Youtube Analysis

11.04.07
SRAN Detect Clip Video (Youtube Web)

การตรวจจับเนื้อหาในการ Upload Clip Video จาก Web Youtube

ตามที่ทราบกันดี ว่าทางกระทรวง ICT ได้ทำการปิดกั้น Web Youtube ทั้งที่เป็น Domain / URL เนื่องจากมีการเผยแพร่ Clip Video ไม่เหมาะสม การเข้าถึง Web Youtube จึงไม่สามารถเข้าไปใช้งานตามปกติ

ซึ่งทางทีมงาน SRAN เห็นควรว่าการปิดกั้น Domain ดังกล่าวเป็นวิถีทางที่ยังไม่ใช่ทางออกที่ดีที่สุด
455351742_c7579ce75e.jpg
ภาพการติดตั้งเพื่อตรวจจับเนื้อหาในการ Upload Clip Video ผ่านทางเครือข่าย (Network)

ทางทีมงานเสนอวิธีการ ตรวจจับเพื่อให้ทราบถึง การใช้งานและ IP ที่ทำการ Upload Clip Video เพื่อใช้ในการสืบค้นหาผู้กระทำผิดทางระบบสารสนเทศต่อไป

ประเด็นที่เราทำการทดลอง ระบบ SRAN เพื่อใช้ตรวจจับ การ Upload Clip Video ครั้งนี้ก็เพื่อ ตรวจหาเส้นเดินทางข้อมูลที่ไม่เหมาะสม จากในประเทศไทย ที่ทำการออก สู่ต่างประเทศ

เราเชื่อว่า Web สมัยใหม่เป็นเรื่อง Social Networking ่ เนื้อหา (Content) ใน Web เกิดจากผู้อื่น ที่มีส่วนร่วมในการแสดงความคิดเห็น การแสดงข้อมูล ต่างๆ จึงยากแก่การปิดกั้นสื่อเหล่านี้ได้ อีกทั้งมีเทคนิคในการซ่อนตัวเพื่อเข้าถึงข้อมูลที่ต้องการ โดยใช้ Anonymity Network ถึงจะมีการ Block Domain/ URL อย่างไรจากทางรัฐบาล User ที่พอมีความรู้ก็สามารถเข้าไปรับรู้ข้อมูลจาก Web ต้องห้ามนั้นได้ อยู่ดี (ในการทำการทดลองของกลุ่ม SRAN ครั้งนี้อยู่ในช่วงเวลาที่มีการ Block Web Youtube แต่เราก็เข้าไปทำการทดลองได้อยู่
จึงคิดว่าเกือบจะไม่มีประโยชน์เลยที่ทางรัฐบาลปิดกั้นสื่อด้วยวิธีนี้)

อีกประเด็น หากมีการเผยแพร่ Clip Video เช่นนี้ ในที่ต่างๆ ทางรัฐบาลอาจทำการปิด Domain อื่นๆ ได้อีก เช่น Video.google.com ,yahoo , Metacafe หรือ บน Wikipedia ที่เปิดโอกาสให้บุคคลทั่วไปได้มีส่วนร่วมในการแสดงความคิดเห็น และถ่ายทอดข้อมูลสู่สาธารณะ ทางรัฐบาลเองจะไม่ทำการปิด Domain Google , Yahoo , หรือ Wikipidea อีกหรือ ? และหากปิด จะส่งผลกระทบต่อการค้นคว้าหาข้อมูลแค่ไหน ?

ดังนั้น การป้องกันที่ดี สุด นั้นไม่มี นอกจากว่า เราต้องทราบถึง แหล่งที่มาที่ไป ของ IP / กลุ่มผู้ไม่ประสงค์ดี และสร้างเป็นหลักฐานเพื่อใช้ในการดำเนินคดีต่อไป หรืออีกนัยหนึ่ง หมายถึงเราต้องมีเทคโนโลยี ในการเฝ้าติดตาม และเฝ้าระวัง ภัยคุกคาม รวมถึงเนื้อหาที่ไม่เหมาะสม อยู่บน Information Gateway ของประเทศไทยเราเอง นั้นเอง สามารถอ่านแนวคิดนี้ได้ที่ http://nontawattalk.blogspot.com/2007/04/information-pitfall.html

