[Review] แชร์ความรู้อบรมเรื่องวิธีรับมือซอร์ฟแวร์เรียกค่าไถ่ Ransomware ในองค์กร

สำหรับบทความนี้เป็น บทความทบทวน (Review) ความรู้เรื่อง Security ที่ได้ไปอบรมมา พอดีได้มีโอกาสอบรมกับสำนักงานรัฐบาลอิเล็กทรอนิกส์ (สรอ.) เป็นการอบรมภายในองค์กร ด้านความปลอดภัย เพื่อป้องกันไวรัสที่ชื่อ Ransom-ware ส่วนผู้บรรยาย เป็นผู้เชี่ยวชาญ ชื่อคุณกิติศักดิ์ ตามภาพด้านบนครับ ผมคิดว่ามีประโยชน์ก็เลยนำมาแบ่งปันให้เพื่อนๆที่สนใจได้อ่านกันครับ

ส่วนตัวแล้วนั้น ชอบเรื่อง Security Network มากแต่ไม่มีโอกาสที่ได้รับประสบการณ์ด้วยตนเองสักเท่าไร ไม่ได้จับมาโดยตรง แต่ได้มีโอกาสมานั่งฟังกับผู้ทีมีประสบการณ์โดยตรงแล้วก็เป็นโอกาสที่ดีที่จะได้ความรู้อีกทางหนึ่ง แต่เพื่อไม่เป็นการเสียโอกาส ผมชอบแชร์ความรู้ผ่านตัวหนังสืออยู่แล้ว ก็แชร์ๆกันครับ

เพื่อความปลอดภัย จึงต้องป้องกันข้อมูลบางอย่างเลย Hi-light ภาพด้านบนไว้บางส่วน หลังจากนี้มาอ่านการบรรยายของคุณ กิติศักดิ์ เกี่ยวกับวิธีป้องกัน Ransom-ware กันดีกว่า ปล. ผู้เขียนได้ทำการอัดเสียงมานั่งเขียนอีกรอบ เพื่อไม่เป็นการเสียเวลา จากการอบรม 2.30 ชั่วโมง โดยการสรุปคร่าวๆ ไม่ได้เหมือนกับที่คุณกิติศักดิ์พูดแบบถอดเทปออกมาใช้การสรุปเรื่องที่พูดและเติมเนื้อหาเพิ่มเข้าไปนิดหน่อยเพื่อให้เข้าใจได้ง่ายขึั้น มาเริ่มกันเลยยยครับ!!

ก่อนที่จะเข้าเรื่องวิธีการรับมือกับ Ramsomware นั้น ก่อนอื่นมาลองรู้จักคนบรรยายก่อนก็แล้วกัน

หลังจากที่ได้ดูประวัติจากภาพแล้วก็ มาลองอ่านที่เขาบรรยายกันครับ ซึ่งผมได้สรุปไว้ดังต่อไปนี้ครับ

ก่อนที่จะเข้าไปถึงเรื่อง Ransomware จะต้องมาปูพื้นกันก่อน 

เพราะคนมาอบรม มาจากหลากหลายแขนงวิชา

----------------------------------------------------------

ถ้าพูดถึง แผนก IT แล้วละก็นับว่าเป็น แผนกเดียวที่ไม่ได้เป็นส่วนในการหารายได้เข้ามายังองค์กรเลย แต่ในทางตรงกันข้ามก็เป็นแผนกที่ขาดไม่ได้จริงมั้ยครับ เพราะว่ามันมีบางสิ่งบางอย่างที่เข้ามาทดแทน ทรัพยากรฟุ่มเฟือย อย่างเช่น กระดาษ แฟ้มข้อมูล ความรวดเร็วในการบริหารจัดการ เป็นต้น

หลักจิตวิทยา คนทั่วไปต้องการความปลอดภัย ดังนั้น เรามักจะต้องป้องกันอะไรบ้างให้เกิดความปลอดภัยในชีวิต??

สิ่งที่จะต้องป้องกัน อย่างเช่น

1. เงิน

2. บ้าน

3. ความรู้

4. ชีวิต , ร่างกาย

แต่ถ้าเป็นความปลอดภัยในองค์กรล่ะ มีอะไรบ้าง??

สิ่งที่จะต้องป้องกัน อย่างเช่น

1. ข้อมูลพนักงาน

2. ข้อมูลบริษัท เช่น เบอร์โทร

3. ข้อมูลผลิตภัณฑ์ 

4. หรืออะไรก็ตามที่อาจจะทำให้องค์กรหรือบริษัทเสื่อมเสียชื่อเสียง เป็นต้น

หรือ แม้กระทั่ง สุขภาพของพนักงาน ก็ถือว่าเป็นทรัพย์สินของบริษัทเหมือนกัน ยกตัวอย่างเช่น ถ้าหาก มีพนักงานคนหนึ่งดูแลผลิตภัณฑ์ตัวหนึ่งอยู่แล้วเกิดไม่สบายขึ้นมาแล้วมีคนรู้อยู่คนเดียว ก็ทำให้เกิดความล่าช้าของงานเกิดขึ้นก็ถือว่าเป็นสิ่งที่จะต้องดูแล

จึงทำให้เกิดคำถามขึ้นมาว่า " แล้วป้องกันแค่ไหนถึงจะพอกันล่ะ"

จากภาพด้านบน เมื่อเปรียบเทียบกันแล้ว จะเห็นว่าชุดเกราะทางด้านซ้ายมือ เป็นชุดเกราะทรงไทย ซึ่งจะปกปิดเฉพาะส่วน ลำตัวและหัว อาจจะเป็นเพราะความคล่องตัวในการรบ แต่ส่วนชุดเกราะทางด้านขวา เป็นชุดเกราะทางยุโรป จะปกปิดทั้งตัว สังเกตเห็นว่าจะเป็นโลหะทั้งตัวซึ่งเมื่อเปรียบเทียบระหว่างสองชุดเกราะแล้วนั้น จำนวนโลหะ ก็ขึ้นอยู่กับมูลค่าหรือราคาของโลหะนั้นๆด้วย เมื่อป้องกันจะป้องกันได้ดีกว่าก็ขึ้นอยู่กับจำนวนโลหะ แต่ทั้งนี้ เราไม่ได้มองกันว่า ชุดเกราะไหนดีกว่าอย่างไรแต่ให้มองว่า

