาก PLC เพื่อทำการ Update หน้าจอแสดงผลตลอดเวลา จะมีการ Write ค่ากลับไปเฉพาะช่วงที่ผมกดเลือก Blinking เพื่อสั่งให้ไฟเหลืองกระพริบเท่านั้น

ใน Wireshark เรา Filter โดยใช้คำว่า mbtcp ซึ่งหมายถึง Protocol Modbus TCP นั่นเอง โดย Format ของ Modbus TCP นั้นเป็นไปตามรูปด้านล่าง

Screen Shot 2559-01-21 at 4.19.02 PM.png

Modbus TCP Protocol Format

ซึ่งถ้าเทียบกับข้อมูลใน Wireshark ก็จะเห็นได้ว่าเป็นไปตาม Format เดียวกัน โดยการสั่งให้ Read หรือ Write นั้นจะขึ้นอยู่กับ Function Code

Screen Shot 2559-01-21 at 4.45.20 PM.png

Read Operation

Screen Shot 2559-01-21 at 4.45.38 PM.png

Write Operation

ปัญหาหลักของ Modbus TCP คือไม่มี Authentication หรือ Authorization ที่ Layer นี้ทำให้ใครก็ได้ที่สามารถเข้าถึง Network เดียวกับ ICS หรือ SCADA สามารถส่งคำสั่งเข้าเพื่อควบคุมระบบได้โดยตรง

ซึ่งมี auxiliary module ของ Metasploit ที่สามารถใช้ Read/Write ค่าต่างๆ ผ่าน Modbus TCP ได้ โดย module นี้ชื่อว่า auxiliary/scanner/scada/modbusclient

modbusclient.png

modbusclient module

ลองดูตามตัวอย่างในคลิปถัดไปนะครับ แค่มีผู้ไม่ประสงค์ดีเข้าถึง Network รันคำสั่งแค่นิดเดียวก็สามารถเปลี่ยน State ของไฟจราจรจำลองได้ทันที

จากปัญหานี้ หนึ่งในวิธีการป้องกันในอดีตคือการทำให้ระบบ ICS อยู่ใน Closed Environment ไม่ต้องให้ยุ่งกับส่วนอื่นๆที่ไม่เกี่ยวข้อง ตามทฤษฎีเราจะเรียกหลักการนี้ว่า “Air Gap Principle” ในยุค 1960-1990 หลักการนี้ใช้ได้ดีมาก แต่ในปัจจุบันระบบต่างๆมีการเชื่อมต่อกันมากขึ้น แม้แต่ระบบ ICS เองก็มักมีการเชื่อมต่อกับระบบภายนอก หรือ บางระบบนั้นมีแม้กระทั่งการเชื่อมต่อกับ Internet โดยตรง!!!!

Industrial Control System (ICS)

ในช่วงปีหลังๆที่ผ่านมาถ้าใครติดตามเรื่อง Security คงจะเคยได้ยินเรื่องของ ICS มาบ้าง โดย ICS  นั้นก็คือระบบ IT ที่ใช้ควบคุมระบบเครื่องจักรต่างๆในโลกของเรานั่นเอง ไม่ว่าจะเป็นระบบขนส่งต่างๆ ระบบไฟฟ้า ระบบน้ำประปา และ ระบบอื่นๆล้วนใช้ ICS ควบคุมทั้งนั้น (แต่ถ้าเราไปพูด Keyword ICS กับคนที่ทำงานในระบบต่างๆเหล่านั้นเค้าอาจไม่คุ้น เนื่องจากว่าแต่ละระบบนั้นมักมี Keyword เฉพาะ เช่น SCADA, DCS)

ICS หน้าตาอย่างไร? เพื่อให้เข้าใจง่ายที่สุด Component หลัก ประกอบด้วย 3 ส่วนคือ

  1. Field Device คือ อุปกรณ์ที่ทำหน้าที่เป็น Input หรือ Output กับ Physical World เช่น หลอดไฟ ปั๊ม sensor วัดอุณหภูมิ
  2. PLC (Programmable Logic Controller) มองว่าเป็นคอมพิวเตอร์จิ๋วที่ถูกโปรแกรมให้ทำหน้าที่ควบคุม Field Device
  3. HMI (Human Machine Interface) คือ Software ที่เป็น GUI สำหรับให้ผู้ดูแลระบบ (Operator) ควบคุมการทำงานของ ICS

