Intrusion Detection & Network Forensics.. USITS’99 ตอนจบ

Training ของ USITS’99 ในช่วงที่สองเป็นหัวข้อเรื่อง Intrusion Detection & Network Forensics ครับ..ผู้บรรยายคือ มาร์คัส เรนัม (Marcus J. Ranum) แนะนำซักหน่อย.. มาร์คัส เป็น CEO และผู้ก่อตั้ง Network Flight Recorder, Inc. เชี่ยวชาญในเรื่องระบบไฟร์วอลล์ ตัวสำคัญๆ เช่น DEC SEAL, TIS Gauntlet, และ TIS Internet Firewall Toolkit. ในอดีตก่อนจะก่อตั้ง NFR Inc. มาร์คัสเป็นผู้เชี่ยวชาญการติดตั้งระบบยูนิกซ์ และความปลอดภัยของเครือข่าย และเป็นผู้ติดตั้งระบบให้กับ http://whitehouse.gov

Intrusion Detection ???

Intrusion Detection ความหมายของมันแปลตามตัวเลยครับ เป็นการตรวจจับการบุกรุก ในที่นี้คือการบุกรุกเครือข่ายครับ Intrusion Detection เป็นเทคโนโลยีที่เกิดมาไม่นานนัก และกำลังเป็นที่สนใจมากขึ้น แนวความคิดเบื้องหลัง intrusion detection ก็คือ “รู้เขารู้เรา รบ 100 ครั้ง ชนะ 100 ครั้ง” ..น่ะล่ะครับ..รู้ว่าถูกบุกเมื่อไหร่จะได้ตอบโต้ได้ทันไง .. แล้วอะไรคือความหมายของการ “บุกรุก” ? ..โอ..นี่ละปัญหาใหญ่ครับ บุกรุกแปลว่า ..

  • telnet เข้ามาแต่ login fail ตอนกลางคืน ?
  • มีคนพยายาม login root ?
  • ping sweep ?
  • โดน ISS/SATAN scan ?
  • รึว่ามีคนพยายาม run phf ผ่าน web ???
  • มีคนทุบกระจกหน้าต่างห้อง server ตอนกลางคือเพื่อ login ที่ console ??
  • บุกรุกแปลว่า…….

แต่ละ คนให้คำจำกัดความไม่เหมือนกัน คนเดียวกันก็อาจจะให้ต่างกัน ขึ้นอยู่กับสถานการณ์ ดังนั้นเครือข่ายแต่ละแห่งจึงมีคำจำกัดความของการบุกรุกที่ต่างกันไป และนั้นทำให้การพัฒนาระบบ intrusion detection ทำได้ยากและเป็นระบบเฉพาะตัว .. แต่ก็มีคนตั้งเป้าของระบบในอุดมคติขึ้นมาจนได้ โดยให้ความหมายไว้ว่า “Intrusion Detection System (IDS) ในอุดมคติจะเป็นตัวคอยเตือน admin ว่าเกิดการบุกรุกโดย

  • มีความถูกต้อง 100% ..อันนี้รวมไปถึงว่าระบบต้องไม่เกิด false positive และ false negative ..false positive หมายถึงการเตือนในสิ่งที่ไม่ควรจะเตือน..เช่น ส่ง page ไปปลุกตอนตีสามเพื่อบอกว่ามีคน telnet เข้ามาในระบบ..อีกนัยนึงก็คือระบบมัน sensitive เกินไป..ส่วน false negative หมายถึงการปล่อยให้การบุกรุกผ่านไปได้โดยไม่ถูกตรวจจับ
  • รวดเร็ว ..เป็น real-time IDS ได้ยิ่งดี ความเสียหายของระบบแปรผันตามเวลาที่ผู้บุกรุกอยู่ในระบบ ยิ่งปล่อยไว้นานระบบก็จะเสี่ยงที่จะเสียหายเพิ่มขึ้น แต่อย่าลืมว่า คำว่า real-time ก็มีความหมายในตัวมันเองนะครับ ระบบที่เตือนได้ภายในเสี้ยววินาทีกับระบบที่เตือนภายใน 1 นาทีอาจจะไม่ต่างกันเลย เพราะยังไงมนุษย์ก็ช้าที่สุดอยู่ดี อีกอย่างคือ ช่องทางสำหรับส่งสัญญาณเตือนต้องปลอดภัยพอและพร้อมใช้งานเสมอ เพราะวิธีที่ทำให้ IDS ใช้งานไม่ได้ง่ายๆ ก็คือปิดช่องทางการเตือนของระบบ ..ไม่มีการเตือนก็ไม่มีใครรู้ว่าถูกบุกรุก ..โฮ่..ยังกะหนังสายลับ
  • ให้ ข้อมูลการบุกรุกครบถ้วน ระบบในอุดมคติ IDS ต้องแยกแยะการบุกรุกได้ วิเคราะห์รูปแบบการบุกรุกเป็น.. อันนี้ล่ะยากเลย การกระทำบางอย่างอาจจะแปลกแต่ไม่ใช่การบุกรุก และการบุกรุกบางประเภทอาจจะไม่แตกต่างกับการใช้งานทั่วไป .. IDS จะเรียนรู้ได้ยังไง ?
  • และแนะนำวิธีการป้องกันได้ บอกได้ทันทีว่าอะไรคือเป้าหมายของผู้บุกรุก แม้ว่าผู้บุกรุกจะยังเข้าไม่ถึงเป้าหมายนั้น..นี่ก็ยากพอๆ กับข้อข้างบน

