Tracking Intruder

ในระหว่างการสัมมนาเรื่องการรักษาความปลอดภัยของระบบคอมพิวเตอร์ที่เพิ่งผ่านมาไม่นานนี้ ผู้ร่วมอภิปราย คนหนึ่งได้กล่าวถึงเทคนิคในการตามรอยผู้บุกสู่ระบบและผู้ที่สแกนหาช่องโหว่จากภายนอก ทำให้ผม (ผู้เขียน)รู้สึกสนใจอยากรู้ขึ้นมาทันทีเพราะผมรู้ว่าสิ่งที่เขากำลังพูดอยู่นั้นแทบจะเป็นไปไม่ได้ คำถามสองคำถาม ที่ถามไปอย่างรวดเร็วแสดงให้เห็นว่าคนที่ถามคำถามนั้นเห็นด้วยกับผม

อเมริกายุคคาวบอยในอดีต โจรปล้นรถไฟซุ่มโจมตีรถไฟโดยการลากต้นไม้มาขวางทาง แล้วจึงบึ่งม้าตรงเข้าเล่นงานรถไฟที่หยุดอยู่นั้น หลังจากปล้นรถไฟและผู้โดยสารแล้ว พวกเขาจึงขึ้นม้า แล้วหนีหายไปในป่า การจับตัวโจรเหล่านี้แทบจะเป็นไปไม่ได้ วิธีที่มักจะใช้กันคือการหาทหารรับจ้างขี่ม้าตามไปด้วย และหวังว่าเมื่อรถไฟถูกปล้น ถ้าโจรสามารถหยุดรถไฟได้พวกเขาจะมีปัญหาใหญ่และความตายที่รออยู่ข้างหน้านั้น

เครือข่ายอินเตอร์เน็ตเหมือนกับตะวันตกในสมัยก่อนมาก แต่มีข้อยกเว้นอยู่เล็กน้อย อย่างแรกคือ อินเตอร์เน็ต มีการจราจรที่คับคั่งอย่างมาก มากกว่ารถไฟและนักเดินทางที่มีไม่มากนักในศตวรรษที่ 18 ประการที่สอง ผู้โจมตี ในอินเตอร์เน็ตสามารถกลบเกลื่อนร่องรอยของพวกเขาได้ง่ายกว่า ประการที่สามการจ้างทหารรับจ้าง พร้อมปืนไปถล่มไซต์ที่โจมตีระบบคอมพิวเตอร์ของคุณ เป็นความคิดที่แย่เอามาก ๆ

คุณสามารถทำบางอย่างที่ช่วยคุณและคนอื่นได้โดยการย้อนรอยผู้กระทำผิด ผู้ที่สแกนหาช่องโหว่หรือโจมตี ระบบของคุณ ถึงแม้อินเตอร์เน็ตจะใหญ่มหึมาเพียงใด แต่ความสำเร็จก็ไม่ได้อยู่ห่างไกลเกินไปนัก

คุณจะติดต่อใคร ?

เวลาที่คุณจะตามรอยผู้บุกรุก สิ่งแรกที่คุณทำไม่ใช่การหาสุนัขดมกลิ่นแต่เป็นการตัดสินใจว่าจะต้องใช้ ความพยายามแค่ไหน ขึ้นอยู่กับผลกระทบของการโจมตี สามารถนำไปสู่การฟ้องร้องได้หรือไม่ และความเป็นไปได้ในตามรอย ในกรณีส่วนใหญ่แล้วมักจะทำไม่สำเร็จ

มาดูตัวอย่างกัน สมมติว่าคุณเป็นเจ้าหน้าที่รักษาความปลอดภัยคอมพิวเตอร์ขององค์กรแห่งหนึ่ง คุณได้รับ โทรศัพท์ซึ่งบอกว่าเขาเป็นเจ้าหน้าที่รักษาความปลอดภัยเน็ตเวิร์คของอีกไซต์หนึ่ง เขาได้ให้เบอร์โทรศัพท์ เพื่อให้คุณสามารถโทรกลับไปได้ เขาบอกว่าเขาสามารถติดต่อมาได้โดยอาศัย contact person ที่ได้มาจากฐานข้อมูลของ whois เขาพบคุณโดยการบอกผ่านมาจากอีกคนหนึ่งโดยเริ่มจากการติดต่อกับ contact person ที่ได้มาจากชื่อโดเมนของคุณ