ในรูปด้านล่างซ้ายมือเป็น Raspberry Pi ต่อกับ PiFace Module ทำหน้าที่เป็น PLC ในขณะที่ด้านขวาเป็นหลอดไฟ LED ทำหน้าที่เป็น Field Device โดยในตัวอย่างนี้เราจะจำลองเป็นระบบควบคุมสัญญาณไฟจราจรนะครับ

FullSizeRender-3หลักการทำงานแบ่งเป็น 2 Mode คือ

  1. Read Operation – Field Device ทำหน้าที่เก็บข้อมูลแล้วส่งให้ PLC ประมวลผลเพื่อส่งให้ HMI แล้ว Operator จะสามารถดูข้อมูลผ่าน HMI ได้ (Field Device -> PLC -> HMI -> Operator)
  2. Write Operation – Operator สั่งงานผ่าน HMI จากนั้น HMI ส่งคำสั่งให้ PLC แล้ว PLC จะสั่งให้ Field Device ทำงาน (Operator -> HMI -> PLC -> Field Device)

ดู Demo เลยละกันครับ

เดี๋ยวใน Post ถัดไปจะ Hack ให้ดูนะครับ

Communication Plan and Security Breach Notification Law

เรียกได้ว่า Post นี้เกิดจากความสงสัยของผมที่ว่าเวลาที่ผมต้องหาข่าวเกี่ยวกับหน่วยงานหรือบริษัทที่ถูก Hack ในกรณีที่เป็นบริษัทในต่างประเทศเปรียบเทียบกับบริษัทในประเทศไทยแล้วมันมีความแตกต่างกัน สิ่งที่แตกต่างชัดเจนที่สุดคือ

กรณีเว็บในต่างประเทศถูก Hack ส่วนใหญ่ถ้า Search หาข่าวมักจะเจอแหล่งข่าวที่มาจาก Source เดียวกัน ซึ่งโดยส่วนใหญ่ผู้ให้ข่าวก็คือบริษัทหรือหน่วยงานที่ถูก Hack แต่ในทางกลับกันถ้าเป็นของประเทศไทย มักจะมีข่าวมากมายบน Social Network บางอันจริงบางอันก็เกินจริง ซึ่งแหล่งที่มาของข่าวนั้นเรียกได้ว่าแทบไม่มีที่มาจากบริษัทหรือหน่วยงานที่ถูก Hack เลย

ถ้าใครเคยได้ศึกษา BCM (Business Continuity Management) จะพบว่าสิ่งหนึ่งที่มีความสำคัญในการทำให้เกิดความต่อเนื่องทางธุรกิจคือเรื่องการทำ Communication Plan คือในกรณีที่เกิดปัญหาขึ้น บริษัทหรือหน่วยงานจะมีตัวแทนที่ทำหน้าที่สื่อความให้กับผู้เกี่ยวข้อง รับรู้ถึงปัญหาและความเคลื่อนไหวต่างๆที่เกิดขึ้น โดยจะแบ่งออกเป็น 3 ส่วนคือ

  1. การให้ข่าวสารภายใน (ให้ข่าวสารต่อพนักงานในองค์กร)
  2. การให้ข่าวสารภายนอก (ให้ข่าวสารกับลูกค้า, vendors, suppliers)
  3. การให้ข่าวสารกับนักข่าวสื่อมวลชน

โดยทั้ง 3 ส่วนนั้น จะมีการกำหนดข้อความและดำเนินตามแผนซึ่งกำหนดไว้เท่านั้น  ถึงแม้ว่าเป็นบุคคลที่เป็นตัวแทนก็ไม่ใช่ว่าจะสามารถพูดอะไรก็ได้ รวมถึงบุคคลอื่นๆภายในองค์กรก็ไม่สามารถให้ข้อมูลกับ 3rd Party โดยเด็ดขาด ทั้งนี้เพื่อเป็นการ Control Information ที่จะออกสู่สาธารณะ