..แน่ ล่ะครับ ระบบนี้ไม่มีอยู่จริง .. แต่ก็มีทางสร้างระบบที่ดีพอ และใกล้เคียงกับระบบในอุดมคตินี้พอที่จะเอามาใช้งานเป็นประโยชน์ได้ อย่างน้อย IDS ควรจะตรวจจับ hacking ได้ทั้งภายในและภายนอกระบบ และเป็นระบบสำรองในกรณีที่ระบบป้องกันการบุกรุกอย่าง firewall ล้มเหลว..อ้อ เกือบลืม..มีสิ่งที่ต้องทำความเข้าใจกันก่อนนะครับ Marcus กล่าวไว้ว่า

“An ounce of prevention is worth a pound of detection”

..ดังนั้น อย่า..ย้ำอีกที อย่าใช้ IDS เพื่อป้องกันระบบเพียงอย่างเดียว มันป้องกันไม่ได้ครับ มันแทนไฟร์วอลล์ไม่ได้ มันแทน packet-filtered router ไม่ได้ มันเป็นตัวตรวจจับนี่ครับ ไม่ใช่ตัวป้องกัน..ต้องเกิดเหตุถึงจะตรวจจับได้ ซึ่งอาจจะสายไปแล้ว ..ที่ถูกต้องคือมีไฟร์วอลล์หรือระบบ filtering อื่นทำงานเป็นตัวหลักและใช้ IDS เพื่อตรวจจับในกรณีที่เกิดการรั่วที่ไฟร์วอลล์ .. มาร์คัสเล่าว่ามีลูกค้าคนนึงเอาไฟร์วอลล์ ออก เอา IDS ใส่แทน..โดนเจาะซะเรียบโร้ย..”DON’T DO THAT…PLEASE DO NOT DO THAT”

การวางระบบ Intrusion Detection

เรา สามารถใช้งาน IDS ได้สองแบบครับ คือการตรวจจับการโจมตี (Attack Detection) และการตรวจจับการบุกรุก (Intrusion Detection) สองอันนี้ฟังดูคล้ายๆ กันเลยนะเนี่ย .. ความแตกต่างอยู่ที่ attack detection จะตรวจจับการบุกรุกก่อนที่จะเข้าถึงเครือข่างภายใน ส่วน intrusion detection นี่คือตรวจจับการบุกรุกเมื่อผู้บุกรุกผ่านเข้ามาภายในเครือข่ายได้แล้ว

 

.. พูดอีกอย่างคือ attack detection จะวาง IDS ไว้หน้าไฟร์วอลล์ ส่วน intrusion detection จะวาง IDS ไว้หลัง ไฟร์วอลล์ … ผลที่ได้ก็ต่างกัน ในกรณี attack detection จะเป็นการตรวจจับการบุกรุกไฟร์วอลล์ และ เว็บเซิร์ฟเวอร์ (เพราะสองตัวนี้อยู่ด้านนอก) ผลการตรวจจับช่วยให้วิเคราะห์แนวโน้มความเสี่ยงได้ (..เช่น เดือนนี้มีคนพยายามเจอะระบบมากกว่าเดือนที่แล้ว xxx ครั้ง..หรือมีผู้บุกรุก ช่วงตี 4-5 มากที่สุด เป็นต้น) ส่วน intrusion detection จะเป็นการตรวจจับการบุกรุกที่เข้าถึงเครือข่ายภายใน ซึ่งบอกถึงการรั่วของไฟร์วอลล์ได้ ตรวจจับการบุกรุกผ่าน backdoor ตรวจจับการบุกรุกที่เกิดขึ้นจากภายในเครือข่ายเอง (ประมาณว่า คนในองค์กรเป็นซะเอง) หรือกรณีที่คนในองค์กรไปเจาะ ครือข่ายอื่นๆ .. เอ้อ แล้วแบบไหนดีกว่ากันล่ะ ? .. ใช้ทั้งสองอย่างเลยดีที่สุดครับ แต่ในทางปฏิบัติก็จะให้น้ำหนักไปที่ intrusion detection มากกว่า attack detection

