คดีระหว่างนายชิโมมูระ (Shimomura) และนายมิทนิค (Mitnick) เกิดขึ้นในวันคริสต์มาส ปี ค.ศ. 1994 โดยนายชิโมมูระ นักฟิสิกส์ของศูนย์ประมวลผลซุปเปอร์คอมพิวเตอร์สมรรถนะสูง (San Diego High Performance Supercomputer Center) ณ เมืองซานิดเอโก (San Diego) เป็นผู้ที่มีความเชี่ยวชาญด้านการรักษาความปลอดภัยในระบบคอมพิวเตอร์ โดยเฉพาะในเรื่องการป้องกันการเจาะเข้ามาในระบบ หลายปีต่อมาเขาได้รวบรวมข้อมูลที่เกี่ยวกับจุดอ่อนของระบบการรักษาความปลอดภัยในระบบต่าง ๆไว้มากมาย รวมทั้งการพัฒนาเครื่องมือที่ใช้ป้องกันการเจาะข้อมูลด้วยในวันคริสต์มาสขณะที่นายชิโมรูระเล่นสกีอยู่ก็มีคนแอบเจาะเข้ามาในระบบคอมพิวเตอร์ที่บ้านของเขาซึ่งมีระบบรักษาความปลอดภัยอย่างแน่นหนา โดยผู้ลักลอบเข้ามาได้แอบทำสำเนา (Copy) แฟ้มข้อมูลนับสิบแฟ้ม และมีคำด่าอย่างหยาบคายทิ้งไว้ สาเหตุที่นายชิโมมูระพบว่ามีคนเจาะข้อมูลก็เนื่องจากตัวเขาเองได้ให้เครื่องคอมพิวเตอร์ที่บ้านทำสำเนา (Copy) ข้อมูลสำรองโดยอัตโนมัติและนำไปไว้ที่เครื่องซุปเปอร์คอมพิวเตอร์ที่เมืองซานดิเอโกด้วย ต่อมานักศึกษาที่ศูนย์ดังกล่าวสังเกตเห็นว่ามีการแก้ไขเปลี่ยนแปลงระบบการล็อกแฟ้มข้อมูล (Log files system) เกิดขึ้น จึงรู้ว่ามีบางสิ่งเกิดขึ้นแล้ว นักศึกษาคนนั้นจึงรีบไปแจ้งนายชิโมมูระทันที
นายชิโมมูระจึงตัดสินใจประกาศต่อสาธารณชนเพื่อเรียกร้องและขอความช่วยเหลือในการจับผู้ร้ายดังกล่าว นายชิโมมูระพยายามวิเคราะห์ถึงจุดอ่อนของระบบของตน และพบว่าการเจาะข้อมูลดังกล่าวเป็นความสามารถของผู้เจาะข้อมูลที่สามารถปลอกแหล่งที่อยู่ (Source address) ของกลุ่มข้อมูล (Packet) ที่ถูกส่งไปยังระบบคอมพิวเตอร์ ซึ่งคอมพิวเตอร์บางระบบจะทำการตัดสินใจว่าจะรับคำสั่งจากระบบอื่นที่ส่งชุดคำสั่งมาหรือไม่ โดยดูจากแหล่งที่อยู่ของข้อมูล (Source address) และอาจจะเป็นที่จุดอ่อน (Vulnerability) ของระบบด้วยก็ได้ นายชิโมมูระมีระบบการรักษาความปลอดภัยอย่างดีเยี่ยม ซึ่งผู้เจาะข้อมูลเข้าไปได้พยายามทำให้กลุ่มข้อมูล (Packet) มาจาระบบที่สามารถติดต่อได้จริง