ซึ่งผมคิดว่าเป็นวิธีที่ดีมาก ถ้าได้นำมาใช้ในไทยอาจจะลดเรื่องกระแสด้านลบบน Social Network กรณีที่หน่วยงานราชการถูก Hack ลงได้บ้าง เพราะปัจจุบันพอไม่มีใครที่เป็นผู้รับผิดชอบออกมาให้ข่าว ก็กลายเป็นต่างคนต่างเขียนข่าว ดีบ้างไม่ดีบ้าง ซึ่งบางครั้งอาจส่งผลให้ภาพลักษณ์ของประเทศเสียก็เป็นได้

นอกจากนี้ผมลอง Search เกี่ยวกับเรื่องข้อกำหนดทางกฎหมายพบว่าในต่างประเทศนั้นมีกฎหมายที่เรียกว่า “Security Breach Notification Law” ใน USA เริ่มมีการใช้กฎหมายนี้ครั้งแรกที่รัฐ California ซึ่งเริ่มตั้งแต่ในช่วงปี 2002-2003 (13 ปีที่แล้ว)

ถ้าเข้า https://oag.ca.gov/ecrime/databreach/reporting ก็จะเจอรายละเอียดตามรูปด้านล่างนะครับ โดยสรุปก็คือถ้ามีข้อมูลของประชาชนถูกเอาไปโดยไม่ได้รับอนุญาตก็ให้แจ้งด้วย โดยมี Link ให้กดเพื่อ Submit ข้อมูลรายละเอียดด้วย รวมไปถึงมี Link ที่สามารถกดเข้าไปดูได้ว่าในอดีตนั้นเกิด Data Security Breach มามากน้อยแค่ไหนแล้ว

 

 

เต่าน้อย Lan Turtle

หลังจากเคย Post เรื่องเกี่ยวกับเจ้าเป็ดน้อย  USB Rubber Ducky ไปเมื่อนานมาแล้ว (http://incognitolab.com/2014/09/18/rubber-ducky-in-action/) วันนี้ทางทีมเพิ่งได้รับอุปกรณ์ที่สั่งไว้ตั้งแต่ก่อนปีใหม่ ซึ่งอุปกรณ์ครั้งนี้ก็คือเจ้าเต่าน้อย Lan Turtle ก็มาจาก Hak5 เช่นเดิม

lanturtle1_large

เช่นเดียวกับ Rubber Ducky เจ้า Lan Turtle นี่ไม่ได้น่ารักใสซื่อเหมือน Logo ที่ใช้เลย หน้าที่ของเจ้าเต่าน้อยนี้ก็คือทำตัวเป็น Network Backdoor ให้ Hacker สามารถ Connect เข้าไปถึง shell ของ Lan Turtle ได้เลยไม่ว่าจะต่ออยู่ที่ Network ไหน การใช้งานก็ไม่ต้องทำไรวุ่นวายเพราะเพียงแค่เอาไปเสียบ USB ที่เครื่องแล้วเอาสาย LAN ต่อเข้ากับ Lan Turtle ก็เรียบร้อย

Screen Shot 2559-01-11 at 9.45.29 PM.png

เดี๋ยวมาลองทดสอบกันโดยในวีดีโอทดสอบนี้จะทำสองส่วนคือ

  1. ให้ Lan Turtle connect back กลับมาที่ meterpreter shell ของเครื่องที่ตั้งไว้
  2. ใช้ URLsnarf เพื่อดู website ต่างๆที่เครื่องเหยื่อเข้าใช้งาน

ซึ่งจริงๆแล้ว Lan Turtle ค่อนข้างน่ากลัวกว่าตัวอย่างนี้มาก เพราะว่าถ้าได้ไปอยู่ใน Network ไหนแล้ว Hacker ก็สามารถที่จะ remote มาที่ Network นั้นๆได้ทันที นั่นรวมไปถึงการใช้เทคนิค Hacking รูปแบบต่างๆเพื่อโจมตีเครื่องอื่นๆใน Network ด้วยนะครับ

Security story behind the Paris attack

สัปดาห์ที่ผ่านมามีเหตุการณ์น่าสลดใจคือเรื่องการก่อวินาศกรรมที่ Paris ซึ่งก่อให้เกิดความสูญเสียครั้งใหญ่ หลังจากเหตุการณ์เกิดขึ้นทางกลุ่ม ISIS ซึ่งเป็นกลุ่ม Terrorist ก็ได้ออกมาบอกว่ากลุ่มตนอยู่เบื้องหลังการโจมตีในครั้งนี้ (http://www.businessinsider.com/isis-claims-responsibility-for-the-paris-attacks-2015-11)

