หน้าแรก > คอมพิวเตอร์, บ่นไปเรื่อย, เก็บมาฝาก > อย่านิ่งนอนใจ Gadget ของท่านกำลังจะตกเป็นเป้าหมายใหม่ของแฮกเกอร์

อย่านิ่งนอนใจ Gadget ของท่านกำลังจะตกเป็นเป้าหมายใหม่ของแฮกเกอร์

ผมชอบช่วงสิ้นปีมากเลยครับ เพราะเหล่าสื่อต่างๆ จะออกบทความที่น่าสนใจมาเยอะมากๆ โดยเฉพาะบทความที่เกี่ยวกับการสรุปข้อมูลในรอบปีที่ผ่านมา และการพยายามทำนายสิ่งที่จะเกิดขึ้นไปในอนาคต ถูกบ้างผิดบ้างก็ตามแต่ แต่ว่ามันน่าสนใจที่จะอ่านและวิเคราะห์ไม่หยอก … เมื่อวานนี้ผมได้เขียนบล็อกพูดถึงเทรนด์ของอีบุ๊กที่จะส่งผลต่อบรรดาเหล่าสำนักพิมพ์ อันนั้นก็อ้างอิงมาจากบทความของ Mashable เหมือนกัน

และในวันนี้ ผมก็คิดว่าบทความของ New York Times เรื่อง Gadgets Bring New Opportunities for Hackers ก็เป็นอะไรที่น่าสนใจที่จะพูดถึงไม่หยอกครับ

hacker_inside

หากท่านผู้อ่านเห็นว่าบล็อก นานาสาระกับนายกาฝาก เขียนได้ดี อ่านแล้วเพลิน ได้ความรู้ (และความสะใจเล็กๆ … เอ๊ะ! ยังไง) ก็ฝากสนับสนุนด้วยกันแวะไปเยี่ยมเยียนเว็บไซต์ และสมัครเป็นสมาชิกเว็บของผู้ให้การสนับสนุนหลักอย่างเป็นทางการของผม ที่ Adecco Thailand กันซะหน่อยครับ เป็นสมาชิกแล้วมีแต่ได้กับได้ครับ ไหนจะสามารถดาวน์โหลด Thailand Salary Guide 2011 ไปได้ฟรีๆ แบบเต็มๆ แล้ว ยังได้รับข้อความข่าวสารเกี่ยวกับเรื่องตำแหน่งงานดีๆ ใหม่ๆ อีกด้วย และที่สำคัญที่สุด ยังได้เข้าร่วมกิจกรรมแจกของรางวัลอีก โอ้วววว … อ้อ! สำหรับท่านที่มีพวก iDevices ก็อยากแนะนำให้ดาวน์โหลด Adecco App for iOS ไปด้วยครับ

Adecco_iPhone_App_700

เอาละครับ กลับมาเข้าหาเรื่องราวของเรากันต่อดีกว่า…

บทความของ New York Times นี้เริ่มต้นจากข่าวการค้นพบของนักวิจัยที่ Mocana ซึ่งเป็นบริษัทด้านเทคโนโลยีความมั่นคงปลอดภัยในซานฟรานซิสโก ว่าพวกเขาสามารถแฮกเข้าไปใน Internet TV ที่ขายดีเป็นเทน้ำเทท่าอยู่ได้โดยไม่ยากเย็น ซึ่งช่องโหว่ที่เขาพบบนซอฟต์แวร์นั้น ทำให้พวกเขาสามารถควบคุมข้อมูลที่จะถูกส่งมาที่เจ้า Internet TV นี่ได้ และสามารถปลอมหน้าเว็บไซต์ Amazon.com แล้วหลอกให้คนกรอกข้อมูลบัตรเครดิตได้ จากนั้นก็ตรวจจับข้อมูลที่ถูกส่งไปยังเว็บไซต์ดังกล่าว

ตรงนี้บอกอะไรกับเรา? บทความบอกว่า การทดสอบของ Mocana นี้กำลังฉายภาพสิ่งที่เหล่าผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ย้ำเตือนกันมานานว่า พวก Gadget ที่มีความสามารถในการเชื่อมต่อกับอินเทอร์เน็ต สามารถท่องเว็บได้เหล่านี้แหละ ที่จะพวกเราเข้าสู่ยุคใหม่ของการคุกคาม เพราะเป็นเป้าหมายใหม่ที่ทะลวงได้ง่ายๆ กลายเป็นเป้าหมายของแฮกเกอร์