คุณถามเขาว่าเขาโทรมาทำไม เขาบอกคุณว่าระบบคอมพิวเตอร์ที่ไซต์ของเขาถูกโจมตีจากระบบที่ไซต์ของคุณ เขาเสนอที่จะส่ง log message ที่ทำให้เขาต้องติดต่อมาเพื่อเป็นการยืนยัน ต่อมาคุณติดต่อฝ่ายข้อมูล ให้ออกบัตรผ่านให้กับเจ้าหน้าที่ของไซต์นั้นแล้วจึงทำการตรวจสอบระบบที่ไซต์ ของคุณที่มีปัญหานั้น

ในตอนนี้ ใครบางคนที่ไซต์อื่นต้องการค้นหาคุณ เพื่อการติดต่อในเรื่องความปลอดภัย เพื่อที่เขาสามารถจะ จัดการเกี่ยวกับปัญหาที่มาจากไซต์ของคุณได้ John Ladwig, Security Architect, Networking and Telecommunications Services, University of Minnesota แนะนำว่าองค์กรนั้นควรบอกถึง เบอร์โทรศัพท์และที่อยู่ทางอีเมลล์ของการติดต่อด้านการรักษาความปลอดภัยอยู่ ในหน้าแรกของเวปด้วย ถ้าเวปนั้นไม่มี Ladwig กล่าวว่าให้หาจาก FIRST team-contacts list (www.first.org) ที่อื่นให้หาได้อาจ เป็นหน่วยงาน CERT (Computer Emergency Response Team) ประจำภูมิภาคหรือประเทศนั้น ถ้าหาไม่ เจอจึงค่อยหาจาก NIC (www.internic.net หรือ www.thnic.net เป็นต้น-ผู้เรียบเรียง)

คุณสามารถหาที่อยู่ที่สามารถติดต่อ (contact information) จาก NIC โดยการใช้คำสั่ง whois ในระบบยูนิกซ์ หรือโดยการใช้ telnet ไปยัง whois.internic.net ถ้าใช้คำสั่ง whois ให้ใส่โดเมนเนมเข้าไปด้วย เช่น "whois aol.com" เพื่อที่จะหาที่อยู่ที่สามารถติดต่อสำหรับ AOL ถ้าคุณไม่มีคำสั่ง whois ในระบบของคุณ ให้ใช้ whois database โดย telnet ไปยัง whois.internic.net ใส่ "whois gte.net" ถ้าคุณต้องการหา การติดต่อทางเทคนิคสำหรับ GTE

Steve Romig, Campus Network Security Manager ที่ Ohio State University รวมเอาการบังคับ ใช้ทางกฏหมายในรายชื่อของผู้ที่สามารถช่วยคุณหาข้อมูลการติดต่อได้ Romig กล่าวว่า "ตำรวจและ FBI สามารถ ช่วยคุณในการหาข้อมูลการติดต่อในการบังคับใช้กฏหมายในประเทศอื่นได้" Romig แนะนำด้วยว่า "ให้สุภาพ และ สื่อสารให้กระจ่างในสิ่งที่คุณต้องการ จำไว้ว่าอาจมีข้อจำกัดทางกฏหมายในสิ่งที่เขาสามารถให้คุณได้และเขาอาจ ต้องการหลักฐานที่มากพอก่อนที่เขาจะเริ่มการตรวจสอบของเขาเอง"

คุณอาจต้องติดต่อไซต์หนึ่งในอีกประเทศหนึ่ง Romig ชี้ให้เห็นว่าภาษาอังกฤษใช้กันอย่างกว้างขวางในวงการ ทางด้านเทคนิคทั่วโลก คุณอาจใช้เวปไซต์(เช่น www.altavista.com)ที่ให้บริการแปลภาษา

จากการทดลอง ผม(ผู้เขียน)ใช้บริการของ AltaVista เพื่อแปลคำร้องขอเพื่อให้ย้อยรอยผู้โจมตี ในรายละเอียดคือ ขอร้องให้ไซต์นั้นส่งข้อมูลเกี่ยวกับการบันทึกการติดต่อ (logging information) มาให้ผม ผมต้องแปลคำร้องขอ นี้เป็นภาษาสเปน ดูแล้วมันก็ไม่เลวนัก(ถึงแม้ว่าทักษะในการใช้ภาษาสเปนของผมจะแย่เอามาก ๆ)ผมลองใช้บริการของ Altavista เพื่อแปลมันกลับเป็นภาษาอังกฤษด้วย