" ชีวิตของนักรบมีค่ามากแค่ไหน" 

เมื่อมามองมุมในการให้บริการการป้องกันรักษาความปลอดภัย 

ไม่สามารถบอกได้ว่าป้องกันแค่ไหนถึงจะพออย่างที่ถามกันเอาไว้ในตอนต้น

มันขึ้นอยู่กับหลายๆปัจจัย เช่น

1. งบประมาณ

2. ทรัพย์สินที่จะต้องป้องกัน

3. ความเสี่ยงที่จะเกิดขึ้นมีอะไรบ้าง

4. การประเมินความเสี่ยง

เมื่อเปรียบเทียบกับอดีต สถานการณ์การใช้อินเตอร์เน็ตมันเปลี่ยนแปลงไป 

ซึ่งในอดีต การเข้าถึงอินเตอร์เน็ตค่อนข้าง ช้ามาก อุปกรณ์ในการสนับสนุนน้อย

แต่ในสมัยนี้ ทุกๆอย่างแทบจะเรียกได้ว่า มีพร้อมทุกอย่าง เร็ว สนับสนุน มีอุปกรณ์ที่หลากหลาย

แต่ด้วยความสะดวกสบายที่เพิ่มขึ้นก็ทำให้ ความไม่ปลอดภัยก็เพิ่ม

ขึ้นตามเป็นเงาตามตัวเช่นกัน 

เช่น สมัยนี้เมื่อพูดถึง Social Network ไม่มีใครไม่พูดถึง Facebook ในหลายๆปีที่ผ่านมา การใช้ facebook ทำให้เราสามารถเจอเพื่อนเก่าที่ไม่ได้เจอกันนาน สามารถที่จะเจอและติดต่อกันได้ 

ด้วยความสะดวกตรงนี้จึงทำให้เกิดช่องทางของ Hacker ที่มักจะเอาข้อดีที่เกิดขึ้นนี้เป็นช่องทางสร้างความเป็นอันตรายต่อเหยื่อได้ ดังเช่นข่าวที่มาไม่เว้นแต่ละวัน

เพราะฉะนั้นในการ ป้องกันเบื้องต้น ก็จะมีอยู่ 4 ส่วน หลักๆ คือ

1. เรียนรู้ อบรมให้เกิดความเข้าใจ เรียนรู้ให้ทันปัจจุบัน (รู้เขา รู้เรา)

2. ความร่วมมือในองค์กร การศึกษาพร้อมความรู้ในการร่วมมือกัน

3. ให้เทคนิคบางอย่างให้เป็น

4. จะต้องรู้ว่าหากเกิดปัญหา แล้วจะต้องติดต่อใคร ในส่วนของผู้ดูแล

ทั้ง 4 ข้อนี้ สิ่งที่สำคัญที่สุดคือข้อแรก 

เพราะ ความรู้ของแต่ละคนไม่เท่ากัน

หลักสำคัญในการทำให้เกิดความปลอดภัย ได้แก่ C I A ที่มีคนพูดถึงกันมากที่สุดสรุปง่ายๆก็คือ 

อะไรก็ตามที่ทำให้เกิด 3 ตัวอักษรย่อนี้ คือ ความปลอดภัย

อะไรก็ตามที่ทำลาย 3 ตัวอักษรย่อนี้ คือ ความเสี่ยง

หากใครยังไม่ทราบว่า C I A คืออะไร จะอธิบายให้อ่านกันครับ

C (confidentiality) ความลับของข้อมูล คือข้อมูลที่ห้ามเปิดเผยให้ผู้ไม่มีสิทธิ์รู้ 

หากรู้ก็ไม่เรียกว่า ความลับ เช่น Password

I (integrity) ความสมบูรณ์ของข้อมูล คือ ข้อมูลจะต้องไม่ถูกเปลี่ยนแปลง คงอยู่ในรูปที่สมบูรณ์ที่สุด หรือข้อมูลที่เปลี่ยนแปลงล่าสุดโดยเจ้าของข้อมูลที่แท้จริง เช่น สมมติว่ามีข้อมูลเอกสารอยู่ใน Thumdrive แล้วดันลืมว่าทิ้งไว้ที่โต๊ะทำงาน แล้วพอดีว่าถูกเพื่อนร่วมงานเกลี่ยดขี้หน้าเข้า จึงได้เข้ามาเปลี่ยนข้อมูลในเอกสารนั้น โดยเราไม่รู้ตัว

A (available) ความพร้อมใช้งาน คือ ข้อมูลจะต้องสามารถเรียกใช้ได้ตลอดเวลา เช่น สมมติว่า Ebay ปิดระบบการทำงาน เป็นเวลา 5 นาที ลองคิดเล่นๆดูว่า Ebay จะขาดรายได้เท่าไร คำตอบคือ 1500 ล้านยูเอสดอลลาร์ หรือถูกโจมตีด้วย DDos ทำให้หยุดการให้บริการ เป็นต้น

ดังนั้น สิ่งที่ทำให้เกิดความเสี่ยงจึงเป็นเป้าหมายของ Hacker ที่จะโจมตีมี

1. System

2. Network

3. DDOS

4. Application

5. Data

ยกตัวอย่าง ความเสี่ยงที่เกิดขึ้น เช่น ระบบเอกสารทางราชการแห่งหนึ่ง ทำเอกสารเผยแพร่ให้ประชาชน เห็นผู้บรรยายบอกเป็นเหตุการณ์จริงแต่ได้แก้ไขไปแล้ว โดยทำเอกสารวิธีใช้ระบบแต่ดันใส่ ข้อมูล User และ Password ให้พร้อมอยู่ในเอกสาร ทำให้สามารถเข้าไปได้โดยไม่ต้อง Hack อะไร เพราะเป็นการบอกตรงๆอยู่แล้ว ถือเป็นความเสี่ยงอย่างมาก

แต่ก็ยังปิดอยู่ดีหากเข้าไปในระบบโดยไม่ได้รับอนุญาต ตามมาตรา 5 พรบ.คอมพิวเตอร์

ถ้าหากติดตามข่าว เมื่อ 2-3 ปีที่ผ่านมามักจะได้ยินข่าวของพวก Call Center กันใช่หรือไม่