ซึ่งทางกลุ่ม Anonymous ซึ่งเป็นกลุ่ม Hacktivist ชื่อดังก็ได้ออกมาประกาศ Campaign ที่ชื่อว่า OpParis เพื่อที่จะจัดการกับกลุ่ม ISIS

โดยเบื้องต้นทาง Anonymous ได้เริ่มจากการ List Twitter Accounts ของผู้ที่อยู่ร่วมกับกลุ่ม ISIS (http://pastebin.com/N9rPZ3Ar)

หลังจากที่กลุ่ม Anonymous ออกมาประกาศ OpParis ทางกลุ่ม ISIS เองก็มีการตอบโต้ผ่านทาง Telegram (เป็น Instant messaging application ที่มีความปลอดภัยสูง) โดยบอกว่ากลุ่ม Anonymous เป็นพวก Idiots พร้อมทั้งให้คำแนะนำในการป้องกันจากการถูก Hack

Screen Shot 2558-11-19 at 7.59.56 AM.png

ซึ่งนี่คงเป็นจุดเริ่มต้นที่ทำให้เกิดสงครามทางด้าน Cyber ครั้งใหญ่ระหว่างกลุ่ม ISIS และ Anonymous ล่าสุดทาง Anonymous เองก็ได้ตอบโต้ ISIS แล้ว โดยการ Publish How-to Hacking Guide ออกมา โดยแบ่งเป็น 3 ส่วน คือ NoobGuide, Reporter, Searcher ซึ่งจุดนี้เป็นการใช้พลังของโลก Online ช่วยกันหาข้อมูลของที่เกี่ยวข้องกลับกลุ่ม ISIS (อยากลองอ่าน Guide สามารถไปหาได้จากใน Link นี้นะครับ http://thehackernews.com/2015/11/anonymous-hacker-isis.html)

นอกจากนี้ยังมีการกล่าวว่าหนึ่งในสาเหตุที่ Paris ถูกโจมตีนั้นเป็นเพราะ Edward Snowden  ที่ได้ออกมาพูด ทำให้โลกตื่นตัวกับเรื่องของ Surveillance (หรือ การแอบ monitor ข้อมูลการใช้งานของประชาชน) ซึ่งทำให้กลุ่ม Terrorist ตื่นตัวมากขึ้นกับเรื่องการใช้ช่องทางสื่อสาร รวมถึงผู้คนทั่วในปัจจุบันเริ่มให้ความสำคัญกับ Encryption มากขึ้น

ในปัจจุบันทุกท่านคงเคยได้ยินข่าวที่หน่วยงานรัฐบาลต่างๆ มักมีการทำ Surveillance  ซึ่งแน่นอนว่าถ้าเป็นช่องทางทั่วๆไป เช่น โทรศัพท์, Instant messaging application, Email ต่างๆ นั้นไม่น่าพลาดที่จะถูก Monitor อย่างไรก็ตามปัญหาหลักของการทำ Surveillance นั้นคือเรื่องของการทำ Encryption หรือการเข้ารหัสข้อมูลนั่นเอง

เกริ่นมานาน อยากพูดถึงประเด็นหลักของการทำ Encryption กับช่องทางการสื่อสาร

หน่วยงานรัฐบาลทั้งหลาย หรือ ในบางประเทศมีกฏหมายเกี่ยวกับ Standard ที่ใช้ในการทำ Encryption ซึ่งมันคงไม่เป็นประเด็นหากบังคับให้มีการใช้ Algorithm ที่ดี แต่โดยมากมักบังคับให้ใช้ Algorithm ที่ไม่ดี หรือว่า Key length ที่ไม่สูงนัก หรือแม้แต่อยากจะใส่ Backdoor เข้าไป เพื่อที่หน่วยงานรัฐบาลจะได้สามารถทำการ Decrypt ได้ จริงๆแล้วก็คืออยากให้มีการทำ Encrypt แหละ แต่อย่าให้มันซับซ้อนมากนะเดี๋ยวหน่วยงานจะถอดออกมาแอบอ่านไม่ได้

