โดน Hack หรือล่มเอง?

ใน 2 วันที่ผ่านมาก็ได้มีข่าวและกระแสต่างๆ รวมถึงตัวหน่วยงาน กกต. เองก็ได้ออกมาประกาศว่าตนเอง โดน Hack ? ซึ่งก็ได้เกิดคำถามขึ้นมากมายว่า โดน Hack จริงหรือไม่ ? แล้วเราจะรู้ได้อย่างไรว่าโดน Hack ? จริงๆแล้วคำตอบนั้นมีหลายวิธีมากครับ แต่วิธีที่ชัดเจนและตรงประเด็นที่สุดก็คือ การตรวจสอบจาก Log นั่นเอง เพราะ Log ก็เปรียบเสมือนข้อมูล Record เหตุการณ์ที่เกิดขึ้นในระบบคอมพิวเตอร์ คล้ายๆกับกล้องวงจรปิดในชีวิตจริง

แต่ปัญหาคือเราจะค้นหา Log ที่เป็นการ Hack ได้อย่างไร ? และเราจะสามารถใช้ Log ในการตรวจจับการโจมตีที่เกิดขึ้น ณ ขณะนั้นได้หรือไม่ ?​

ในกรณีนี้เอาตามที่ กกต. แถลงว่า “ข้อมูลที่ปรากฎออกมามีข้อผิดพลาดหลายส่วน เป็นความผิดพลาดจากตัวบุคคล กรอกข้อมูลผิด ป้อนข้อมูลผิด และระบบล่มถึง 3 ครั้งจากการเข้าโจมตีของ Hacker” แสดงว่าที่โดน Hack น่าจะเป็นเรื่องระบบล่ม หรือการโจมตีจำพวก Denial of Service ต่างๆ ซึ่งการโจมตีประเภทนี้ใช้ Log ในการ Detect การโจมตีและแก้ไขปัญหา หรือ Tracking ย้อนหลังได้ง่ายมากครับ

ทำยังไง?

สมมุติว่า กกต. ใช้ Server ตัวหนึ่งทำเป็น Web Service ให้แก่สื่อมวลชนต่างๆมา Call API เพื่อดึงข้อมูลไปแสดงผล ในช่วงเวลาปกติปริมาณ Event Per Sec หรือจำนวนบรรทัดของ Log ที่ถูกเขียนจะเป็นปริมาณคงที่ แต่หากโดนยิง DDos ปริมาณ Event Per Sec จะพุ่งในระดับที่คนละเรื่องกับการใช้งานปกติอย่างเห็นได้ชัด ซึ่งเราจะเห็นพฤติกรรมแบบนี้ได้ทั้งจาก Log Web Application, Web Server หรืออุปกรณ์ Network เช่น Firewall

ซึ่งหากเป็นกรณีที่เรามีระบบตรวจจับอยู่แล้วและเห็นกราฟวิ่งขึ้นแบบในภาพ สิ่งที่ควรทำคือการตรวจสอบว่า Event Pec Sec ที่พุ่งขึ้นนั้นเกิดจากอะไร อย่างกรณีของ กกต. ถ้าเรามีการเก็บ List IP Address ของสื่อมวลชนต่างๆ ที่จะมาขอดึง API อยู่แล้วก็ง่ายมากครับ เราสามารถใช้ Log ในการ List IP Address ที่มาขอเชื่อมต่อกับระบบเพื่อขอดึงข้อมูล โดยอาจใช้การ Visualization อย่าง Sankey Chart ในการมองเส้นทางของ Connection

เท่านี้ก็เห็นได้ชัดแล้วครับว่า IP ใดมาขอดึงข้อมูลและมาขอจำนวนกี่ครั้ง ใครขอมาก-ขอน้อย และใครที่ไม่ใช่สื่อมวลชนที่ได้รับอนุญาต แล้วเราก็ทำการ Block IP ที่สร้างปัญหาให้ระบบไปด้วยอุปกรณ์จำพวก Firewall ก็เรียบร้อย

แต่ถ้าหากว่าหมายเลข IP ทั้งหมดเป็นของสื่อมวลชนที่ได้รับอนุญาตให้ดึงข้อมูลจาก กกต. โดยถูกต้องแล้ว ก็คงต้องยอมรับครับว่า นี่ไม่ใช่การ Hack หรือการโจมตีใดๆ แต่เป็นการจัดเตรียมระบบที่ไม่สามารถรองรับการใช้งานจริงได้แต่แรก…

Related products

Purichaya Narongpan

จบจาก Stamford International University (Hua Hin Campus) คณะ International Business Management – Bilingual Program ปัจจุบันทำงานด้าน Digital Marketing อยู่ที่ Ragnar Corporation อีกทั้งสนใจเรื่อง Cyber Security, Compliance และ Technology ต่าง ๆ จึงเขียนบทความเพื่อศึกษาหาข้อมูล และทำความเข้าใจเกี่ยวกับเรื่องนี้

Similar tags

Apisit Anuntawan

การจัดการ Big Data (Spark)

Spark คือหนึ่งในเทคโนโลยีที่ใช้งานกับบิ๊กดาต้าที่ได้รับความนิยมสูง เนื่องจากใช้งานง่ายและยังเป็นแพลตฟอร์มที่เป็น Open Source ที่สามารถใช้งานได้

Read more...
Apisit Anuntawan

การจัดการ Big Data (Hadoop และ MapReduce)

ในการจัดการข้อมูลขนาดใหญ่หรือ Big Data มักมีการใช้ระบบสถาปัตยกรรมแบบ Hadoop ในการจัดการข้อมูล ไม่ว่าจะเป็นบริษัท Facebook หรือ eBay

Read more...
Pakawadee Chanhom

Ragnar Ecosystem คืออะไร?

ผลผลิตของเราที่ได้จากความชื่นชอบและการพัฒนา Cybersecurity ให้ครอบคลุมในประเทศไทย โดยเริ่มต้นที่การทำ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล (PDPA)

Read more...