ถึงแม้ว่าผมจะรู้ถึงความสามารถในการแปลภาษาของเวป ผมก็ไม่เคยใช้บริการเหล่านี้เลย ผมไปที่ http://babelfish.altavista.com/cgi-bin/translate? ให้แปลจากภาษาอังกฤษเป็นภาษาสเปน แล้วจึงให้มันแปลกลับเป็นภาษาอังกฤษอีกทีหนึ่ง นี่เป็นข้อความภาษาอังกฤษของผมเอง:

"I have been probed from your site. The source of the probe was the address 128.16.241.2, and the attacker was using software such as tcp_connect() from SATAN. Could you check your logs on that system for December 4?"

ผลที่ออกมาดูเหมือนสมเหตุสมผลดี แต่ผมต้องยอมรับว่าสิบห้าปีมาแล้วตั้งแต่เคยใช้ภาษาสเปนคล่องแคล่ว พอประมาณ:

"Me han sondado de su sitio. La fuente de la punta de prueba era el direccionamiento 128,16,241,2, y el atacante utilizaba software l๓gica tal como tcp_connect() de SATAN. Podrํa usted controlar su entra ese sistema para de diciembre el 4?"

ผมนำผลที่ได้นี้กลับไปแปลไปเป็นภาษาอังกฤษอีกครั้งหนึ่ง ผมได้รับผลการแปลดังนี้:

"They have sounded to me of its site. The source of the test end was address 128.16.241.2, and the attacker used logical software as tcp_connect() of SATAN. Could you control his you enter that system for of December the 4?"

อุ๊บส์… ถ้าคุณอยู่ที่มหาวิทยาลัยหรือองค์กรที่มีคนที่มีความสามารถในการแปล ผมแนะนำว่าคุณควรหาตัวเขา ถ้าเขา เต็มใจที่จะช่วยคุณในระหว่างการตรวจสอบนี้ คุณอาจพิจาณาที่จะส่งทั้งภาษาอังกฤษและข้อความที่แปลแล้ว

Bouncing Attacks

ถึงแม้เป็นไปได้ที่ใครบางคนในองค์กรของคุณจะเป็นผู้ริเริ่มการโจมตี แต่จริง ๆ แล้วเป็นไปได้ว่าผู้โจมตี ตัวจริงจะมาจากที่อื่น และไซต์ของคุณถูกใช้เป็นที่โจมตี มีเพียงนักล้วงข้อมูลที่อ่อนประสบการณ์เท่านั้นที่ โจมตีจากไซต์ของเขาเองถึงแม้ว่ามันจะเกิดขึ้นในบางครั้งก็ตาม "เราพบบ่อยในมหาวิทยาลัย โดยเฉพาะ นักศึกษาปีหนึ่งที่เข้ามาใหม่" Romig กล่าว "พวกเขาจะไม่ทำซ้ำในการทำผิดพลาดหลังจากครั้งแรกเหมือน ทั่ว ๆ ไปเพราะเขาจะถูกตามรอยได้ง่ายมาก"

หลาย ๆ ไซต์ในอินเตอร์เน็ตไม่มีไฟร์วอลล์และไม่เชื่อว่าไซต์ของพวกเขาอยู่ในความเสี่ยงเพราะว่าเป็นไซต์สาธารณะ เช่น ห้องสมุด โรงเรียน และองค์กรวิจัยหลาย ๆ แห่ง ความจริงคือไซต์ที่มีระบบการรักษาความปลอดภัย ที่ไม่ดีกลายเป็นเป้าหมายที่ดีสำหรับการใช้เป็นที่โจมตีไซต์อื่น โปรแกรมสแกนโดยอัตโนมัติไม่ได้มีจุดประสงค์ อย่างอื่นนอกจากหาไซต์ที่มีระบบการป้องกันที่ไม่ดีสำหรับการใช้เป็นไซต์สำหรับเริ่มต้นการโจมตี มีผลิตภัณฑ์ ไฟล์วอลล์ที่เรียกว่า Wingate ได้กลายเป็นเป้าหมายสำหรับโปรแกรมสแกนในปี 1998 เพราะการกำหนดค่า เริ่มต้นของมันทำให้กลายเป็นไซต์เริ่มต้นที่ดีเยี่ยมสำหรับการโจมตีไซต์อื่น (ให้ดูที่ http://www.wingate.net/secure-wingate.htm สำหรับวิธีการกำหนดค่าที่ถูกต้องสำหรับ Wingate)