กลุ่มข้อมูล (Packet) คือกลุ่มหรือส่วนของข้อมูลที่ถูกส่งมาจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่ง นอกจากนั้นยังสามารถส่งจากระบบหนึ่งไปยังอีกระบบหนึ่งได้โดยเลือกเส้นทางที่ดีที่สุดบนเครือข่ายอินเทอร์เน็ตและที่อยู่ (Address) ที่แนบไปกับกลุ่มข้อมูล (Packet) ซึ่งจะทำการตรวจสอบโดยโพรโทคอล (Protocol) ที่ใช้สำหรับเครือข่ายอินเทอร์เน็ต ที่เรียกว่า อินเทอร์เน็ต โพรโทคอล [Internet Protocol (IP)] และจุดนี้เองก็เป็นจุดอ่อนของระบบที่นายชิโมมูระมีอยู่ และดูเหมือนว่าจะเป็นคำสั่งที่มาจากเครื่องคอมพิวเตอร์ที่มีขีดความสามารถอ่านไฟล์ (File) ข้อมูลของนายชิโมมูระได้ เนื่องจากคอมพิวเตอร์ไม่มีอุปกรณ์ดักรับฟังคำสั่งจากผู้เจาะข้อมูล ถูกส่งมายังระบบ ระบบจะส่งคำตอบรับไปยังระบบที่ส่งกลุ่มข้อมูลมา เพื่อยืนยันว่าได้รับกลุ่มข้อมูลแล้ว โดยวิธีนี้ทั้งสองระบบจะทำพร้อมกัน (Synchronize) การส่งผ่านข้อมูลระหว่างกันโดยใช้เลขลำดับ (Sequence number) ที่ตรงกับกลุ่มข้อมูลที่ส่งมา
นายชิโมมูระได้ตีพิมพ์ผลการวิเคราะห์อย่างละเอียด เพื่อต้องการความร่วมมือกับผู้เชี่ยวชาญต่าง ๆ ในการจับผู้กระทำผิด และในอีกหนึ่งเดือนต่อมา เหตุการณ์เช่นเดียวกันที่เกิดขึ้นกับนายชิโมมูระก็ได้เกิดขึ้นกับระบบการบริการแบบเชื่อมตรง (On-line) ที่เรียกว่า The Well ที่มีผู้นิยมใช้บริการอย่างกว้างขวางในเขตอ่าวซานฟรายซิสโก ผู้ดูแลระบบ The Well สังเกตว่ามีแฟ้มข้อมูลเข้ามาในจานเก็บข้อมูลที่ใช้สำหรับ Computer, Freedom, and Privacy (CFP) Group เหตุการณ์ดังกล่าวดูจะไม่ค่อยสมเหตุสมผลนัก เนื่องจากกลุ่ม CFP ไม่ค่อยได้ใช้งานระบบดังกล่าว ต่อมานักเขียนโปรแกรมที่ช่วยดูแลกลุ่ม CFP ผู้ซึ่งเคยอ่านเรื่องราวที่เกิดกับนายชิโมมูระสังเกตเห็นว่าแฟ้มข้อมูลที่หลั่งไหลเข้ามาเหมือนกับแฟ้มข้อมูลที่ถูกขโมยมาจากระบบคอมพิวเตอร์ของนายชิโมมูระ
เมื่อนายชิโมมูระได้รู้เบาะแสว่าผู้ที่เคยเจาะระบบคอมพิวเตอร์ของตนได้ใช้วิธีเดียวกันนี้กับระบบ The Well เช่นกัน เขาได้เขียนซอฟต์แวร์เพื่อจับตาดูการทำงานของระบบ The Well และรอว่าเมื่อไรจะมีผู้เจาะเข้ามาอีก โดยการตรวจสอบกลุ่มข้อมูล (Packet) ที่เข้ามาในระบบ The Well รวมทั้งทำการบันทึกการพิมพ์ (Keystrokes) ของผู้แอบเจาะข้อมูล การจับตาดูผู้กระทำผิดครั้งนี้อาจได้รับเบาะแสว่าบุคคลผู้นี้เป็นใคร และจะจับตัวได้อย่างไร หากผู้กระทำผิดเข้ามาเพียงชั่วครู่เดียวก็อาจไม่พบเบาะแสดังกล่าว แต่ก็มีความเชื่อว่าบุคคลที่เคยกระทำความผิดมักจะทำซ้ำเสมอ