เทคนิคของพวก Call Center ที่ชอบหลอกให้เหยื่อ โอนเงินให้ก็ใช้เทคนิคคล้ายๆกับ Ransomware เช่นกัน หรืออาจจะเรียกได้ว่า Call Center เป็นต้นแบบซะมากกว่า

เทคนิคที่ว่านั้น มีอยู่ 2 รูปแบบ คือ

1. ขู่ให้กลัว 

2. หลอกให้ดีใจ

เช่น มาหลอกให้กลัวว่ามีคดีติดตัวอยู่ให้รีบดำเนินคดี โดยหลอกให้บอกข้อมูลส่วนตัว และ ให้จ่ายเงินเพื่อลดหย่อนโทษ คนที่กลัวจริงๆแล้วเชื่อก็ตกเป็นเหยื่อ

หรือ หลอกให้ดีใจ ก็อย่างเช่น ตัวปลอมของเจ้าของน้ำดื่มคาเฟอีนยี่ห้อหนึ่ง หลอกให้โอนเงินทรูมันนี้ โดยหลอกว่าคุณได้รับรางวัลจากการส่งชิงโชคฝาเครื่องดื่มเป็นต้น 

สมัยนี้ก็ยังมีคนใช้และหากินแบบนี้อยู่ ไม่ว่าจะ Call Center หรือ facebook โดยจะซุ่มโจมตีโดยไม่เลือกเป้าหมาย จะเป็นใครก็ได้ขอแค่ติดกับเท่านั้น

ในยุคปัจจุบัน Hacker เลือกที่จะโจมตีเป้าหมายแบบเจาะจงมากขึ้น โดยใช้เครื่องมือในการโจมตี คือ Email

ซึ่งจะใช้เนื้อหาข้อมูลที่คิดว่า เป้าหมาย จะหลงกล ติดกับกด Virus ไปติดตั้งบนเครื่องคอมพิวเตอร์ของเหยื่อ เรียกเทคนิควิธีนี้ว่า Phishing ไม่ใช่ Virus แต่เป็นเทคนิค

ภาพนี้ได้เกริ่นไว้คร่าวๆก่อน ก่อนที่จะไปดูเรื่อง phishing

แต่จะมาดูกันว่า Hacker ใช้เทคนิคอะไรในการโจมตี Email กันบ้าง

1. Hacker จะใช้วิธีการเดา Password หรือ เทคนิคที่เรียกว่า Brute Force เดาพาสเวิร์ดไปเรื่อยๆ และ เก็บไว้ใน Password dictionary

2. Hacker ใช้เทคนิค Social Engineering เป็นการหลอกโดยการใช้จิตวิทยา ข่มขู่หลอกให้กลัว หลอกให้ดีใจเหมือนกับ Call Center ที่เล่าให้ฟังในตอนต้น

3. Hacker ใช้การโจมตีด้วย Malware พยายามหลอกโดยจิตวิทยา เหมือนกับ Social Engineering เหมือนกัน แต่ก็ไม่เหมือนซะทีเดียว เป็นการหลอกให้ กดลิ้งหรือไฟล์เอกสารที่แนบมากับ Email เพื่อให้ ไวรัสในเอกสารทำงาน

Malware หรือที่รู้จักกันดีก็คือ Malicious + Software เป็นการนิยามคำขึ้นใหม่ของ Virus หลากหลายรูปแบบ ทั้งหมดประมาณ 37 ชนิด

เช่น Worm Trojan จนมาถึงยุค Ransom นั้นเอง

Ransom  =  การข่มขู่

ตามยุคสมัยของ Virus นั้น ก็จะมี

ยุคแรก - ทำการก่อกวน ก็จะเป็น พวก Virus หรือ worm ที่นิยามกันในสมัยนั้น

ยุคถัดมา - ทำการขโมยข้อมูล เช่น password ข้อมูลเอกสาร ข้อมูลส่วนตัว

ยุดปัจจุบัน - ยุคแห่งการข่มขู่

http://www.komando.com/wp-content/uploads/2014/05/ransom.jpg

Ransomware

นิยามของไวรัสตัวนี้ เป็นซอร์ฟแวร์ที่ทำการข่มขู่ เพื่อต้องการอะไรบางอย่างจากเหยื่อ

วิธีการของมันจะมีอยู่ 2 รูปแบบ

1. Lock File
2. Lock Access OS

ซึ่งมันจะใช้ Algorithm ในการเข้ารหัส คือ RSA4096 โดยปกติการเข้ารหัสไฟล์ธรรมดา ใช้แค่ 256 bit ก็ถอดรหัสกันไม่ได้แล้ว

ซึ่งการเข้ารหัสตัวนี้ ถ้าจะถอดได้ก็ประมาณ 200 กว่าล้านปี ในการใช้เทคนิคต่างๆในการถอดรหัส

แล้วจะแก้กันอย่างไรล่ะ

"อยากได้เงินใช่มั้ย จ่ายเงินมาสิ"

จึงเกิดคำถามอย่างมากมายว่า จ่ายแล้วจะได้รหัสคืนมามั้ย

อ้างอิงจากเพื่อนต่างชาติของ ผู้บรรยาย เขาบอกว่า ยังไม่เคยมีเคสไหนที่ไม่เคยได้คืน 

ได้คืนหมด

การทำแบบนี้ก็เหมือนเป็นการทำธุรกิจ ดังนั้นหาก มีคนยอมจ่ายเงินเพราะข้อมูลมันสำคัญมากแล้วไม่ยอมให้รหัสแล้วละก็ ใครจะยอมจ่ายกันต่อล่ะ

Hacker ไม่ฆ่าหรือทำลายธุรกิจของตัวเอง

แต่

ต้องพยายามป้องกันและอย่าจ่ายเงินให้กับคนกลุ่มนี้ 

เพื่อให้ธุรกิจนี้ตายไปเอง

Ransomware มีหลาย Version ขึ้นอยู่กับว่า จะไปติด Version ไหน ถ้าโชคดีหน่อยก็อาจจะไปติด Version ที่มี Key ถอดรหัสแล้ว

แล้วติด Virus ชนิดนี้ได้ยังไงกันล่ะ??

