🔍 บทนำ

(เนื้อหาเริ่มต้นของบทความ Infrastructure OSINT: การใช้ Shodan ร่วมกับ Nmap สืบสวนจากภายนอก) บทที่ 5 นี้เราจะขยายขอบเขตจากการสแกนในวงแลนหรือการสแกนเป้าหมายตรงๆ มาสู่การสืบสวนแบบ “ไม่ให้เขารู้ตัว” ครับ นี่คือหัวใจของ OSINT (Open Source Intelligence) ในระดับโครงสร้างพื้นฐาน

หาก Nmap คือการเดินไปเคาะประตูบ้านเพื่อเช็คว่าใครอยู่ไหม Infrastructure OSINT ก็คือการไปเปิด “สมุดเหลือง” หรือ “ฐานข้อมูลทะเบียนราษฎร์” เพื่อดูว่าบ้านหลังนั้นจดทะเบียนไว้อย่างไร โดยที่เราไม่ต้องเดินไปที่บ้านเขาแม้แต่ก้าวเดียวครับ

🌐 05-Infrastructure OSINT: สืบสวนโครงสร้างพื้นฐานจากภายนอก

ในการสืบสวนยุคใหม่ การสแกนเป้าหมายโดยตรง (Active Scanning) อาจทำให้คุณถูกระบบป้องกัน (IPS/IDS) ตรวจพบและบล็อก IP ได้ นักสืบสาย Deep จึงต้องรู้จักการทำ Passive Reconnaissance หรือการหาข้อมูลจาก “ร่องรอย” ที่เป้าหมายทิ้งไว้บนอินเทอร์เน็ตครับ

📖 พจนานุกรมฉบับนักสืบ (The Investigator’s Glossary)

คำศัพท์คำอ่านความหมายในเชิงเทคนิค
OSINTโอ-ซินท์การรวบรวมข้อมูลจากแหล่งข้อมูลสาธารณะที่ใครๆ ก็เข้าถึงได้ (Open Source Intelligence)
Banner Grabbingแบน-เนอร์ แกร็บ-บิ้งการอ่านข้อความ “ทักทาย” ที่ Server ส่งออกมา ซึ่งมักระบุชื่อซอฟต์แวร์และเวอร์ชัน
Passive Reconแพส-ซีฟ รี-คอนการสืบสวนแบบ “ไม่สัมผัสเป้าหมาย” เพื่อลดความเสี่ยงในการถูกตรวจพบ
Honeypotฮัน-นี่-พ็อต“น้ำผึ้งล่อแมลง” คือระบบที่ตั้งไว้หลอกให้คนมาแฮก เพื่อเก็บข้อมูลพฤติกรรมของผู้บุกรุก

🔎 เครื่องมือหลัก: Shodan (The Search Engine for Everything)

หาก Google มีไว้หา “เว็บไซต์” Shodan ก็มีไว้หา “อุปกรณ์” ครับ Shodan จะคอยกวาดสแกนอุปกรณ์ทุกตัวในโลกที่เชื่อมต่ออินเทอร์เน็ต แล้วเก็บ Banner ของอุปกรณ์เหล่านั้นไว้ในฐานข้อมูล

สิ่งที่นักสืบจะพบใน Shodan:

  • IP & Location: เป้าหมายอยู่ที่ประเทศไหน ใครคือผู้ให้บริการ (ISP)

  • Open Ports: พอร์ตไหนเปิดอยู่บ้าง (โดยที่เราไม่ต้องรัน Nmap เอง)

  • Vulnerabilities: อุปกรณ์นั้นมีช่องโหว่ (CVE) อะไรบ้างที่ยังไม่ได้ Patch

🕵️ เทคนิคการสืบสวน (OSINT Workflow)

นักสืบจะใช้ Shodan ทำงานร่วมกับ Nmap เพื่อความแม่นยำครับ:

  1. ค้นหาด้วย Filter (Shodan):

    • ค้นหาเว็บในไทยที่ใช้ Apache: product:"Apache" country:"TH"

    • ค้นหากล้องวงจรปิดที่ไม่ได้ตั้งรหัสผ่าน: webcamxp

    • ค้นหาเป้าหมายเฉพาะเจาะจง: net:203.1xx.xxx.x/24

  2. วิเคราะห์ข้อมูลที่ได้:

    • ดูว่า Server นั้นรัน OS อะไร (จาก TTL และ Banner)

    • ตรวจสอบว่ามีบริการแปลกๆ เช่น SSH หรือ Telnet เปิดทิ้งไว้หรือไม่

  3. ยืนยันด้วย Nmap (เฉพาะจุด):

    • เมื่อได้เบาะแสจาก Shodan แล้ว เราค่อยใช้ Nmap สแกนพอร์ตที่สงสัยเพียงพอร์ตเดียวเพื่อลดการเกิด Alarm ในฝั่งเป้าหมาย

🛠 การทดลอง: ใช้เครื่องมือสืบสวนบน Arch Linux

คุณสามารถใช้ Shodan ผ่าน Terminal ได้เลยครับ (ต้องมี API Key จาก shodan.io):

Bash

# ติดตั้ง Shodan CLI
sudo pacman -S python-pip
pip install shodan

# ค้นหาข้อมูลของ IP เป้าหมาย
shodan host 8.8.8.8

ผลลัพธ์ที่จะเห็น:

  • รายการพอร์ตที่เปิด (53, 443, etc.)

  • ตำแหน่งที่ตั้งของ Server

  • ข้อมูล Header ที่ Server ตอบกลับมา

📝 บันทึกการวิเคราะห์: ความปลอดภัยของโครงสร้างพื้นฐาน

  • Exposure: อุปกรณ์ IoT (Internet of Things) เช่น ตู้เย็น หรือหลอดไฟอัจฉริยะ มักเป็นจุดอ่อนเพราะผู้ใช้มักลืมเปลี่ยนรหัสผ่านมาตรฐาน

  • Information Leakage: การปล่อยให้ Server บอกเวอร์ชันของตัวเอง (Banner) คือการหยิบยื่นแผนที่ช่องโหว่ให้แก่ผู้บุกรุก

💡 ขั้นตอนต่อไปที่คุณควรลอง:

  1. ลองเข้าเว็บไซต์ shodan.io แล้วลองพิมพ์คำว่า city:"Bangkok" เพื่อดูว่ามีอุปกรณ์อะไรบ้างในกรุงเทพฯ ที่เชื่อมต่ออินเทอร์เน็ตอยู่ตอนนี้

  2. ลองตรวจสอบ IP ของตัวเองใน Shodan ดูว่าอินเทอร์เน็ตที่บ้านคุณ “เผยแพร่” ข้อมูลอะไรออกไปสู่โลกภายนอกบ้าง

**