อย่างไรก็ตาม เหตุการณ์ที่เคยเกิดขึ้นกับนายชิโมมูระ และ The Well ได้เกิดซ้ำอีกเป็นครั้งที่สาม ที่บริษัทโมโตโรล่า (Motorola) ผู้ผลิตชิปรายใหญ่อีกบริษัทหนึ่ง ซึ่งส่วนใหญ่แล้วบรำทผู้ผลิตโทรศัพท์มือถือจะเป็นเป้าหมายสำคัญของนักเจาะระบบ แต่คราวนี้ได้มีการตั้งทีมสอบสวน ซึ่งนอกจากจะใช้โปรแกรมตรวจจับของนายชิโมมูระที่เคยใช้กับระบบ The Well แล้ว ทีมงานสอบสวนยังพบสำเนาของโปรแกรมควบคุมโทรศัพท์มือถือระบบเซลลูล่าร์หรือไร้สายของโมโตโรล่าด้วย ต่อมาเหตุการณ์แบบเดียวกันนี้ได้ขยายวงกว้างออกไปเกิดกับระบบ Netcom ซึ่งเป็นบริษัทที่ให้บริการต่อเชื่อมตรง (On-line) รายใหญ่แห่งหนึ่งในสหรัฐอเมริกา ซึ่งผู้เจาะข้อมูลบังเอิญโชคดีที่สามารถทำสำเนา (Copy) ข้อมูลที่เป็นหมายเลขเครดิตการ์ดของสมาชิกจาก Netcom เกือบ 20,000 ราย และผู้ให้บริการรายอื่น ๆ ด้วย ผู้ใช้บริการระบบ Netcom ในสหรัฐอเมริกาล้วนแต่ได้รับความเดือดร้อนจากนักเจาะข้อมูลตัวฉกาจนี้ทั้งสิ้น
ในที่สุดเจ้าหน้าที่ตำรวจสากลของสหรัฐอเมริกา (F.B.I) ก็ได้ยื่นมือเข้ามาช่วยเหลือ และได้รับอำนาจให้สามารถดักฟังโทรศัพท์ที่เข้ามายังเครือข่ายระบบ Netcom ได้ แต่ในตอนแรกวิธีการนี้ไม่ค่อยจะได้ผลมากนัก เนื่องจากนักเจาะระบบได้ทำการควบคุมศูนย์สลับสวิทช์ (Switch) ไว้ เพื่อที่จะทำให้ดูเหมือนว่าตนได้รับโทรศัพท์มากจากที่อื่น ๆ ในสหรัฐอเมริกา
เมื่อนายชิโมมูระเฝ้าติดตามพฤติกรรมของนักเจาะข้อมูลคนนี้ เขาก็ยิ่งเกิดความสงสัยว่าผู้บุกรุกกำลังทิ้งร่องรอยไว้ในรูปแบบของอิเล็กทรอนิกส์ ยิ่งนานวันร่องรอยต่าง ๆ ก็ยิ่งปรากฏชัดมากขึ้นเรื่อย ๆ นายชิโมมูระเริ่มพุ่งเป้าหมายไปให้ความสนใจและสงสัยชายหนุ่มคนหนึ่งที่ชื่อว่า เคลวิน มิทนิค (Kevin Mitnick) จะเป็นผู้บุกรุก แต่ก็เป็นเพียงแค่ความสงสัยเท่านั้นยังไม่มีหลักฐานใด ๆ ทั้งสิ้นที่จะพิสูจน์ให้ทราบได้
นายมิทนิคในขณะนั้นอายุ 31 ปี กว่าครึ่งชีวิตของเขาได้ทำการเจาะข้อมูลตามที่ต่าง ๆ นับครั้งไม่ถ้วนถึงแม้ว่าเขาจะเจาะข้อมูลมาได้มากมายก็ตาม แต่เขาก็ไม่เคยนำข้อมูลไปหาประโยชน์ทางการเงินใดๆ