Hacker มักจะใช้เทคนิคต่างๆ พยายามทำให้เหยื่อติดกับอย่างไร 

เทคนิค Watering Hole Attack เทคนิคนี้ Hacker จะเข้าไป Hack Website ที่มีคนให้ความสนใจเป็นอย่างมากแล้วฝั่ง Ransmware เข้าไปใน Link เพื่อที่จะทำให้เหยื่อติด แบบเป็นกลุ่ม

เทคนิคนี้เปรียบได้กับ วัวที่มากินน้ำใน บ่อน้ำแล้วใส่ยาพิษลงไป กลุ่มวัวที่กินน้ำก็ตายหมู่

เทคนิค Spear Phishing  จากที่ได้เกริ่นไปในตอนต้นว่า Phishing เป็นการหลอกเหยื่อด้วยการส่ง Email แต่เป็นการโจมตีแบบไม่เลือกหน้า แต่ส่วน Spear Phishing จะเป็นการส่ง Email โจมตีที่ฝั่ง Ransomware แบบเจาะจงบุคคล โดยใช้เทคนิคจิตวิทยา หลอกให้เชื่อจนหลงกล

ในการทำ Spear Phishing ไม่ใช่แค่การส่ง Email เท่านั้น จะมีทั้งแบบ ทำเว็บไซต์ปลอม อีกด้วย อย่างเช่นการปลอมเว็บไซต์ของ ธนาคาร

ตัวอย่าง

 http://www.thepbodint.ac.th/news/uploads/SNAG-0055.png

วิธีป้องกัน

ในฝั่งของ USER ก็ให้ หมั่น 

1.Update AntiVirus 

2.Update Patch Windows 

3.ScanVirus สม่ำเสมอ

ในฝั่งของ Admin ก็ให้

1.ปิดช่องโหว่ของระบบเซิร์ฟเวอร์เสมอ

2.Update Patch Application Server 

3.Update Patch Server

4.ตรวจสอบ Traffic Network

5.ดูพฤติกรรมการทำงานของระบบของ Log File

คราวนี้มาดูการป้องกัน Spear Phishing แบบ Email กันบ้าง

เริ่มจากการสังเกตจะต้องมาดู การดู Email ให้เป็นว่าเป็น Email หลอกหรือเปล่า

1. ดูว่าใครส่ง (Address ที่คล้ายของจริง)

2. ดู Email Header

3. เนื้อหาที่ดูว่าเราเหมือนจะเกิดปัญหา เช่น Password หรือ User มีปัญหา และพยายามอธิบายการแก้ปัญหา โดยแนะนำให้กด Link เป็นต้น

Hacker ใช้เทคนิคที่ว่ามานี้ เมื่อเหยื่อติดกับแล้วจะเกิดอะไรขึ้นคราวนี้มาดูกันว่า Ransomware ทำอะไรต่อหลังจากทำให้ติดไวรัสตัวนี้แล้ว 

เมื่อเหยื่อติดกับ Ransomware จะ Gennerate key file ขึ้นมาด้วย RSA4096 จากนั้นจะเก็บไฟล์ Password ไว้ในเครื่องของเหยื่อหรือ เอามาเก็บไว้ที่ Server ของ Hacker นั้นเองถ้าต่อ Internet

ทำไมจ่ายเงินแล้วตำรวจตามจับ Hacker ไม่ได้??

ก็เพราะว่า Hacker ให้จ่ายเงินเป็น Bitcoin

https://i.kinja-img.com/gawker-media/image/upload/ibjn7rbcjlweni14hugp.png


Bitcoin คืออะไร??

สำหรับคนที่ยังไม่รู้จัก Bitcoin

Bitcoin เป็นสกุลชนิดใหม่ที่ตั้งขึ้นมาเป็นค่าเงินดิจิตอล เราจะต้องเอาเงินไทยบาทของเราแปลงเป็น สกุล bitcoin โดยการสมัครเป็น Account ของ Bitcoin หากซื้อสกุลเงินมากขึ้นเท่าไร ค่าเงินจะยิ่งสูงขึ้น ด้วยคนทั่วโลกสามารถใช้ได้ แต่ถ้าสกุลเงินนี้ถูกขาย ค่าเงินก็ลดลง คล้ายกับหุ้นนั่นแหละ

วิธีจ่ายเงินด้วย Bitcoin ให้กับ Hacker

1. สมัคร Account Bitcoin ก่อน
2. Hacker จะส่ง ID bitcoin ของ Hacker มาให้เหยื่อ
3. แปลง ไทยบาทเป็น Bitcoin
4. ส่งค่าเงินเข้า ID
5. Hacker ได้รับเงินก็จะส่ง Password กลับมา

ไม่มีใครสามารถที่จะตรวจสอบได้ว่า Bitcoin นี้เป็นของใคร

แต่ FBI ใช้เทคนิคนี้ ตรวจจับเจอว่า Bitcoin ID ที่ถูกโอนเข้าไป ถูกแลกเงินเมื่อไรเมื่อถูกแลกก็จะไปดักจับ คนแลกทันที

แต่คนโกงมักจะต้องนำตำรวจเสมอหนึ่งก้าว Hacker ใช้เทคนิคใหม่โดยการ ใช้ Bitcoin Mixer โดยการส่ง bitcoin ไปแลกกับคนอื่นก่อนที่จะแลกเงินกลับมา ขั้นตอนคือ จะแตก Bitcoin 10 Bitcoin เป็น 10,000 ส่วน แล้วแลกแต่ละส่วนไปยัง คน 10,000 คนทีมี bitcoin เมือแลกเสร็จแล้ว ก็จะไปแลกเงินออกมา วิธีนี้จึงไม่สามารถตรวจสอบได้ว่า Bitcoin ID นี้เป็นของใคร

แนะนำว่าให้ป้องกัน ก่อนที่ Hacker เหล่านี้จะทำธุรกิจเหล่านี้ได้ไปตลอด หรือไม่ต้องจ่ายเงินให้กับมัน

วิธีป้องกัน
1. Backup ข้อมูลอยู่เสมอ
2. ตรวจสอบ Email ก่อน
3. เปิด Stamp Filter
4. ติดตั้ง Antivirus
5. Ransomware checker
6. อัพเดท Patch
7. Disable macro office

ใช้เทคนิควิธีเหล่านี้ ก็อาจจะช่วยให้ป้องกัน Ransomware ได้ในระดับหนึ่งเท่านั้น

ถ้าหากใครอ่านแล้วชอบบทความนี้และเห็นว่ามีประโยชน์แล้วล่ะก็ ขอให้ช่วยกด Share บทความนี้ ให้เพื่อนๆได้อ่านและเข้ามากดไลค์เพจ ติดตามบทความกันได้ แล้วผู้เขียนจะเอาบทความดีๆแบบนี้มาแชร์ให้อย่างเสมอๆ ครับผม