แพ็คเก็ตถูกย้อนรอยกลับไปยังผู้ส่งโดยดูจาก source address ในการโจมตีอื่นนอกเหนือจาก denial of service ที่ไม่จำเป็นต้องมีการตอบรับ ผู้โจมตีใช้ source address จริง ๆ หรือใช้ source routing เพื่อให้การตอบรับย้อนกลับไป คุณสามารถค้นหา source address โดยการตรวจสอบจาก firewall log และ logging system เช่น NFR (Network Flight Recorder), tcpdump หรือ Argus ระบบ Intrusion detection อาจช่วยคุณได้ขึ้นอยู่กับลักษณะของการโจมตี

ถ้าผู้โจมตีโจมตีโดยใช้โฮสต์อื่น source address ก็จะชี้กลับไปยังโฮสต์นั้นไม่ใช่ไซต์จริง ๆ ของผู้โจมตี ยังจำถึงตอนที่ผมพูดถึงเรื่องการส่งทหารรับจ้างไปเป็นความคิดที่แย่ได้ใหม ? ในกรณีส่วนใหญ่ คุณจะ โจมตีไซต์ที่ไม่รู้เรื่องอะไรด้วย ควรจะติดต่อกับเขาและขอความช่วยเหลือซึ่งต้องใช้เวลา

"ยิ่งคุณ(ผู้โจมตี)ใช้โฮสต์ผ่านเพื่อการการโจมตีมากเท่าไหร่ องค์กรเหล่านั้นจะมีความขัดแย้งกันในการวิเคราะห์ การโจมตีของคุณมากเท่านั้น", "มีความเป็นไปได้อย่างมากว่าคุณจะสามารถใช้โฮสต์ผ่านโดยผู้บริหารระบบไม่รู้ ตัว ไม่รู้ว่าคุณเป็นใครและไม่สามารถตามรอยคุณได้ ถึงแม้ว่าเขาจะรู้จักคุณแล้วก็ตาม" Ladwig กล่าว

"ถ้าคุณโทรศัพท์ไปที่องค์กรหนึ่งไม่ว่าจะใหญ่แค่ไหนก็ตาม จำไว้ว่า คนแรก (คนที่สอง หรือคนที่สาม) ที่รับโทรศัพท์ อาจไม่ใช่ผู้ที่สามารถตรวจสอบเหตุการณ์ที่เกี่ยวกับความปลอดภัยนี้ โดยเฉพาะในเวลาที่ไม่ใช่เวลาทำงาน" เวลา เป็นกุญแจสำคัญ

ตามรอยหรือไม่ตามรอย

กลับมาสู่เหตุการณ์ของเรากันต่อ ไซต์ของคุณถูกใช้เป็นที่โจมตี คุณควรให้ความร่วมมือให้มากเท่าที่เป็นไปได้ ไซต์ที่คุณให้ความช่วยเหลืออาจยินดีให้ความช่วยเหลือตอบแทนคุณในคราวหลัง หรือเพื่อเป็นการเตรียมการไว้ สำหรับกรณีของคุณในอนาคตสำหรับการตัดสินใจว่าจะตามรอยหรือไม่ ไม่ต้องใช้ทักษะอะไรนอกจากการหา ระบบนั้นด้วยชื่อหรือ IP address และอ่านและทำความเข้าใจกับ log file

่ไซต์ส่วนใหญ่พยายามที่จะตามรอยการสแกนหาช่องโหว่หรือการบุกรุกหรือไม่ ? ทุกไซต์ที่ผมติดต่อด้วย ใช้วิธีที่แตกต่างกัน แต่คล้ายกัน เกณฑ์สำหรับการติดสินว่าควรตามรอยหรือไม่ ในกรณีทั่วไปให้ตามรอยทุก ๆ เหตุการณ์ มีไซต์หนึ่งที่ส่งข้อความให้หยุดการโจมตีอย่างเกรี้ยวกราดไปยังไซต์ที่เป็นต้นตอ (ซึ่งอาจเป็นไซต์ไว้สำหรับโจมตี ไม่ใช่ไซต์ของผู้โจมตี) ทุก ๆ ครั้ง การส่งอีเมลล์ไปยังไซต์นั้น โดยอาศัย technical contact อย่างน้อยคุณได้ช่วยกระตุ้นให้พวกเขาได้ตรวจสอบ ระบบที่เป็นต้นตอของการโจมตีและอาจปรับปรุง ระบบรักษาความปลอดภัยให้ดีขึ้น