นายมิทนิค ทำการเจาะข้อมูลเหมือนกับคนติดยาเสพติด และเขาไม่สามารถเลิกมันได้ ยิ่งเข้าไปในระบบอินเทอร์เน็ตครั้งใดก็ยิ่งพบว่ามีจุดอ่อนให้ทอลองความสามารถในการเจาะข้อมูลของเขาเสมอ แต่ท้ายที่สุดความพยายามของทีมงานซึ่งจับตาดูนักเจาะข้อมูลเริ่มได้ข้อมูลผู้ต้องสงสัย ซึ่งเริ่มปรากฏให้เห็นชัดว่ามักมีสัญญาณเรียกจากเครื่องโมเด็มของโทรศัพท์เคลื่อนที่ แม้ว่าการเรียกเข้าดังกล่าวจะเคลื่อนที่ผ่านสวิทช์ของโทรศัพท์เคลื่อนที่ (Cellular phone switch) ที่ดูแลโดยบริษัทสปรินซ์ (Sprint) ในเมือง Raleigh มลรัฐ North Carolina การเปรียบเทียบอย่างระมัดระวังระหว่างข้อมูลที่ได้จากบริษัทสปรินซ์ (Sprint) และข้อมูลที่ได้จาก Netcom ทำให้ได้ร่องรอยของนายมิทนิค ต่อมาเจ้าหน้าที่ตำรวจใช้อุปกรณ์ตามจับแบบเซลลูล่าร์เพื่อที่จะตามนายมิทนิค ไปยังอพาร์ตเม้นที่ชื่อว่า Player Court ในที่สุด F.B.I ก็รู้แหล่งที่พักของนายมิทนิค
ในกลางดึกของวันที่ 16 กุมภาพันธ์ หลังจากที่นายชิโมมูระถูกเจาะข้อมูลเป็นครั้งแรกไม่ถึง 2 เดือน ตำรวจ F.B.I ก็ได้บุกเข้าจับตัวนายมิทนิคที่อพาร์ตเม้นท์ดังกล่าว เพื่อนำตัวมาดำเนินคดีต่อไป
จากเหตุการณ์ข้างต้นหากจะพิจารณาในกรณีของประเทศไทยจะเห็นได้ว่า อาชญากรรมทางคอมพิวเตอร์นั้นมิใช่จะเป็นมหันจภัยร้ายใหม่ที่คุกคามทั้งความมั่นคงภายในและภายนอกประเทศไทยเท่านั้น หากแต่เกิดขึ้นมานานแล้ว เพียงแต่ในยุคปัจจุบันได้มีการเปลี่ยนแปลงรูปแบบไปตามเทคโนโลยีที่เกิดขึ้นซึ่งเป็นยุคดิจิตอลและยากต่อการมองเห็นและตรวจสอบ ดังนั้นเพื่อผลประโยชน์และความมั่นคงของชาติ ภาครัฐควรต้องมีบทบาทสำคัญไม่แพ้ภาคเอกชนในการที่จะป้องกันปราบปรามอาชญากรรมดังกล่าว ซึ่งสามารถสรุปได้ดังต่อไปนี้
1. รัฐบาลไทย ควรหามาตรการเร่งด่วนเพื่อหาทางปราบปรามอาชญากรรมทางคอมพิวเตอร์อย่างเป็นระบบ เช่น มาตรการทางกฎหมาย มาตรการทางสังคม รวมทั้งการให้การศึกษากับประชาชนถึงพิษภัยและวิธีการป้องกันอาชญากรรมดังกล่าว
2. รัฐควรเร่งให้มีหน่วยงานกลางที่รับผิดชอบในการป้องกันและปราบปราม การค้นคว้าวิจัยและการรักษาความปลอดภัยบนเครือข่ายของสารสนเทศแห่งชาติ [National Information Infrastructure (NII)]
3. รัฐควรเร่งให้มีการพัฒนาและสร้างเสริมจริยธรรมในการใช้โครงสร้างพื้นฐานสารสนเทศหรือเครือข่ายคอมพิวเตอร์ โดยอาจเริ่มจากโรงเรียน ชุมชน และวงการวิชาชีพ เป็นต้น
ปัญหาและข้ออภิปราย