ซึ่งประเด็นนี้ค่อนข้าง Sensitive มากทีเดียว เพราะหน่วยงานรัฐบาลทั่วโลกจะใช้เป็นประเด็นว่าถ้าไม่สามารถแกะอ่านได้ อาจทำให้ไม่สามารถทำการเก็บรวบรวมข่าวได้ ซึ่งมีโอกาสพลาดที่จะตามจับ หรือ เข้าถึง ข้อมูลที่มีการวางแผนโดยผู้ก่อการร้ายกลุ่มต่างๆ

แน่นอนว่าถ้าเข้าถึงข้อมูลไม่ได้ ก็มีความเสี่ยงต่อชีวิตและทรัพย์สินของประชากรแน่ๆ แต่อย่างไรก็หากแกะอ่านข้อความได้มันก็เป็นการรุกรานเรื่อง Privacy ของประชากรทุกๆคนด้วยเช่นกัน มันเป็นสิ่งที่ค่อนข้างยากที่จะตัดสินประเด็นนี้ว่าควรทำอย่างไร มันจำเป็นหรือไม่ที่ทุกคนจะต้องสละสิทธิ์ในการปกป้อง Privacy ของตนเอง เพื่อป้องกันการก่อการร้าย

ถ้ามีคนบอกว่าเพื่อป้องกันการก่อการร้าย จะต้องอนุญาตให้ทำ Surveillance ได้ ซึ่งทางเทคนิคก็คือการไม่ทำ Encryption นั่นแหละ (รวมถึงการใช้ Algorithm ที่ไม่ดี หรือ ใช้ Key Length ต่ำ) มันก็คงเหมือนกับ กรณีที่กลุ่มผู้ก่อการร้ายขับรถเพื่อใช้เป็น Car Bomb แล้วสั่งให้ทุกคนห้ามขับรถ

“Encryption is for everyone or no one” หลักการทำ Encryption นั้นมีพื้นฐานมาจากคณิตศาสตร์ มันเป็นไปไม่ได้ว่าจะอนุญาตให้เฉพาะคนทั่วไปใช้วิธีการ Encryption แต่ห้ามกลุ่มผู้ก่อการร้ายใช้วิธีการ Encryption ดังนั้นสิ่งที่มาคู่กับการปกป้อง Privacy ของตัวเองนั้นก็คืออาจจะมีผู้นำเทคนิคเดียวกันไปใช้เพื่อทำสิ่งไม่ดีเช่นกัน

และล่าสุดได้มีการแชร์เรื่อง Security Ranking ของ communication application ซึ่งเป็นข้อมูลที่ทาง ISIS ทำไว้เมื่อเดือนมกราคม เพื่อให้ผู้ติดตามของ ISIS สามารถหลีกเลี่ยงจากการทำ Surveillance โดยหน่วยงานรัฐบาลได้

BN-LH433_WOAY58_G_20151116212607.jpg

 

ซึ่งจากข้อมูลนับว่าสนใจอย่างมาก เพราะ Application อย่าง Line ที่มีการใช้อย่างแพร่หลายในประเทศไทยนั้นอยู่ในกลุ่ม “Unsafe”

Tor map

การโจมตีที่ดีย่อมต้องคู่กับการทำอย่างไรให้จับตัวยาก ซึ่งหนึ่งในวิธีการพรางตัวยอดนิยมของคนกลุ่มนี้ในโลก Online นั่นคือการใช้ Tor (The onion router) โดยทำตัวเป็น anonymous Proxy chain ทำให้ตามหาแหล่งต้นตอได้ยากและใช้เวลานานในการค้นหา เหมือนกับ “Catch me if you can” นั้นเอง

ล่าสุด Luke Millanta (Software Developer จาก Australia) ได้ทำการนำข้อมูลของ Tor node มาทำการวิเคราะห์และ Plot บนแผนที่โลกเพื่อดูว่าการกระจายตัวของ Tor node นั้นอยู่ตำแหน่งใด โดยสามารถพิจารณาข้อมูลได้จาก onionview.com ตามรูปด้านล่าง

onionview

จะเห็นได้ว่าสิ่งที่น่าสนใจจากแผนที่ดังกล่าวคือ ฝั่งอเมริกาและยุโรปนั้นมีการกระจายตัวของ Tor node อยู่ค่อนข้างมาก และ ถ้าสังเกตที่ประเทศที่ถูกกล่าวหาบ่อยๆว่ามี Cyber Criminal Teams อยู่มากมาย เช่น รัสเซีย หรือ แม้แต่จีนที่มีข่าวว่าทำการโจรกรรมข้อมูลจากบริษัทต่างๆทั่วโลกตามที่มีการแจ้งในรายงานของ Mandiant ที่มีชื่อว่า APT1 นั้นแทบจะไม่มี Tor Node อยู่เลย