Romig ได้อธิบายถึงเกณฑ์หลายอย่างอันมีประโยชน์เพื่อการตัดสินใจว่าควรทุ่มเทในการตามรอยแค่ไหน ขึ้นอยู่กับความรุนแรงของเหตุการณ์ ความเสียหายที่ได้รับ หรือความต่อเนื่องในการโจมตี อีกอย่างที่สำคัญ คือคุณภาพหลักฐานที่ที่มีอยู่ "ถ้าผู้บริหารระบบตัดการติดต่อของผู้บุกรุกแล้วหรือลบ log ที่บันทึกไว้ หรือทำให้หลักฐานเสียหาย เราไม่พยายามที่จะตามรอย" Romig กล่าว

เกณฑ์ อีกอย่างหนึ่งคือความสามารถในการรวบรวมหลักฐาน ถ้าการบุกรุกนั้นมาจากระบบนั้นเอง เช่น โทรศัพท์ภายในหรือ ISP ภายในท้องที่นั่น "เรามีโอกาศที่ดีกว่าในการ เก็บรวบรวมหลักฐานเพื่อจับ ผู้กระทำผิด" Romig กล่าว การโจมตีที่มาจากประเทศอื่นทำให้การรวบรวมหลักฐานยุ่งยาก "ถ้าผู้บุกรุกใช้ระบบของเราเพื่อกระทำ การผิดกฏหมายที่ไซต์อื่น เราจะให้ความร่วมมือในทุกทางที่เป็นไปได้(โดยถูกกฏหมาย) เพื่อย้อนรอยการกระทำกลับไปยังที่มา

A New Posse?

ทุก วันนี้ ดูเหมือนน่าเบื่อหน่ายมากเวลาที่จะต้องตามรอยกลับไปยังผู้กระทำผิด อินเตอร์เน็ตที่มีขนาดใหญ่ ความแตกต่างระหว่างประเทศ และจำนวนของไซต์ที่มีการรักษาความปลอดภัยที่ไม่ดีทำให้การตามรอย เป็นสิ่งที่ทำให้เกิดความท้อถอย ในขณะที่สิ่งนี้อาจเป็นข้อได้เปรียบสำหรับผู้โจมตี จำไว้ว่าอเมริกายุคคาวบอยในสมัยก่อน จะแขวนคอโจรขโมยม้า เหตุผลหนึ่งเพราะม้าขโมยได้ง่ายและการแขวนคอเป็นการลงโทษที่รุนแรงที่ทำให้ คนขยาด ไม่กล้าทำความผิด ไม่ใช่ว่าผมแนะนำให้แขวนคอนักล้วงข้อมูลแต่เพราะผมรู้ว่าใครบางคนจะรู้สึก เจ็บปวด นี่ใม่ใช่เกม

คุณสามารถทำอะไรได้บ้าง ? นอกจากการปรับปรุงระบบรักษาความปลอดภัยของคุณให้หนาแน่นขึ้นแล้ว คุณ สามารถช่วยให้ไซต์อื่นหาบุคคลที่จัดการเกี่ยวกับการรักษาความปลอดภัยของไซต์คุณได้ง่ายขึ้น เช่น การให้ข้อมูล เกี่ยวกับการติดต่อบนเวปไซต์ของคุณ คุณสามารถเลือกให้ฝ่ายข้อมูล เป็นจุดสำหรับการติดต่อ ได้ถ้าคุณต้องการ

URL ที่มีข้อมูลที่มีประโยชน์:

รายงานของ Fred Avolio เกี่ยวกับการตามรอยอีเมลล์ มีข้อมูลเกี่ยวกับการใช้ whois และ nslookup รวมอยู่ด้วย: http://www.avolio.com/tracing.html

The Network Flight Recorder site: www.nfr.net, log ของระบบ IDS ส่วนมากสามารถช่วยในการ หาแหล่งที่มาของการบุกรุกได้ด้วย

ไซต์ CERT ของสหรัฐ ฯ และรายงานเกี่ยวกับการจัดการกับเหตุการณ์: http://www.cert.org/incident_notes/index.html เดี๋ยวนี้หลาย ๆ ประเทศมีหน่วย CERT ของตัวเอง

FIRST, the Forum of Incident Response Teams; www.first.org

เขียนโดย Pom infosec.sran.org 03/2545

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License