1. ในวันที่ 8 ธันวาคม ค.ศ. 1997 เวลาประมาณ 7.00 น. มีนักก่อกวนคอมพิวเตอร์ (Hacker) ได้เจาะเข้าไปในระบบรักษาความปลอดภัยของ Yahoo และแฮกเกอร์ (Hacker) ได้แจ้งว่าใครก็ตามที่เข้ามาใช้บริการของ Yahoo ในเดือนธันวาคม จะต้องติดไวรัสที่ชื่อว่า “ไวรัสระเบิดตรรก (Logic bomb/virus)” โดยมีผู้ใช้บริการของ Yahoo ประมาณ 26 ล้านคนต่อเดือน และไวรัสดังกล่าวได้รับการกำหนดให้ทำลายระบบคอมพิวเตอร์นับล้านเครื่องทั่วโลก ถามว่านักศึกษารู้จักไวรัสระเบิด (Logic bomb/virus) หรือไม่ จงอธิบายการทำงานของไวรัสดังกล่าว
ตอบ รู้จัก หรือเรียกว่า ”Time Bomb” เป็นไวรัสที่จะทำงานเมื่อถึงวันที่ที่ระบุไว้ เช่น ไวรัส Michelangelo จะทำงานในวันที่ 6 มีนาคมของทุกปี ไวรัสชนิดนี้ไม่มีการทำสำเนาตัวเองไปฝังใน file หรือหน่วยความจำที่อื่น แต่จะทำงานเมื่อถึงเวลาแล้วเท่านั้น
2. จากกรณีศึกษา นักศึกษาจะพบว่านายชิโมมูระได้พยายามรักษาความปลอดภัยของระบบคอมพิวเตอร์อย่างยอดเยี่ยม แต่ก็มีผู้ไม่ประสงค์ดีบุกรุกเข้ามาได้ ดูเหมือนว่าจะไม่มีวิธีการใดที่จะรักษาความปลอดภัยของข้อมูลในหน่วยงานให้ปลอดภัยที่สุดถึงร้อยเปอร์เซ็นต์ กำหนดให้นักศึกษาอภิปรายว่า นอกจากทุกคนภายในองค์การจะต้องช่วยกันดูแลรักษาความปลอดภัยของระบบคอมพิวเตอร์แล้ว ภาครัฐโดยเฉพาะตำรวจควรจะต้องสอดส่องดูแลข้อมูลสารสนเทศที่ไม่พึงประสงค์ หรือติดตามหาผู้ร้ายเหมือนกับตำรวจ F.B.I. ของสหรัฐอเมริกาหรือไม่ และประเทศไทยควรมีตำรวจ IT ด้วยหรือไม่ จงแสดงความคิดเห็น
ตอบ ภาครัฐและตำรวจควรจะต้องสอดส่องดูแลข้อมูลสารสนเทศที่ไม่พึงประสงค์ และติดตามหาผู้ร้ายเหมือนกับตำรวจ F.B.I. ของสหรัฐอเมริกา ประเทศไทยควรมีตำรวจ IT เพราะ ปัจุบันมีการขโมยข้อมูลหรือมีผู้ไม่ประสงค์ดีบุกรุกเข้ามานำข้อมูลไปเผยแพร่ หรืออาจเป็นข้อมูลส่วนตัว ทำให้บุคคลเกิดความเสียหายทางชื่อเสียง จึงควรที่จะมีตำรวจ IT ในประเทศไทย
3. นอกจากซอฟต์แวร์ที่ใช้ตรวจหาและฆ่าไวรัส (Virus) แล้ว ในหน่วยงานของท่านมีซอฟต์แวร์ประเภทไฟล์วอล (Fire wall) หรือกำแพงไฟสำหรับช่วยในการบริหาร การจัดการ และการดูแลระบบความปลอดภัยอย่างไรบ้าง
ตอบ
1. เปิด services และโปรโตคอล (protocols) เฉพาะที่มีการใช้งานในเครื่องให้บริการ และอุปกรณ์เครือข่ายที่จำเป็นต้องใช้งานเท่านั้น เพื่อลดช่องทางการถูกโจมตี หรือเข้าถึงระบบโดยผู้ไม่ประสงค์ดี