ส่วนประกอบของ IDS

โดยทั่วไป IDS จะประกอบด้วยส่วนต่างๆ ตามที่ปรากฏใน diagram

  • Host system/Network sniffer: ทำหน้าที่เป็นตัวตรวจจับเหตุการณ์ต่างๆ ที่เกิดขึ้นใน host หรือเครือข่ายข้อมูลจากส่วนนี้เป็นเหมือน input ที่เข้าไปประมวลผลใน IDS
  • Pre-processing: จัดรูปแบบของ input ที่รับเข้ามาเพื่อให้นำไปประมวลผลได้สะดวกต่อไป
  • Statistical analysis: ส่วนวิเคราะห์ผลทางสถิติ
  • Signature matching: ส่วนวิเคราะห์จากพฤติกรรมที่มีแบบแผน แนวความคิดตรงนี้นำมาจากที่ว่า การบุกรุกมักจะมีรูปแบบที่ค่อนข้างแน่นอน ส่วนนี้จะทำงานได้ก็ต่อเมื่อมีข้อมูลมากพอที่จะวิเคราะห์ได้ว่าพฤติกรรมที่ ปรากฏในระบบเป็นรูปแบบของการบุกรุกหรือไม่
  • Knowledge Base: เป็นตัวเก็บข้อมูลเกี่ยวกับพฤติกรรมของการบุกรุก ข้อมูลนี้ถูกใช้โดยส่วนของ signature matching ข้อมูลส่วนนี้มีความสำคัญมากกับระบบ เป็นตัวตัดสินเลยว่าระบบฉลาดพอที่จะตรวจจับการบุกรุกได้หรือไม่
  • Alert Manager: ทำหน้าที่เป็นตัวตัดสินใจว่าจะเหตุการณ์ที่เกิดขึ้นในระบบควรจะต้องเตือน หรือไม่ ระบบจะมีความ sensitive มากน้อยแค่ไหนอยู่ที่ตัวนี้ด้วย
  • User Interface: เป็นส่วนที่โต้ตอบกับผู้ใช้ อาจจะเป็นการแสดงผลที่หน้าจอ ส่งเสียงเตือนถึงการบุกรุก สั่งพิมพ์เป็น hardcopy หรือแม้แต่เชื่อมกับ pager/โทรศัพท์ นอกจากนี้ user interface ยังเป็นส่วนโต้ตอบระหว่างผู้ใช้กับระบบเพื่อเปลี่ยนแปลงหรือ update ข้อมูลใน knowledge base
  • Response Manager: รับข้อมูลจาก alert manager เพื่อนำมาตัดสินใจว่าจะโต้ตอบกับการบุกรุกอย่างไร

แหล่ง ข้อมูลที่จะป้อนให้กับ IDS แบ่งออกได้เป็นสองอย่างครับ คือจากโฮสต์ และ จากเครือข่าย .. มาดูกันที่โฮสต์ก่อนเลย.. ข้อมูลที่ได้โดยทั่วไปจะได้จาก operating system เช่น C2 audit logs, system logs, application logs, etc. ข้อมูลส่วนใหญ่มักจะไม่อยู่ในลักษณะของ raw data แต่จะเป็น information มากกว่า เพื่อลดปริมาณข้อมูลที่ต้องเก็บใน storage ในบางระบบจะสามารถปรับได้ว่าจะให้ระบบมีการเก็บรวบรวมข้อหมูลอย่างไร ดังนั้นเราจึงสามารถปรับให้ได้ข้อมูลสำหรับ IDS ได้ไม่ยาก และยังเป็นประโยชน์มากกว่าด้วยเพราะเป็น information ไม่ใช่ raw data ที่ต้องนำมา process กันก่อน ข้อเสียของการใช้ข้อมูลจาก host คือ ข้อมูลมักจะถูกจำกัดให้ใช้งานได้ภายใน platform ของ host นั้น .. หรืออย่างมาก 2-3 platforms ซึ่งไม่สะดวก (มีโฆษณาชิ้นหนึ่งเขียนไว้ว่า “You can detect intrusions on any platforms as long as it’s Solaris or NT!”… -_-‘) ข้อเสียอีกประการคือตัว host เองน่ะล่ะที่เป็นเป้าการโจมตี ดังนั้นข้อมูลที่เก็บใน logs อาจจะถูกแก้หรือถูกทำลายได้ .. IDS เองก็อาจทรยศซะเองก็ได้ ..