[แชร์ประสบการณ์] หัวใจสำคัญของการเป็นผู้ดูแลระบบ Administrator

https://encrypted-tbn3.gstatic.com/images?q=tbn:ANd9GcRjmLOrxBRk1bAHBZyhcTheyvm5uB9qK6Oj1Gg_Xat9j7ERCp9B6A


กราบสวัสดีเหล่าแอดมินทั้งหลายทุกๆท่านครับ เชื่อว่าคนที่ เข้ามาอ่านบทความนี้แน่นอนว่าต้องเป็นผู้ที่จะต้องดูแลระบบหรือเรียกสั้นๆว่า แอดมิน อย่างแน่นอน ไม่ว่าจะเป็น แอดมินมือใหม่ แอดมินมือเก๋าช่ำชองเทคนิครู้ลึกถึงระดับ แอพพลิเคชั่น ยัน ฟิซิคัลเลเยอร์

หรือผู้ที่อยากจะเป็นและกำลังจะเป็นแอดมินในวันข้างหน้า ผู้ดูแลระบบที่ผมกล่าวนี้หมายถึงในทุกๆระบบนะครับ ไม่ว่าจะเป็นระบบเครือข่ายคอมพิวเตอร์ ระบบเครือข่ายเว็บไซต์ ระบบดาวเทียม ระบบโทรทัศน์ ระบบโทรศัพท์ เชื่อว่าจะต้องมีเทคนิคคล้ายๆกัน

โดยเนื้อหาต่อไปนี้จะเป็นประสบการณ์ล้วนๆ ไม่ได้อ้างอิงหรืออ่านมาจากที่ใด หากใครอ่านแล้วมีความเห็นต่างหรืออยากจะเพิ่มเติม เชิญแนะนำกันได้นะครับ

บทความนี้ผมขอเอาประสบการณ์การทำงานที่ผ่านมา มาเล่าให้ได้อ่านกันหลังจากเปลี่ยนงานมาได้ครบเดือน รับเงินก้อนแรกของการเปลี่ยนจากงานผู้ดูแลระบบ มาเป็นนักคิดระบบ

แม้ว่าจะเปลี่ยนงานแล้วก็ตามมาเป็นนักคิดแล้วก็ตามแต่ก็ยังหนีไม่พ้นกับการเป็นผู้ดูแลระบบอีกเช่นเคย เพราะต้องเข้าไปติดตั้งโปรแกรมมือถือให้กับกรรมการองค์กร ทั้งๆที่คิดว่าน่าจะเป็นหน้าที่ของส่วนแอดมินองค์กรด้วยซ้ำแต่โดน ผจก.สั่งมาก็จัดการให้ท่านๆหน่อยก็แล้วกัน

http://vccsystem.eu/wp-content/uploads/2014/04/Administrator-sieci-komputerowych_small.jpg

หลายคนอาจจะสงสัยว่า กะอีแค่ติดตั้งโปรแกรมแค่นี้ ทำไมดูเหมือนเป็นเรื่องราวใหญ่โตจัง มันไม่ใช่แค่นี้ครับความรู้สึกในตอนนั้นของผม คือ

เรื่องที่หนึ่งเลยครับจะต้องทำให้กรรมการองค์กรพอใจ ไม่ใช่เลียนะครับ แต่มันเป็นเรื่องที่ควรทำ

เรื่องที่สองบอกเลยว่า แก่ครับ อายุมากทำอะไรช้าไม่ทันใจเหมือนคนใจร้อนอย่างผม ฮ่าๆ บอกให้ใส่รหัสใส่ช้าจนต้องบอกว่า ท่านครับ ขอใส่ให้นะครับท่าน...

เรื่องที่สาม คือ ไปติดตั้งให้กับมือถือส่วนตัวท่ามกลางห้องประชุม ที่กำลังประชุมอยู่ในขณะนั้น รายล้อมไปด้วยกรรมการท่านอื่นๆสายตาเคร่งเครียด

แค่สามข้อนี้จะไม่ทำให้ตื่นเต้นได้อย่างไร (อะเหื้อ...กระอักเลือด) เวลาของกรรมการองค์กรมันน้อยนิดต้องทำตอนที่ท่านๆอยู่ คือต้องเสร็จปิดจ็อบให้ได้ไวไว และแล้วเหตุการณ์ในตอนนั้นก็ผ่านไปได้ด้วยดี ด้วยทักษะบางอย่างที่อาจจะติดตัวมาจาก การเป็นผู้ดูแลระบบ นั้นเอง

http://cdn.ttgtmedia.com/rms/onlineImages/121030_006.jpg

ในทุกๆงานของการเป็นผู้ดูแลระบบเครือข่าย ล้วนมีเทคนิคของมัน
สิ่งที่ผมตระหนักได้นั้น นึกได้ประมาณ 10 ข้อ

1. สติ 

คำนี้สำคัญมาก เพราะเวลาที่เกิดปัญหาขึ้นมาแล้วในสถานการณ์ฉุกเฉิน เวลาที่จะต้องเร่งรีบแก้ปัญหาให้ทันเวลา เชื่อว่าทุกคนจะตกใจกันหมดทุกคนแน่นอน ทำผิดทำถูกเชื่อเลยว่าต้องมี ดังนั้น ควรจะตั้งสติให้ได้

 2.ความรู้ 

คำนี้ก็สำคัญรองลงมา คือ เราต้องเก็บเกี่ยวความรู้เกี่ยวกับงานที่ตนเองทำ ทุกๆอย่างจนถึงระดับที่จะต้องมองภาพให้ออกว่าระบบเป็นอย่างไร อะไรต่อจะอะไร เวลาไล่ระบบจากต้นทางไปปลายทางผ่านอะไรบ้าง

 3.ความพร้อม 

ในการเตรียมความพร้อมมีอยู่สามคำครับ คือ ซ้อม ซ้อม และ ซ้อม พยายามทบทวนระบบอยู่เสมอว่าจะต้องทำอะไรกับมันบ้าง ทำอย่างไร ทำทำไม