บทความนี้เราต้องการเสนอวิธีการตรวจจับเนื้อหาในการ Upload Clip Video จาก Web Youtube

โดยมีจุดประสงค์ เพื่อบรรลุเป้าหมายอันควรดังนี้

1. บันทึกเหตุการณ์ที่เกิดขึ้น บนเครือข่ายคอมพิวเตอร์ ค้นหาผู้กระทำผิดทางอาชญกรรมคอมพิวเตอร์
2. เพื่อเป็นการแสดงถึงวิธีการตรวจหา IP ที่ทำการ upload clip video บน Web Youtube
3. เพื่อให้ทราบถึงการปรับแต่ง Signature ที่เราสามารถทำได้เอง จากเทคโนโลยีที่เราสามารถควบคุมได้เอง
ที่กล่าวถึงการปรับแต่งได้เอง เนื่องจากหากนำเทคนิคการปรับแต่งวิธีการตรวจจับให้ ต่างชาติเป็นผู้พัฒนาให้ จะมีต้นทุนของราคาที่สูง และไม่เป็นผลดีต่อความมั่นคงของชาติ ทีมงาน SRAN เป็นกลุ่มคนที่เป็นคนไทย ทั้งทีม จึงอาจกล่าวได้ว่าเราสามารถควบคุมเทคนิคการปรับแต่งเพื่อตรวจจับเนื้อหาอื่นๆได้
เองโดยไม่ต้องพึ่งพาต่างประเทศ เคยเสนอการปรับแต่งมาแล้วเหตุการณ์หนึ่ง คือการตรวจจับ Camfrog โดยใช้ SRAN เป็นต้น

เทคโนโลยีที่ใช้

IDS/IPS (ที่ปรับแต่งได้เอง) ทีมงาน SRAN ไม่ได้มองเทคโนโลยี IDS/IPS เป็นแค่เพียงอุปกรณ์ในการตรวจจับและป้องกัน Virus/Worm/Spyware/Trojan/Spam , DDoS/DoS ,P2P อย่างเดียว แต่ IDS/IPS สามารถทราบถึงข้อมูลอื่นๆได้ที่เราต้องการให้จับ ซึ่งในที่นี้เราใช้การประยุกต์เทคโนโลยี รวมเรียกว่า SRAN Security Center มาตรวจจับเนื้อหา บน Web Youtube

ขั้นตอนการจับค่า Payload เพื่อนำมาเขียนเป็น Signature ในการตรวจจับ

ใช้อุปกรณ์ Wire Shark เพื่อดักข้อมูล ใน LAB ที่ใช้ในการทดลองเราสามารถดักข้อมูลที่เป็นจุดสำคัญขั้นตอนการ Upload Clip ได้ดังนี้

0060 0d 43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 .Content-Disposi

0070 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b tion: form-data;

0080 20 6e 61 6d 65 3d 22 66 69 65 6c 64 5f 6d 79 76 name=”field_myv

0090 69 64 65 6f 5f 74 69 74 6c 65 22 0d 0d 0d 0d 0d ideo_title”…..

HEX :

|43 6f 6e 74 65 6e 74 2d 44 69 73 70 6f 73 69 74 69 6f 6e 3a 20 66 6f 72 6d 2d 64 61 74 61 3b 20 6e 61 6d 65 3d 22 66 69 65 6c 64 5f 6d 79 76 69 64 65 6f 5f 74 69 74 6c 65 22|

Plain-text :

Content-Disposition: form-data; name=”field_myvideo_title”

จากนั้นนำส่วนที่จับได้มาทำการเขียนเป็น signature เพื่อบรรจุเข้า Database SRAN
455351736_5a28db33c9_o.png
ทางทีมงาน SRAN ได้เขียน Signature เพื่อใช้ในการตรวจจับ 2 วิธีนั้นคือ

