007 Skyfall : the untold story

สวัสดีปีใหม่ สำหรับในปี 2012 ที่ผ่านมาทางทีมงาน Incognito Lab ของเรา ขอขอบคุณทุกๆท่านที่คอยติดตามเรา และ ส่งเมล์เข้ามาให้กำลังใจทีมงานอย่างมากครับ

สำหรับ Post แรกของปีนี้เราจะมาพูดถึงหนังใหญ่ในปี 2012 กัน นั่นคือ  007 Skyfall ซึ่งสำหรับคนที่ยังไม่ได้ดูนี่อาจจะเป็นการ Spoil เล็กน้อยนะครับ

skyfall

เนื้อเรื่องในภาคนี้ค่อนข้างจะถูกใจผมมากในหลายๆฉาก รวมถึง plot เรื่องที่มีตัวละครร้าย Silva ซึ่งเป็น Hacker ฝีมือดี และมีเรื่อง Security เกี่ยวข้องมากมาย เช่น ปืนของ Bond ที่ Q สร้างให้นั้นจะต้องมีการ Authentication ก่อนโดยใช้เทคโนโลยีพวก Biometrics เพื่อยืนยันว่าเป็น Bond เท่านั้นถึงจะใช้ยิงได้

secret-intelligence-service

รู้จักกับ MI6 (Military Intelligence, Section 6)  หรือ Secret Intelligence Serivce (SIS) ก่อนซักนิด MI6 เป็นหน่วยงานสืบสวนราชการลับของสหราชอาณาจักร (UK) ที่จะเน้นการปฏิบัติหน้าที่นอกสหราชอาณาจักรเป็นหลัก เพื่อสร้างความมั่นคงปลอดภัยให้กับสหราชอาณาจักร ซึ่งในสงครามโลกครั้งที่ 2 หน่วยงาน MI6 ก็มีส่วนในการช่วยถอดรหัสของ Enigma ที่ Bletchy  Park ด้วยเหมือนกัน

1 ใน ฉากที่น่าสนใจคือการวางแผนหลบหนีของ Silva โดยการ Hack เข้าระบบเพื่อเปิดประตูหนี

รายละเอียดของฉากนี้คือ หลังจากทาง MI6 จับกุม Silva ได้ และเตรียมหาข้อมูลโดยวิธีการ Digital Forensics กับเครื่อง Notebook ของ Silva ประเด็นเกี่ยวกับ Security ที่น่าสนใจคือ

  • มีการทำ Encryption ข้อมูลเอาไว้ ซึ่งเป็นเรื่องของ DLP โดยรายละเอียดเรื่อง DLP สามารถดูได้จาก DLP ตอนที่ 1 และ DLP ตอนที่ 2
  • มีการพูดถึงประโยค “Security through obscurity” ซึ่งเป็นประโยคที่สำคัญในวงการ Security มาก มีความหมายถึง การที่ไว้วางใจว่าระบบจะปลอดภัยเนื่องจากผู้สร้างระบบปกปิด Design ของระบบเป็นความลับและมั่นใจว่าจะไม่มีใครหาช่องโหว่ของระบบพบ ยกตัวอย่างในเชิงของ Cryptography เช่น การเลือกใช้ Encryption/Decryption Algorithm  นั้นควรจะเลือก Algorithm ที่ได้รับการพิสูจน์จากนัก Cryptography ทั้งหลายแล้วว่ามีความปลอดภัยสูง ไม่ใช่เลือก Algorithm ที่คิดค้นเอง หรือ Algorithm ที่ไม่เป็นที่รู้จักมากนักมาใช้ เนื่องจาก Algorithm นั้นอาจมีช่องโหว่ แต่ไม่มีคนมานั่งวิเคราะห์ ก็เลยไม่มีการเผยแพร่ช่องโหว่ออกมา ดังนั้นสำหรับในวงการ Security แล้วจะไม่ค่อยชอบระบบที่มีความปลอดภัยแบบ Security through obscurity เท่าไรนัก
  • เมื่อรู้ตัวว่าถูก Hack เข้าระบบ Q ก็ได้รีบถอดสาย LAN ออกจาก Notebook ทันที ซึ่งเป็นขั้นตอน Containment สำหรับ Incident Response เพื่อจำกัดความเสียหายที่เกิดขึ้น จากตัวอย่างในหนัง หมายถึง ป้องกันไม่ให้ระบบถูก Hack เพิ่มนั่นเอง