ข้อมูลจากเครือข่ายจะเก็บข้อมูลจาก แพ็กเก็ต ที่วิ่งอยู่ในเครือข่าย โดยใช้ hubs/switches/routers หรืออุปกรณ์อื่นๆ .. ข้อมูลที่รับมาจะเอามาทำนายเหตุการณ์ที่จะเกิดขึ้นได้ ข้อดีของระบบนี้คือประสิทธิภาพการทำงานของโฮสต์ไม่ได้ลดลง ทำงานได้กับหลาย platform และอาจจะได้ข้อมูลบางอย่างที่โฮสต์ไม่สามารถตรวจจับได้ เช่น ip/port scanning ..ข้อเสียก็มีเหมือนกัน เช่น แพ็กเก็ตที่จะนำมาวิเคราะห์อาจจะหายไปในกรณีที่เครือข่ายถูก flood, ปัญหาเกี่ยวกับการ reassemble packets,และใช้งานกับข้อมูลที่เข้ารหัสไว้ไม่ได้

รูปแบบของ IDS

เราอาจจะแบ่งรูปแบบการทำงานของ IDS ออกได้เป็น 5 อย่างตามลักษณะของวิธีการตรวจจับ

  1. Anomaly Detection: เป็นการตรวจหาสิ่งผิดปกติ กลไกก็คือต้องวิเคราะห์ระบบ หรือ เครือข่าย (ขึ้นกับแหล่งข้อมูล) ให้ได้คำตอบก่อนว่าอะไรคือการทำงาน “ปกติ” การตรวจจับจะวัดตามค่าทางสถิติ หรือ heuristic เพื่อดูว่าเหตุการณ์ที่เกิดอยู่ในขอบเขตของคำว่า “ปกติ” หรือไม่ .. ถ้าไม่แสดงว่าเหตุการณ์ที่เกิดเป็นสิ่งที่ไม่ปกติและหมายถึงการบุกรุก ปกติจะใช้การวิเคราะห์โดย neural nets, statistical analysis หรือ state-changed analysis ข้อดีของ anomaly detection คือ สามารถปรับให้ตรวจจับการบุกรุกได้ทุกประเภท รวมทั้งการบุกรุกที่ไม่เคยเกิดขึ้นมาก่อนด้วย ข้อเสียล่ะ..เอ่อ..ระบบนี้ยังทำงานได้ดีพอในปัจจุบัน การตรวจจับยังพลาดบ่อย ปัจจุบันเป็นเรื่องที่กำลังทำวิจัยกันอยู่ (เพราะว่า..มันยาก และเป็นที่สนใจ) ตัวอย่างของระบบนี้คือ IDES/NIDES (Statistical + Rule-based detection), GrIDS (Graph-based IDS), และ Emerald (Multi-layer IDS)
  2. Misuse Detection: หลักการคือหาว่าอะไรคือองค์ประกอบของการบุกรุกแล้วพยายามตรวจจับจุดนั้น วิธีการอาจจะใช้ “Network grep” หา strings ใน network connection ที่แสดงถึงการบุกรุก หรือ pattern matching ตรวจการเปลี่ยนแปลงของ state เช่น owner ของ /etc/passwd ถูกเปลี่ยน ตามด้วย /etc/passwd ถูกเปิด แก้ไข และบันทึกลงไปใหม่ ข้อดีของ misuse detection คือ ง่าย เร็ว โอกาสพลาดมีน้อย แต่ก็มีข้อเสียที่ต้องรู้จักวิธีการบุกรุกถึงจะตรวจจับเจอ และมีโอกาสที่ระบบจะถูกลวงได้ง่าย ตัวอย่างของระบบนี้คือ ISS RealSecure, Cisco NetRanger, NAI CyberCop, NFR Network Flight Recorder
  3. Burglar Alarm: คือ misuse detection ที่เจาะจงเป้าหมายที่แน่นอน การทำงานจะขึ้นอยู่กับการตั้ง policy ของ site นั้นๆ ดังนั้นก็จะตรวจจับการฝ่าฝืน policy ที่กำหนดไว้เป็นหลัก burglar alarm อย่างง่ายอาจจะทำได้จาก tcpdump + perl หรือที่เป็น software ก็มี NetLog และ Network Flight Recorder ข้อดีคือ ความน่าเชื่อถือ ง่าย และอาจจะตรวจจับการบุกรุกที่ไม่รู้จักมาก่อนได้ ข้อเสียก็คือมันเป็น policy-based ซึ่งต้องอาศัยความรู้และประสบการณ์ในการตั้ง policy ..
  4. Honey pots: โหลน้ำผึ้ง..ระบบลวง..ตั้งเพื่อล่อให้ถูกบุกรุก ระบบต้องอ่อนพอที่จะบุกรุกได้ และแข็งพอที่จะถ่วงเวลานานพอ ส่วนการตรวจจับสามารถใช้ tools ง่ายๆ เช่น tcpwrapper, burglar alarm, หรือแม้แต่ system logs .. วิธีนี้ดีที่ง่าย และไม่ลดประสิทธิภาพของระบบ(จริง) .. ข้อเสียคือวิธีนี้ได้ผลกับผู้บุกรุกกระจอกๆ เท่านั้น ..
  5. Hybrid IDS: ระบบรวม..เอาหลายๆ อย่างมาผสมกัน ระบบที่มีขายกันในปัจจุบันส่วนใหญ่จะเป็น hybrid IDS อย่างเช่นใช้ misuse detection + expert system + statistical anomaly analysis Hybrid IDS ดูเหมือนจะเป็นรูปแบบที่ดีที่สุด เพราะใช้การทำงานหลายๆ อย่างเพื่อตรวจจับและกำจัดข้อเสีย แต่ก็ยังมีข้อเสียจนได้ คือ Hybrid IDS ปัจจุบันมันเกิด false positive มากเกินไป ไอ้โน่นก็ใช่ ไอ้นี่ก็ใช่ เตือนตลอด จนบาง site ต้องยกเลิกการใช้กลไกบางส่วนของระบบ

