วิธีค้นหา Log ที่ถูก Hack

วิธีค้นหา Log ที่ถูก Hack

ใน 2 วันที่ผ่านมาก็ได้มีข่าวและกระแสต่างๆ รวมถึงตัวหน่วยงาน กกต. เองก็ได้ออกมาประกาศว่าตนเอง โดน Hack ? ซึ่งก็ได้เกิดคำถามขึ้นมากมายว่า โดน Hack จริงหรือไม่ ? แล้วเราจะรู้ได้อย่างไรว่าโดน Hack ? จริง ๆ แล้วคำตอบนั้นมีหลายวิธีมากครับ แต่วิธีที่ชัดเจนและตรงประเด็นที่สุดก็คือ การตรวจสอบจาก Log นั่นเอง เพราะ Log ก็เปรียบเสมือนข้อมูล Record เหตุการณ์ที่เกิดขึ้นในระบบคอมพิวเตอร์ คล้าย ๆ กับกล้องวงจรปิดในชีวิตจริง

แต่ปัญหาคือเราจะค้นหา Log ที่เป็นการ Hack ได้อย่างไร ? และเราจะสามารถใช้ Log ในการตรวจจับการโจมตีที่เกิดขึ้น ณ ขณะนั้นได้หรือไม่ ?​

ในกรณีนี้เอาตามที่ กกต. แถลงว่า “ข้อมูลที่ปรากฎออกมามีข้อผิดพลาดหลายส่วน เป็นความผิดพลาดจากตัวบุคคล กรอกข้อมูลผิด ป้อนข้อมูลผิด และระบบล่มถึง 3 ครั้งจากการเข้าโจมตีของ Hacker” แสดงว่าที่โดน Hack น่าจะเป็นเรื่องระบบล่ม หรือการโจมตีจำพวก Denial of Service ต่างๆ ซึ่งการโจมตีประเภทนี้ใช้ Log ในการ Detect การโจมตีและแก้ไขปัญหา หรือ Tracking ย้อนหลังได้ง่ายมากครับ

ทำยังไง?

สมมุติว่า กกต. ใช้ Server ตัวหนึ่งทำเป็น Web Service ให้แก่สื่อมวลชนต่างๆมา Call API เพื่อดึงข้อมูลไปแสดงผล ในช่วงเวลาปกติปริมาณ Event Per Sec หรือจำนวนบรรทัดของ Log ที่ถูกเขียนจะเป็นปริมาณคงที่ แต่หากโดนยิง DDos ปริมาณ Event Per Sec จะพุ่งในระดับที่คนละเรื่องกับการใช้งานปกติอย่างเห็นได้ชัด ซึ่งเราจะเห็นพฤติกรรมแบบนี้ได้ทั้งจาก Log Web Application, Web Server หรืออุปกรณ์ Network เช่น Firewall

ซึ่งหากเป็นกรณีที่เรามีระบบตรวจจับอยู่แล้วและเห็นกราฟวิ่งขึ้นแบบในภาพ สิ่งที่ควรทำคือการตรวจสอบว่า Event Pec Sec ที่พุ่งขึ้นนั้นเกิดจากอะไร อย่างกรณีของ กกต. ถ้าเรามีการเก็บ List IP Address ของสื่อมวลชนต่างๆ ที่จะมาขอดึง API อยู่แล้วก็ง่ายมากครับ เราสามารถใช้ Log ในการ List IP Address ที่มาขอเชื่อมต่อกับระบบเพื่อขอดึงข้อมูล โดยอาจใช้การ Visualization อย่าง Sankey Chart ในการมองเส้นทางของ Connection

เท่านี้ก็เห็นได้ชัดแล้วครับว่า IP ใดมาขอดึงข้อมูลและมาขอจำนวนกี่ครั้ง ใครขอมาก-ขอน้อย และใครที่ไม่ใช่สื่อมวลชนที่ได้รับอนุญาต แล้วเราก็ทำการ Block IP ที่สร้างปัญหาให้ระบบไปด้วยอุปกรณ์จำพวก Firewall ก็เรียบร้อย

แต่ถ้าหากว่าหมายเลข IP ทั้งหมดเป็นของสื่อมวลชนที่ได้รับอนุญาตให้ดึงข้อมูลจาก กกต. โดยถูกต้องแล้ว ก็คงต้องยอมรับครับว่า นี่ไม่ใช่การ Hack หรือการโจมตีใดๆ แต่เป็นการจัดเตรียมระบบที่ไม่สามารถรองรับการใช้งานจริงได้แต่แรก…

‍Reference: Link