อีกฉากที่น่าสนใจคือ ฉากที่ Bond ไล่ล่า Silva ในสถานีรถไฟฟ้าใต้ดินนั่นเอง

ตาม definition ของ Homeland Security นั้น Critical Structure Security ได้มีการแบ่งออกเป็น 18 ส่วน ซึ่งหนึ่งในนั้นคึอ Transportation System

Transportation System ยกตัวอย่างแค่รถไฟฟ้าใต้ดิน สำหรับเมืองใหญ่ๆนั้น ถือเป็นหัวใจในการเดินทาง หากมีการหยุดชะงักไป หรือมองว่า Availability เสียไปจะส่งผลกระทบขยายวงกว้างแค่ไหน นอกจากความเสียหายทางด้านวัตถุที่เกิดขึ้นแล้ว สิ่งที่สำคัญมากกว่าคือ ชีวิต ที่จะต้องปกป้องรักษาไว้ หากใครมีโอกาสได้สอบ CISSP, CISM แล้วจะเห็นว่าในเรื่องของ Business Continuity Management นั้นก็ได้ให้ความสำคัญเรื่องความปลอดภัยที่เกี่ยวกับชีวิตไว้สูงสุด

และสุดท้ายฉากที่ประทับใจผมมากที่สุดคือฉากที่ M ขึ้นศาล

ประโยคเด็ดเลย “I suppose I see a different world than you do” ซึ่งผมเห็นด้วยมากกับประโยคนี้ เพราะแม้แต่คนรอบๆตัวผมยังมีคนที่ไม่เห็นความสำคัญของเรื่อง Security อยู่มาก

สุดท้ายนี้ ในปี 2013 ทาง Incognito Lab ของเราจะมุ่งมั่นผลักดันและสร้างความรู้ความสามารถให้กับบุคคลากรของประเทศให้มีความรู้ความเข้าใจเกี่ยวกับ Information Security ให้มากขึ้น ให้สมกับ mission ของเรา “We secure the nation”

What’s next in 12 months?

บางครั้งสถิติก็เป็นสิ่งที่น่าสนใจ คนอื่นๆบนโลกนี้เค้าคิดอะไรกัน มาดูกัน

[สถิตินี้ Publish ออกมาประมาณกลางปี 2012]

จากบทสำรวจของ ISACA ถ้าใครไม่รู้จักก็อาจจะรู้จัก ISACA ในนามของ Certificate เหล่านี้ CISA, CISM, CGEIT, CRISC นะครับ

  • 17% Data leakage
  • 16% Employee mistake
  • 13% Incidents from employee-owned devices

ซึ่งสำหรับ Data leakage หรือ DLP ได้ยกตัวอย่างโดยใช้ Whatsapp หากใครยังไม่ได้อ่านสามารถติดตามตัวอย่างได้ที่ Whatsapp

สำหรับ Employee mistake นั้นควรจะเน้นไปในเรื่องของการให้ความรู้กับพนักงาน (Security Awareness) ซึ่งสามารถลองอ่านได้ที่ Dave

สุดท้าย Employee-owned devices หรือ BYOD (ฺBring your own devices) เรียกได้ว่าเป็นกระแสในช่วงนี้เลย ในบทความถัดไปเราจะมาคุยกันเรื่องBYOD นะครับ

Reference: http://www.isaca.org/GEITsurvey2012

Whatsapp insecurity ตอนที่ 2

ความปลอดภัยของ Whatsapp ตอนที่ 2

หลังจากตอนแรกเราได้พูดกันถึง Concept ของ Data Leakage ไปแล้ว 2 ใน 3 ช่องทาง ในตอนนี้เราจะพูดถึงช่องทางที่ 3 กันซึ่งได้แก่ Data at rest หรือข้อมูลที่ถูกเก็บไว้ที่ Server นั่นเอง

จากตัวอย่างเรื่อง Whatsapp การส่งรูปหากันใน Whatsapp จะมีการ upload รูปที่ต้องการส่งขึ้นไปไว้ที่ Server ของ Whatsapp ซึ่งรูปต่างๆใน Server นั้นเพียงแค่ทราบ URL​ ก็จะสามารถเข้าถึงได้ทันที ไม่มีการทำ Authentication ใดๆทั้งสิ้น แล้วทีนี้ความปลอดภัยอยู่ที่ไหนล่ะเนี่ย

ด้านล่างเป็นตัวอย่างรูปที่ทดลองส่งผ่าน Whatsapp ก็จะพบว่าใน file Database ของ Whatsapp จะมี URL เก็บไว้ทั้งหมด