Forensics ?

ความหมาย ของคำนี้คือการค้นหาหลักฐานหลังจากเกิดเหตุขึ้น .. ถ้าในสังคมมนุษย์ทั่วๆไป ก็คือ “นิติวิทยา” เอาหลักฐานที่พบในที่เกิดเหตุมาสร้างภาพเหตุการณ์ขึ้นมาใหม่เพื่อให้เข้าใจ ถึงการกระทำนั้น สำหรับในเครือข่ายความหมายก็ใกล้ๆ กันครับ แต่ forensics ในเครือข่ายนี่เป็นงานยากมาก จะสำเร็จหรือไม่ขึ้นกับสิ่งเดียวคือคุณภาพของข้อมูลที่มีอยู่ ข้อมูลที่ว่านี่เอาจากที่ใดได้บ้าง ? .. เยอะครับ เราสามารถหาได้จาก tools ต่างๆ เช่น tcpdump, argus, NFR, tcpwrapper, sniffer, nnstat, line printer, tripwire, หรือแม้แต่ข้อมูลที่ backup เอาไว้ แต่อย่าลืมครับ สิ่งสำคัญคือคุณภาพ ไม่ใช่ปริมาณ การที่มีแหล่งข้อมูลมากทำให้มีโอกาสในการพบข้อมูลดีๆ ได้มากกว่าเท่านั้นเอง ตัวอย่างสิ่งที่ต้องตรวจสอบ เช่น

  • ตรวจดู log files: syslogs, sulog, messages, etc
  • ค้นหา sniffer
  • ค้นหาโปรแกรม remote control เช่น NetBus, BackOrifice
  • ค้นหา files ประเภท eggdrop, หรือ irc
  • ตรวจดู priviledge files/programs (permission = 4000)
  • ตรวจดูการเปลี่ยนแปลง file system
  • ตรวจดู cron และ at
  • ตรวจดู services (netstat -a, inetd.conf)
  • ตรวจดู password file
  • ตรวจดู switch/system/network configuration files
  • ตรวจดู files ที่ผิดสังเกตุ เช่น warez, “…”, ” “, “file “
  • ตรวจดู host/server อื่นๆ