การตรวจจับ การ Post upload Disposition และ Post upload movie

การ Post upload Disposition จะเป็นตรวจจับเนื้อหาในการ Post ในหน้า Web Youtube ในหน้าดังตัวอย่างภาพต่อไปนี้
455351724_8dca4e34c1_o.png
การ Post upload movie จะเป็นการตรวจจับหน้า Video upload ซึ่งจะแสดงผลดังภาพต่อไปนี้
455366917_433046e066_o.png
ผลในการทดลองพบว่าเราสามารถตรวจจับเนื้อหาในการ Upload Clip Video รวมถึงค่า Tag ที่ใช้ในการค้นหา ข้อความ หรือ คำพูด (Key Words) ใน Web Youtube ได้

ซึ่งจะแสดงผลการทดลองดังนี้
455351730_f16a2a6bc8_o.png
จะเห็นว่าระบบ SRAN สามารถตรวจจับ พฤติกรรมของ IP 192.168.1.45 ได้ว่ามีการ post Upload clip Video ไปยัง Web Youtube ได้โดยระบุ IP ต้นทาง และ IP ปลายทาง Port ต้นทาง และ Port ปลายทาง รวมถึง วันเวลา ที่ทำการ upload clip video ได้อีกด้วย
455351732_2d458d4677_o.png
ภาพแสดงการจับเนื้อหาในการ upload clip video จะเห็นหัวข้อแสดงผลว่า “SRAN Test” ในเนื้อหา บอกถึง “ทดสอบการตรวจจับ content ในการ upload files บน Youtube”
455351734_816075989b_o.png
ภาพแสดงหัวเรื่อง และชนิดภาษาที่ใช้ ในการ Upload Clip Video

การต่อยอดจากเทคนิคนี้ เราสามารถตรวจจับได้มากกว่าตัวอย่างที่นำเสนอ โดยระบุเป็นคำที่มีความเสี่ยงต่อความมั่นคงได้ หรือระบุเพื่อตามหา บุุคคล, เนื้อหาบน Clip อื่นๆ จากเทคนิคนี้เองจะทำให้ทราบถึงต้นทางข้อมูลได้

สรุป

หากนำเทคโนโลยีการตรวจจับสิ่งผิดปกติที่เกิดขึ้นบนเครือข่าย (Network Intrusion Detection System) มาประยุกต์ใช้ในกระบวนการจับเนื้อหา จะทำให้เราทราบถึงที่มาที่ไปของพฤติกรรม IP ที่เกิดขึ้นบนโลกอินเตอร์เน็ท

สิ่งที่ทางทีมงาน SRAN ได้จัดทำขึ้นในครั้งนี้ก็เพื่อไม่ต้องการให้ ICT เมืองไทยปิดกั้นสื่อจากการ Block ที่ Domain แต่ควรเป็นการตรวจจับและ Block ที่เนื้อหา Content มากกว่า ถึงแม้การจัดทำเทคโนโลยีนี้มาใช้งานจริง จำเป็นต้องใช้การประมวลผลแบบ Computer Cluster บน ISP จำนวนมากก็ตาม แต่เป็นสิ่งที่รัฐบาลควรทำ เพื่อให้ทราบถึงภัยคุกคามในรูปแบบสื่อสารสนเทศสมัยใหม่
และเป็นทางออกหนึ่งที่มีประโยชน์สำหรับงานทางสืบสวนสอบสวนอาชญากรรมคอมพิวเตอร์ต่อไป

สุดท้าย ขอให้เชื่อมั่นในภูมิปัญญาคนไทย หากเราใช้เทคโนโลยีต่างประเทศ ก็ขอให้เราควบคุมเทคโนโลยีนั้นได้เอง ไม่เช่นนั้นเราจะไม่สามารถต่อรองใดๆ ได้มากหากเป็นเพียงแต่ผู้ใช้งาน ทีมงาน SRAN มีความหวังดีต่อประเทศไทย อยากให้ประเทศไทย มีภูมิต้านทางความรู้ด้านระบบความมั่นคงสารสนเทศ เพื่อชาติไทย อย่างแท้จริง เราพร้อม ที่จะเป็นกำลังสำคัญในการพัฒนาชาติไทยให้ก้าวหน้าต่อไป

อ่านเพิ่มเติมได้ที่ http://www.sran.net/archives/56
SRAN Dev Team

11/04/50

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License