ลองเข้าตาม URL ก็จะพบรูปที่ส่งหากันได้ทันที https://mms302.whatsapp.net/d7/25/11/7/0/7001274b04452bd0bb68eb7730ddf4ad.jpg
เดี๋ยวนี้มีการใช้งาน Instant Messenger กันอย่างแพร่หลาย เราก็ควรจะตระหนักถึงความสำคัญของข้อมูลของเราด้วยนะครับ
เอาล่ะ ครั้งนี้เป็นการยกตัวอย่างเรื่อง Data Leakage ที่ใกล้ตัว ครบทั้ง 3 แบบแล้ว ซึ่งก็มีหลายอย่างที่ทาง Whatsapp เองควรจะปรับปรุง เช่น
  1. ประกาศนโยบายให้ Data ที่อยู่บน Whatsapp นั้นมีการเก็บนานไว้นานแค่ไหน
  2. Process ในการ review, delete data ทำอย่างไร
  3. การป้องกันในระดับ web application ที่ควรจะมีการทำ Authentication, Authorization ในการเข้าถึงข้อมูลส่วนตัวของผู้ใช้งานได้

จบเรื่องตัวอย่าง DLP กับ Whatsapp แล้วคราวหน้าเรามาดูกันต่อว่า Security รอบๆตัวเรามีอะไรที่น่าสนใจบ้าง

Whatsapp insecurity ตอนที่ 1

ความปลอดภัยของ Whatsapp

วันนี้เรามาดู Whatsapp ซึ่งเป็น chat application ที่ได้รับความนิยมสูงนั้นมีความปลอดภัยมากแค่ไหนกัน

เมื่อประมาณเดือนพฤษภาคม ปี 2011 Whatsapp ได้ถูกประนามอย่างรุนแรงเรื่องความปลอดภัยในการรับ-ส่งข้อมูลที่ไม่มีการเข้ารหัส ซึ่งการที่ไม่เข้ารหัสนี้ทำให้ข้อมูลที่มีการรับส่งกันสามารถถูกแอบอ่านได้โดยบุคคลอื่นได้ ในทางวิชาการแล้ว เราเรียกว่าถูก compromise ในเรื่อง confidentiality (ความลับไม่เป็นความลับอีกต่อไป) ซึ่งเรื่องนี้ Whatsapp ก็เพิ่งได้ทำการแก้ไขช่องโหว่เสร็จ หลังจากปล่อยให้ user ใช้งาน version ที่มีช่องโหว่มานานประมาณ 1 ปี!!!!!  อ้าว ที่เรา chat กันผ่าน Whatsapp ใน 1 ปีที่ผ่านมาก็ไม่ปลอดภัยน่ะสิ “ใช่แล้วครับ” ซึ่งข้อมูลที่อยู่ระหว่างการรับ-ส่ง นี้เรียกว่า Data in motion ตาม concept ของ Data loss

ก่อนที่จะเข้าประเด็นถัดไป ขอเข้าสรุปง่ายๆ สำหรับ concept เรื่อง Data loss ก่อนนะครับ

Data Leakage หรือ การรั่วไหลของข้อมูล โดยปกติมี 3 ส่วน ซึ่งแยกตาม Flow ของ Data ได้แก่

  1. Data in use – Data ที่อยู่บน Endpoint ไม่ว่าจะเป็น PC, Desktop, Mobile
  2. Data in motion – Data ที่รับ – ส่ง ใน network
  3. Data at rest – Data ที่ถูกเก็บอยู่ที่ Server

เอาล่ะ ทีนี้มาดูประเด็นถัดมาเป็น Data in use ของ Whatsapp กัน สิ่งที่ Whatsapp เก็บอยู่บน iPhone มันมีหน้าตาอย่างไร มาดูกัน

ภาพด้านล่าง นั้นคือข้อมูลของ Whatsapp ที่อยุ่ใน iPhone ซึ่งสามารถเข้าไปดูได้โดย SSH เข้า iPhone หรือไม่ก็สามารถนำ file Backup ของ iPhone มาแกะดูได้

ตามภาพมีสิ่งน่าสนใจคือ File ชื่อ ChatStorage.sqlite และ Folder ชื่อ Library\Media

  1. ChatStorage.sqlite – เก็บข้อมูล Chat ผ่าน Whatsapp ทั้งหมดบนเครื่อง
  2. Library\Media – เก็บรูปที่ส่งผ่าน Whatsapp ทั้งหมดบนเครื่อง

ซึ่งทั้ง 2 อย่างนี้ไม่มีการเข้ารหัส ทำให้อ่านได้ง่ายมาก ตามรูปด้านล่าง

ทีนี้ความปลอดภัยอยู่ที่ไหนล่ะเนี่ย???