4.มองภาพรวม 

หากเราผ่านข้อสองและสามมาได้เราก็จะสามารถมองภาพรวมได้ว่ามีอะไรเป็นส่วนที่เกี่ยวทั้งหมด ซึ่งจำเป็นอย่างยิ่งกับการแก้ปัญหาในอนาคต 

5.ประสานงานติดต่อสื่อสารผู้ที่มีส่วนเกี่ยวข้อง

หากเราไม่รู้อะไรเลยจะทำอย่างไร คำตอบเดียวคือ คำถาม ถามไปเลยครับ ถามคนที่เคยผ่านประสบการณ์มา จะต้องให้ใครมาจัดการเรื่องนู่นเรื่องนี้ให้ ไม่มีใครทำงานคนเดียวได้สำเร็จ จะต้องทำงานเป็นทีม

https://blog.eduzones.com/images/blog//20130801233540.jpg

6.ช่างสังเกต 

 การสังเกตจะต้องหมั่นใช้อวัยวะในร่างกาย ด้วยการมาสะบัดอวัยวะ ไม่ใช่ล่ะ.... เช่น

ตาดู มองดูรอบๆดูความเปลี่ยนแปลงต่างๆของระบบ มีการแจ้งเตือนผ่านแสงหรือเปล่า
หูฟัง ฟังเสียง ก๊อกแก็กๆ อ๊อดๆแอ๊ดๆ แฟ็บๆมีการแจ้งเตือนด้วยเสียงหรือเปล่า
จมูกดม มีกลิ่นไม่พึงประสงค์หรือไม่
การสัมผัส ลองสัมผัสกับอุปกรณ์เครื่องมือที่ใช้งานอย่างหนักว่า
เกินกำลังของมันหรือยัง เช่นความร้อน
ใช้ปาก ตะโกนไปเลยครับ....บอกเพื่อนๆให้มาช่วยๆกันแก้ไขปัญหาที่เกิดจากสี่ข้อที่ผ่านมา

7.การรวบรวมข้อมูล 

รวบรวมข้อมูลต่างๆ การเกิดปัญหา ปัญหาเป็นอย่างไร เกิดขึ้นแบบไหน
ปัญหาอะไรที่เคยแก้แล้วผ่าน เก็บ Log เก็บสถิติเอาไว้ แบ่งปันให้กับทีม

8.การแยกแยะปัญหา 

อะไรเกิดก่อนเกิดหลังแล้วควรทำอะไรก่อนอะไรหลัง ควรวางขั้นตอนของงานเอาไว้ให้ดี

9.วิเคราะห์ปัญหา 

การคิดอย่างมีเหตุมีผล ใช่หรือไม่ ทำได้ หรือ ไม่ได้ ทำแล้วจะเกิดปัญหาอะไรตามมาหรือไม่

10.วางแผน 

 ข้อนี้ให้กลับไปอ่านทั้ง 9 ข้อที่ผ่านมา แล้วเริ่มวางแผนการทำงานกันได้แล้ว

[IT Security] Server หยุดทำงานแน่! ป้องกันก่อนจะเกิดด้วยเทคนิคเหล่านี้

https://www.thaidatahosting.com/wp-content/uploads/2016/02/server.jpg

                โดยปกติ หากเราต้องให้บริการหรือเซอร์วิสอะไรบางอย่างโดยคอมพิวเตอร์เซิร์ฟเวอร์แล้วละก็    จะให้เซิร์ฟเวอร์หยุดทำงานไม่ได้เลยใช่หรือไม่ครับ แล้วยิ่งเราต้องให้บริการตลอด 24/7 (ยี่สิบสี่ชั่วโมง เจ็ดวัน) ตลอดเวลา จึงเกิดความเสี่ยงที่เซิร์ฟเวอร์ของเรา ที่ต้องให้บริการกับลูกค้าตลอดเวลานั้นเสียหายก็เป็นได้ นอกจากนี้แล้วไม่เพียงแค่ภัยที่เกิดจากภายในระบบด้วยการทำงานอย่างหนักตลอดเวลาอย่างที่กล่าวมา ก็ยังมีภัยคุมคามจากภายนอกอีกด้วย อย่างเช่น ไวรัส , การโจมตีจากผู้ไม่หวังดีที่ต้องการจะทำให้หยุดการให้บริการ(Denial of Services) หรือเรียกสั้นๆว่า DOS ดังนั้นจึงจำเป็นที่จะต้องมีมาตรการในการป้องกันภัยคุมคามเหล่านี้

            เรื่องที่กล่าวในตอนต้น เป็นเรื่องของความพร้อมใช้งาน (Availability) เป็นองค์ประกอบหลัก 1 ใน 3 ข้อ ของการรักษาความปลอดภัยระบบคอมพิวเตอร์ ซึ่งหากขาดข้อใดข้อหนึ่งก็แสดงว่าระบบคอมพิวเตอร์นั้น ไม่มีความปลอดภัยเสียแล้วแต่ในบทความนี้จะกล่าวถึงวิธีการป้องกันหรือกลไกในการรักษาความพร้อมใช้ว่ามีหลักการอย่างไรที่จะมาป้องกันเท่านั้น

            ยกตัวอย่างเหตุการณ์สมมติ เช่น การให้บริการร้านอาหารแห่งหนึ่งในกรุงเทพฯซึ่งอร่อยมาก แต่คนให้บริการมีแค่คนเดียวและที่สำคัญคืออายุมาก ก็คล้ายๆกับเซิร์ฟเวอร์ที่มีอยู่เครื่องเดียวและก็เก่ามากเกิน 5 ปี การเข้าแถวรอคิวด้วยความที่ร้านอาหารแห่งนี้มีความอร่อยมาก มาจึงมีผู้เข้าใช้บริการเป็นจำนวนมาก มากซะจนผู้ให้บริการนั้นเจ็บป่วยขึ้นจนทำให้ต้องหยุดให้บริการ ในการแก้ปัญหานี้ก็คือจะต้องมีคนช่วยทำอาหารเพิ่มขึ้น เพื่อที่จะแบ่งเบาภาระจำนวนคนที่มาต่อคิวลงได้ เหมือนกับการที่นำเซิร์ฟเวอร์มาตั้งแต่สองเครื่องขึ้นไปมาทำงาน เพื่อเป็นการทำ Load Balancing หรือจะเรียกอีกอย่างหนึ่งว่า Redundancy การให้บริการคู่ขนาน เพื่อป้องกันการหยุดการให้บริการ เมื่อเครื่องใดเครื่องหนึ่งหยุดทำงาน ก็ยังมีอีกเครื่องทำงานทดแทนกันได้อยู่ ในเรื่องนี้เป็นปัญหาพื้นฐานก่อนที่ซื้ออุปกรณ์อยู่แล้ว จะต้องออกแบบระบบให้รองรับอุปกรณ์สองชุด เพื่อให้ชุดใดชุดหนึ่งเป็นเครื่องสำรองนั้นเอง