โอกาส ที่จะตรวจหาว่าเกิดสิ่งผิดปกติไม่ใช่ง่ายเลยครับ แคร็กเกอร์เดี๋ยวนี้ลบรอยเก่ง .. พวกที่เก่งจริงๆ เราก็ไม่มีปัญญาจับ พวกที่เราจับได้ก็ไม่คุ้มที่จะจับ แต่ก็ยังพอมีเครื่องมือสำหรับทำการตรวจย้อนจนถึงตัวได้เหมือนกันคำถามที่ หลายคนอยากรู้คือ “ถ้าเจอแคร็เกอร์กำลังเจาะระบบ จะตอบโต้ยังไงดี ?” .. อย่างแรกก็ต้องตัดสินใจก่อนว่าจะแค่สังเกตพฤติกรรม, เข้าขัดขวางการบุกรุกขณะนั้น, ตามจับแบบคาหนังคาเขา, หรือจะฟ้องร้องเป็นเรื่องเป็นราว, etc… ในกรณีจะเอาเรื่องก็แจ้งความก่อนเลย (เมืองไทยคงยาก..) แล้วพยายามหาหลักฐานที่ชี้ตัวได้ อย่างใรก็ตามไม่ว่ากรณีไหน ก็จะมีข้อปฏิบัติเหมือนๆ กันตามนี้ครับ

  • สิ่งแรกสุดสำรองข้อมูลทุกอย่างที่เกี่ยวกับระบบ และข้อมูล .. แคร็กเกอร์ส่วนใหญ่ที่รู้ว่าจวนตัวจะพยายามทำลายข้อมูลในทิ้ง
  • ใช้เครื่องอื่นใน segment เดียวกัน run tcpdump บันทึกแพ็กเก็ตเก็บไว้ เพื่อเอาไว้เป็นข้อมูลภายหลังว่าเกิดอะไรขึ้นบ้าง
  • กรณี ต้องการ shutdown .. sync disk แล้ว halt ต้องแน่ใจว่าขั้นตอนต่างๆ ทำงานปกติ ตรวจสอบ files ที่ execute ในสคริปต์ shutdown ให้แน่ใจว่าเป็นตัวต้นฉบับที่ถูกต้อง .. เพราะเป็นไปได้ว่าแคร็กเกอร์จะเอาสคริปต์อื่นมาทับเพื่อทำลายข้อมูลในกรณี ที่มีคนพยายาม shutdown
  • เมื่อเปิดขึ้นอีกครั้งให้ run single-user mode..สำรองข้อมูลอีกรอบ หรือไม่ก็ทำ image ไปเลย
  • ถ้าต้องการสืบย้อนกลับ ต้องรีบแจ้งหน่วยงานที่เกี่ยวข้องทันที หน่วยงานโทรศัพท์บางแห่งไม่มี logs และการตรวจสอบอาจจะใช้เวลานาน
  • อย่าให้แคร็กกอร์ รู้เป็นอันขาดว่ากำลังถูกจับตาอยู่ .. เช่น login ด้วย root
  • ..ท้าย ที่สุด ในกรณีที่โดนเจาะจนซ่อมแซมได้ยากแล้ว..ปลดสายที่เชื่อมกับเครือข่าย .. วิธีนี้ปลอดภัยกว่าการ shutdown หรือ kill shell ของแคร็กเกอร์ ..แล้วก็เริ่มตั้งระบบกันใหม่

ปัญหาใหญ่อีกอันก็คือตัว กฏหมาย..หลักฐานบางอันมันเอามาอ้างไม่ได้ เพราะอยู่ใน electronic form ซึ่งแก้ไขง่าย ปลอมง่าย สุดท้ายผู้กระทำผิดก็ลอยนวล…อาชญากรรมบน network และ Internet ยังคงยากที่จะตามจับ ถึงจับได้ก็ใช่ว่าจะถูกลงโทษ สิ่งที่ดีกว่าคือป้องกันตัวเองให้ดี ..อย่างที่มาร์คัสบอกล่ะครับ “An ounce of prevention is worth a pound of detection”

เรียบเรียงจากการ อบรม “Intrusion Detection and Network Forensics” บรรยายโดย Marcus J. Ranum ในการประชุมเชิงปฏิบัติการ “2nd. USENIX Symposium on Internet Technologies & Systems (USITS’99)” วันที่ 11 ตุลาคม 2542 ณ. Regal Harvest House Hotel, เมืองโบลเดอร์, รัฐโคโลราโด, ประเทศสหรัฐอเมริกา จัดโดย USENIX Associations, Advanced Computing Systems Association, และ IEEE Technical Committee on the Internet.