ข้อมูลนี้ทำให้เกิดข้อสงสัยนะครับว่า ถ้ารัสเซียและจีนทำการขโมยข้อมูลหรือมีการใช้ Malware ต่างๆ จริง (ตามในข่าวหรือรายงานทั่วๆไป) ทำไมถึงมี Tor node อยู่น้อยหรือว่า 2 ประเทศนี้มีวิธีการพิเศษอื่นๆเพื่อปกปิดตัวตนและเนียนกว่าการใช้วิธีนี้ ส่วนฝั่งอเมริกาและยุโรปนั้นเหตุใดถึงมีจำนวน Tor node เป็นจำนวนมาก และ Tor node เหล่านี้ถูกนำไปใช้ในทางที่ไม่ดีหรือไม่ นั้นเป็นสิ่งที่เราคงต้องวิเคราะห์และเฝ้าดูต่อไป

Data Leakage and Data Privacy Part1: Half year 2015 Leaked Data

ปีนี้ผมเห็นเรื่องราวของ Data Leakage นี่น่าสนใจมากครับ ซึ่งแน่นอนข้อมูลที่รั่วออกมานี้มีประเด็นเรื่องของ Data Privacy แน่ๆ

ashleymadison-580x370

ล่าสุดที่เป็นข่าวดังคงหนีไม่พ้น Ashley Madison เวปไซต์หาคู่ หากิ๊ก ชื่อดังในต่างประเทศที่ถูก Hack โดยกลุ่ม Hacker ที่มีชื่อว่า Impact Team ซึ่งทาง Impact Team ข่มขู่ให้ปิดเวปไซต์ไป ไม่งั้นจะเอา Data ที่ขโมยออกมาเผยแพร่บน Internet โดยตอนนี้มีการปล่อย Data จาก Impact Team ถึง 3 รอบแล้ว

  • รอบแรก Data มีขนาดประมาณ​ 10 GB เป็นข้อมูล member ของเวปไซต์ ซึ่งมี hash password รวมอยู่ด้วย
  • รอบสอง Data มีขนาดประมาณ​ 20 GB ซึ่งรอบนี้มีปัญหาคือไฟล์ขนาด 13 GB ที่คาดว่าเป็น Email Dump ของผู้บริหารนั้นเกิด Corrupt ทำให้เปิดไม่ได้
  • รอบสาม Data มีขนาดประมาณ​ 18 GB ซึ่งเป็นตัวแก้ไข Email Dump ที่ Corrupted ในรอบที่ 2 โดยรอบนี้ก็มีปัญหาเช่นเดียวกันคือ หลังจากปล่อยผ่าน Torrent มา 2-3 วันแล้ว แต่ทุกคนไม่สามารถโหลดได้สำเร็จเนื่องจาก Seeder หาย ทำให้โหลดได้ประมาณ 17 GB จาก 18 GB

นอกจาก Data ที่รั่วออกมาตอนนี้แล้ว Impact Team ยัง Claim ว่ายังมี Data ที่เป็นรูปอีกหลายร้อย GB เตรียมที่จะปล่อยอยู่อีก

เรื่องของ Data Leak ไม่ใช่เรื่องใหม่ ก่อนหน้านี้ไม่นานก็มีเรื่องราวของ Hacking Team ที่ถูก Hack และถูกนำข้อมูลออกมาปล่อยบน Internet ประมาณ​ 400 GB โดยข้อมูลของ Hacking Team มีความสำคัญกับความมั่นคงในระดับชาติ มี Zero day exploit ต่างๆ ถูกปล่อยออกมารัวๆในช่วงเวลานั้น

hacking team

เท่าที่จำได้เรื่องข้อมูลรั่วยังมี Series ชื่อดังอย่าง Game of Thrones Season 5 ถูกนำเอามาปล่อยบน Bittorrent ก่อนวันที่กำหนดโดยตอนนั้นหลุดออกมารวดเดียวถึง 4 Episodes ซึ่ง Leak ครั้งนี้ผมเชื่อว่าคนส่วนใหญ่ Happy นะครับ