จากที่ได้เรียนรู้ไปว่าจะต้องป้องกันภัยที่เกิดจากภายในระบบ จะต้องมีอุปกรณ์สองชุดเพื่อทำ Load Balancing ป้องกันการหยุดให้บริการ แต่หากเป็นภัยที่มาจากภายนอกจะป้องกันกันอย่างไร เราต้องมาเข้าใจถึงเหตุผลหรือแรงจูงใจของการถูกโจมตีเพื่อให้หยุดการให้บริการเสียก่อน ซึ่งทำไมถึงถูกโจมตีมีหลายเหตุผล อาจจะเกิดจากขัดแย้งทางธุรกิจ ทำให้ภาพลักษณ์ขององค์กรเกิดความเสียหาย เกิดจากความอยากรู้อยากเห็นของแฮ็กเกอร์มือใหม่ ผลประโยชน์ต่างๆ เช่น ต้องการประท้วงในเรื่องที่ไม่เห็นด้วยในบางเรื่องของรัฐบาล เป็นต้น

http://filmautonomy.com/wp-content/uploads/2015/05/age-of-ultron-ultron.jpg

การโจมตีในรูปแบบต่างๆของการทำให้หยุดการให้บริการ เช่น DOS (Denial of Services) นั้นเป็นเทคนิคในการส่งข้อมูลแพ็คเกจที่มีขนาดใหญ่ส่งไปยังเซิร์ฟเวอร์หลายๆครั้งจนเครื่องเซิร์ฟเวอร์ทำงานไม่ไหวหรือการส่งแพ็คเกจข้อมูลแบบผิดๆของกระบวนการ Three Way Handshake ทำให้เซิร์ฟเวอร์วนลูป Request เข้าหาตัวเองจนเกิดความเสียหาย Buffer Overflow แล้วหยุดทำงานลงไป

ด้วยวิวัฒนาการของ DOS นั้นก็ได้มีเทคนิคใหม่ๆเพิ่มขึ้นอย่างมากมายทั้งที่แค่เทคนิค DOS แค่อย่างเดียวก็หาวิธีป้องได้อย่างยุ่งยากแล้วก็ตาม อย่างเช่น เทคนิคดังต่อไปนี้ DDOS (Distribute Denial of Services), DRDOS (Distributed Reflected of Services)  , Telephony Denial-of-Services (TDOS) หรือAdvanced Persistent DOS (APDOS) ล้วนเป็นการโจมตีที่ถูกคิดค้นขึ้นเพื่อทดสอบระบบแต่ด้วยเครื่องมือที่เป็นดาบสองคมก็ถูกนำมาใช้ในทางที่ผิด เพื่อทำลายได้เช่นกัน ในส่วนของเทคนิคของแต่ละการโจมตีในบทความนี้ขอไม่กล่าวถึง เพราะจะบอกถึงวิธีป้องกันจากการโจมตีเหล่านี้ในบางส่วนเท่านั้น

ในการป้องกันการโจมตีเหล่านี้ ล้วนจะต้องใช้การวิเคราะห์ทางสถิติเข้ามาช่วยในการป้องกันโดยอาศัยอุปกรณ์ อย่างเช่น พื้นฐานที่สุดสิ่งแรกที่จะต้องมีในระบบคือ Firewall เพื่อคัดกรอง แพ็คเกจข้อมูลที่ไม่พึงประสงค์แต่ด้วยข้อจำกัดของ Firewall นั้นทำให้ไม่สามารถที่จะป้องเทคนิค DOS ได้ดีจึงต้องมีอุปกรณ์อื่นๆเข้ามาช่วย เช่น Intrusion Detection System - IDS หรือ Intrusion Prevention System - IPS เพื่อป้องกันผู้บุกรุก โดยที่ IDS จะตรวจจับผู้บุกรุกและขู่ให้ผู้บุกรุกกลัวแล้วเลิกการกระทำที่เป็นอันตรายต่อระบบ ยกตัวอย่างเช่น โจรที่กำลังจะโจรกรรมรถยนต์ แต่สัญญาณกันขโมยเกิดดังเสียก่อน โจรจึงหมดสิทธิ์ที่จะที่ขโมยของที่อยู่ในรถยนต์คันนั้นและได้หลบหนีไปได้ ถ้าเปรียบสัญญาณกันขโมยก็เหมือน IDS นั้นเอง ส่วน IPS ก็จะเป็นอุปกรณ์ที่เหมือนกับ IDS แต่มีความสามารถมากกว่าคือสามารถที่จะป้องกันเทคนิค DOS ได้ ในเวอร์ชั่นเก่าๆของ IPS จะใช้วิธีการ Reset TCP เพื่อกำจัดเซสชันที่คาดว่าผิดปกติ ในรุ่นใหม่ๆก็ใช้เทคนิคที่เรียกว่า Inline ก็คือจะเอา IPS ไปวางไว้ตรงทางเข้าออกของการส่งข้อมูล  เพื่อป้องกันเซสชันที่ผิดปกติ มีความฉลาดขึ้นสามารถที่จะเรียนรู้พฤติกรรมและปรับแต่ง Policy ได้เอง แต่ด้วยความที่มันมีข้อดีย่อมมีข้อเสียเช่นกัน คือ ถ้าเกิด IPS เสียก็จะไม่สามารถส่งข้อมูลได้ หรือ ปิดกั้นแพ็คเกจธรรมดาๆไปเอง