2. ปรับแต่งค่าคอนฟิกูเรชัน (Configuration) ของเครื่องให้บริการให้มีความมั่นคงปลอดภัยทั้งในระดับระบบปฏิบัติการ (Operating System Level) ระดับโปรแกรมประยุกต์ (Application Level) รวมทั้งอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ เพื่อลดช่องโหว่ที่อาจใช้โจมตีระบบ โดยสามารถใช้แนวทางการปรับแต่งค่าคอนฟิกูเรชันต่าง ๆ จากแหล่งข้อมูลด้านความมั่นคงปลอดภัยสารสนเทศได้หลายแหล่ง เช่น Center for Internet Security (CIS) หรือ National Institute of Standards Technology (NIST) เป็นต้น
3. ยกเลิกฟังก์ชันของระบบปฏิบัติการ (Operating System) และโปรแกรมประยุกต์ (Application) ที่มีการติดตั้งบนเครื่องให้บริการ และอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ที่ไม่มีการใช้งาน เพื่อลดเครื่องมือที่อาจถูกใช้โจมตีระบบ หรือใช้ขโมยข้อมูลภายในระบบ
4. เข้ารหัสข้อมูล และช่องทางการเชื่อมต่อสื่อสารเพื่อบริหารจัดการระบบของผู้ดูแลระบบเมื่อมีการเข้าถึงเครื่องให้บริการ หรืออุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ โดยเลือกใช้โปรโตคอลที่มีการเข้ารหัสเช่น SSH, VPN หรือ SSL เป็นต้น เพื่อป้องกันการดักจับข้อมูลระหว่างทางในการส่งคำสั่งบริหารจัดการระบบ
2. ปรับแต่งค่าคอนฟิกูเรชัน (Configuration) ของเครื่องให้บริการให้มีความมั่นคงปลอดภัยทั้งในระดับระบบปฏิบัติการ (Operating System Level) ระดับโปรแกรมประยุกต์ (Application Level) รวมทั้งอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ เพื่อลดช่องโหว่ที่อาจใช้โจมตีระบบ โดยสามารถใช้แนวทางการปรับแต่งค่าคอนฟิกูเรชันต่าง ๆ จากแหล่งข้อมูลด้านความมั่นคงปลอดภัยสารสนเทศได้หลายแหล่ง เช่น Center for Internet Security (CIS) หรือ National Institute of Standards Technology (NIST) เป็นต้น
3. ยกเลิกฟังก์ชันของระบบปฏิบัติการ (Operating System) และโปรแกรมประยุกต์ (Application) ที่มีการติดตั้งบนเครื่องให้บริการ และอุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ที่ไม่มีการใช้งาน เพื่อลดเครื่องมือที่อาจถูกใช้โจมตีระบบ หรือใช้ขโมยข้อมูลภายในระบบ
4. เข้ารหัสข้อมูล และช่องทางการเชื่อมต่อสื่อสารเพื่อบริหารจัดการระบบของผู้ดูแลระบบเมื่อมีการเข้าถึงเครื่องให้บริการ หรืออุปกรณ์เครือข่ายที่สนับสนุนการทำงานของบริการเว็บไซต์ โดยเลือกใช้โปรโตคอลที่มีการเข้ารหัสเช่น SSH, VPN หรือ SSL เป็นต้น เพื่อป้องกันการดักจับข้อมูลระหว่างทางในการส่งคำสั่งบริหารจัดการระบบ
ไม่มีความคิดเห็น:
แสดงความคิดเห็น