got5

นอกจากนี้ยังมี Campaign ที่ชื่อว่า Dark Hacktivism – Information is everything ที่กลุ่ม Hacker ชื่อว่า TeamGhostShell ได้โจมตีเวปไซต์มากกว่า 100 เวปไซต์ โดยเน้นไปที่สถาบันการศึกษา โดยสถาบันการศึกษาในไทยก็โดนไปพอสมควร

dark hacktivism

ย้อนกลับไปเมื่อปลายปีที่แล้ว Sony Picture ถูก Hack โดยกลุ่ม GOP (Guardian of Peace) ตามข่าวบอกว่าข้อมูลถูกขโมยออกมาประมาณ 100 TB (TB Terabyte ถูกแล้วครับ ไม่ใช่แค่ระดับ GB) แต่ที่เห็น Torrent ให้โหลดตอนนั้นมีประมาณ​ 30 GB

hacked-by-gop-sony-pictures-under-attack

นี่เราพูดกันถึง Data ระดับใหญ่ๆที่รั่วแล้วเป็นข่าวเท่านั้นนะครับ ซึ่งจริงๆแล้วยังมี Data อีกมากที่รั่วออกมาแล้วไม่เป็นข่าว หรือในบางกรณีองค์กรไม่รู้ตัวด้วยซ้ำว่าถูกขโมยข้อมูลออกไปแล้ว ถ้าอยากดูสถิติเกี่ยวกับเรื่องการ Data ที่ถูกขโมย หรือ การที่ Hacker แฝงตัวใน network ขององค์กร สามารถไปหา Report ของ Mandiant มาอ่านเพิ่มได้นะครับ https://www.mandiant.com/resources/mandiant-reports

ซึ่งในตอนต่อไปจะพูดถึงประเด็นต่างๆ ในเรื่อง Data Leakage และ Data Privacy สำหรับกลุ่มคน 2 กลุ่มนั่นคือ

  • คนที่สนใจจะป้องกันข้อมูลขององค์กร ไม่อยากตกเป็นเหยื่อรายต่อไป
  • คนที่สนใจอยากเข้าถึง Data ที่ Leak ออกมา ซึ่งเดิมคุณอาจจะคิดว่าแค่หา Link Download ได้ก็พอแล้ว แต่เดี๋ยวนี้ผมคิดว่าไม่พอแล้วล่ะ มันมีเรื่องอื่นที่ควรคำนึงถึงอีกเช่น
    • ความเร็วในการ Download ข้อมูล ปริมาณมากขนาดนี้ ถ้าช้าบางครั้งมันถูกลบไป จะหา Link ใหม่ ก็ยาก
    • Storage ที่มีอาจไม่พอที่จะเก็บข้อมูลเหล่านี้ เพราะมันเยอะมาก
    • Search Engine ที่ใช้ ถ้าคุณใช้ Google หาข้อมูลบางครั้ง Data ถูก Filter ออกเยอะมาก
    • พอ Original Data เริ่มปล่อยออกมาเสร็จ ก็จะมีคนเอา Data ไป Filter แล้วเอามาปล่อยซ้ำบอกว่าเป็นข้อมูลที่ Leak ทำให้เสียเวลา Download อันที่ไม่สมบูรณ์ ที่เห็นเป็นประจำคือกรณีที่ credential leak ออกมาก ตัว Original data มี Format เป็น username:password หลังๆจะมีคนเอามาปล่อยโดยตัด password ทิ้ง เหลือให้แต่ username
    • กรณีที่ Filter Data ทิ้งไม่เท่าไร บางครั้งเจอพวก malware หรือ เจอปล่อย Fake Data ออกมาด้วย
    • อย่างกรณี Ashley Madison ล่าสุดที่ปล่อย Corrupted file และ ไม่มี Seeder ที่มี File ครบ 100% นี่อาจเป็นการตั้งใจหรือไม่ตั้งใจก็เป็นได้ แต่มันทำให้เสียเวลา เปลือง Bandwidth เปลือง Storage
    • Skill ที่ควรมีเพิ่มคือเรื่องของการทำ Forensics วิเคราะห์ Corrupted File, ทำ Data recovery จาก Corrupted File
    • Dark Marketplace ที่มีการซื้อขาย Data
    • etc.