ด้วยพฤติกรรมของการโจมตีของ DOS จะมีการเชื่อมต่อและร้องขอการใช้งานมากกว่าผู้ใช้งานคนอื่นๆถึง  60 ครั้ง เป็นการร้องขอจำนวนมากเกินปกติ เทคนิคที่ใช้ป้องกันก็อย่างเช่น การทำ Limited Rate of Request , Limiting the Number of Connection , Blacklist IP Address และอื่นๆอีกหลายเทคนิคที่ไม่ได้กล่าวถึง สามารถศึกษาเพิ่มเติมได้จากการใช้งาน IDS และ IPS นอกจากเทคนิคต่างๆที่ผ่านมาในยุคนี้ก็เริ่มจะเอาเรื่องของ Cloud computing เข้ามาใช้งานเป็นระบบป้องกัน DOS และ DDOS โดยเมื่อมีการร้องขอเข้าเว็บไซต์ก็จะต้องผ่านระบบ Cloud นี้เสียก่อนเมื่อถูกตรวจสอบแล้วว่าไม่ใช่การโจมตีด้วย DOS หรือ DDOS ก็สามารถผ่านเข้าไปยัง Server ที่ต้องการได้

ถึงแม้ว่าระบบการป้องกันหรือการโจมตีจะผ่านมาหลายสมัยแล้วก็ตาม มันก็ยังคงถูกพัฒนาอยู่อย่างตลอดเวลาดังนั้นการป้องกันที่ดีที่สุดนั้นคือ หมั่นศึกษาหาความรู้

[แชร์ประสบการณ์] ความสัมพันธ์ของการคิดกับการทำ มีความสำคัญกับการพัฒนาผลิตภัณฑ์อย่างไร

ได้ประสบการณ์จากงานใหม่มานิดหน่อยก็อยากจะเอามาเล่าให้ได้อ่านกันสักเล็กน้อย บางคนอาจจะมองว่าเป็นเรื่องเล็กๆเป็นเรื่องธรรมดา เพราะเจอเป็นประจำอยู่แล้ว แต่สำหรับคนได้ประสบการณ์อะไรใหม่ๆก็อยากจะเอามาแชร์กันเล่าให้ฟังกัน อย่างน้อยคนที่ไม่เคยทำงานประมาณนี้ อาจจะมีแรงบันดาลใจอยากหางานแบบเดียวกับผู้เขียนมาทำกันก็ได้นะ 

บทความนี้อาจจะแตกต่างจากบทความก่อนๆสักหน่อย ส่วนใหญ่ผู้เขียนจะชอบเขียน How to Programming ชอบอ่านเรื่องอื่นๆแล้วเอามาสรุป พอมาอ่านงานเก่าๆก็รู้สึกว่ามันแห้งๆ เหมือนที่คนสอนการเขียนแนะนำจริงๆนั่นแหละ

ขอเกริ่นคร่าวๆก่อนว่างานของผู้เขียนเป็นอย่างไรเป็นงานที่ต้องออกแบบผลิตภัณฑ์ทางด้านไอที ประมาณนวัตกรรมอะไรเถือกนั้น ที่ต้องออกมารองรับความต้องการ ทั้งๆที่ยังไม่มีใครต้องการ ซึ่งเป็นโจทย์ที่ไม่รู้ว่า เป็นงานที่เป็นแค่ความฝัน หรือความจริง สิ่งที่ต้องทำก็คือ คิด คิด คิด และก็ คิด คิดให้รอบคอบทุกด้านตามกรอบ หรือ นอกกรอบก็ได้แต่จะออกทะเลก็คงไม่ดีเท่าไร

ในทุกสายงาน แน่นอนว่าจะต้องมีคนที่เชี่ยวชาญกว่าต้องขอบคุณรุ่นพี่เขาจริงๆที่ทุกคำถาม ทุกความสงสัย ไม่เคยรำคาญแม้ว่างานพี่เขาจะเยอะก็ตาม ขอให้เจริญๆนะครับโผมม พี่เขาได้ข้อคิดเอาไว้แต่ผู้เขียนเอามาสรุปเองอีกที

โดยปกติการทำงานก็ไม่ได้มีหลักเกณฑ์อะไรตายตัว สามารถที่จะปรับเปลี่ยนวางแผนใหม่ได้ตลอดเวลา ซึ่งการทำงานของเราในการทำงานด้านความคิดนวัตกรรมหรืออะไรก็ตามในบางครั้งเมื่อเราได้แสดงออกทางความคิด สามารถคิดได้ แต่ต้องกลับมาถามตัวเองอีกครั้งว่า สามารถทำได้หรือไม่ เราต้องปรึกษาคนทำเสียก่อนว่าทำได้หรือเปล่า อันนี้ติดอะไรมั้ย เป็นไปได้หรือเปล่า 

บางทีเขาอาจจะทำได้มากกว่าสิ่งที่เราคิดก็ได้ ดังนั้นสิ่งที่เราได้ออกแบบ Concept ระบบเอาไว้แล้วส่งให้ Vender ดูเลยมันก็มีทั้งข้อดีและข้อเสีย ซึ่ง ข้อดีของมันก็คือ เราความคิดของเราให้ Outsource หรือ Vender ตัวแทนจำหน่าย ดูเลยมันก็ทำให้งานเดินได้เร็วและเป็นไปตามที่เราต้องการ เพราะรู้อยู่แล้วว่าเราต้องการอะไร แต่ส่วนข้อเสียก็จะติดในเรื่องของการจำกัดความคิดของ Vender ทำให้เขาอยู่ในกรอบของไอเดีย ที่เราได้คิดเอาไว้แค่นั้น 

โดยอันที่จริงแล้วเราต้องการสิ่งที่ดีที่สุดและเป็นไปได้มากที่สุดที่คนจะใช้ แทนที่จะคิดแทนเราเพราะความที่เขาเชี่ยวชาญในด้านนั้นๆอยู่แล้ว  ดังนั้น ผู้เขียนอาจจะวาง Step การทำงานเอาไว้อย่างนี้ก่อนแต่ไม่ได้บอกนะว่าตายตัวอาจจะปรับเปลี่ยนไปตาม คือ ให้ทาง Vender ส่งไอเดีย Concept พร้อมกับ Proposal หลังจากนั้น ก็เอา Proposal ในหลายๆ Vender มาสรุปเพื่อทำไอเดียที่ดีที่สุด เพราะในแต่ละ Vender แน่นอนว่าไม่ได้เก่งไปทุกๆด้าน อาจจะเก่ง 20% ใน 100% ดังนั้นอาจจะต้องมี Vender หลาย Vender มาช่วยกันร่วมทำงาน หลังจากนั้นก็ค่อยร่าง สัญญา