ช่องโหว่บนบราวเซอร์ สวรรค์ของแฮกเกอร์

จริงๆ แล้วผมว่าไม่จำเป็นต้องรอให้นักวิจัยเขามาแฮก Internet TV เพื่อเตือนสติเราหรอกครับ เมื่อเดือนสิงหาคมที่ผ่านมา ตอนที่ Apple เปิดตัว iOS เวอร์ชัน 4 เป็นครั้งแรก นั่นก็เป็นตัวอย่างที่ดีของการแฮกพวก Gadget ได้ง่ายๆ ผ่านทางเว็บกันแล้ว

ผมกำลังพูดถึงเว็บ Jailbreakme.com ครับ เว็บไซต์นี้โด่งดังมากในครั้งแรกๆ ที่ใช้ช่องโหว่บน Mobile Safari ในการเจาะเข้าไปฝังโค้ด Jailbreak ลงใน iOS (ตอนนั้นเวอร์ชัน 1.1.1) และต่อมาก็ใช้ช่องโหว่ขององค์ประกอบที่ใช้อ่านไฟล์ PDF (เวอร์ชัน 3.2.1 และ 4.0.1) ในการเจาะระบบ

Jailbreakme

แต่ไม่ว่าจะเป็นช่องโหว่บนตัว Mobile Safari เอง หรือช่องโหว่จากตัว PDF Viewer ก็ตาม แต่ช่องทางที่ทำให้เจาะได้ง่ายๆ สบายๆ เลยก็คือผ่านทางตัว Mobile Safari อยู่ดี … ใช่ครับ แฮกง่ายๆ แค่เข้าเว็บเท่านั้นเอง

อีกคำเตือนหนึ่งจากผู้เชี่ยวชาญ คือ UI Spoofing หรือการปลอม User Interface เพื่อหลอกว่าเรากำลังเข้าเว็บไซต์หนึ่งอยู่ทั้งๆ ที่จริงๆ แล้วเรากำลังเปิดอีกเว็บไซต์หนึ่ง รายละเอียดเปิดเผยในบล็อก UI Spoofing Safari on iPhone ของ Nitesh Dhanjani

วิดีโออธิบาย UI Spoofing Safari for iPhone

 

หลักการทำงานของ UI Spoofing คือ อาศัยช่องโหว่ที่ว่า ปกติแล้วหน้าจอสมาร์ทโฟนนั้นจะเล็กมาก เขาก็เลยทำให้ Mobile Safari นั้นสามารถซ่อนส่วนของ Address Bar (ที่ปกติเราเอาไว้พิมพ์ URL ของเว็บนั่นแหละ) ได้ … การทำ UI Spoofing นี่ก็คือ การทำให้ Address Bar จริงๆ ถูกซ่อนไป แล้วสร้าง Interface ในส่วนของ Address Bar ที่แสดง URL ปลอมออกมาหลอกเราแทนครับ

แค่ 3 เคสนี้เราก็ได้เห็นแล้วว่า แฮกเกอร์สามารถทำอะไรกับเราได้บ้าง … จะแฮกเข้ามาเพื่อลงโปรแกรมได้ตามที่ต้องการ หรือจะหาทางหลอกเราให้เราเผยข้อมูลสำคัญๆ เอง

App เถื่อนอาจเป็นหมาป่าในคราบลูกแกะ

อีกช่องทางหนึ่งที่แฮกเกอร์อาจแอบเจาะเข้ามาในอุปกรณ์พกพาของเราก็คือผ่านทาง App ที่เราลงนั่นแหละครับ สำหรับ Windows Mobile (ไม่ใช่ Windows Phone 7 นะ) กับ Android นั้นไม่ใช่เรื่องยากเลย เพราะว่า OS ทั้ง 2 นั้นอนุญาตให้เราติดตั้ง App จากไฟล์ติดตั้งได้อยู่แล้ว ส่วน iOS นี่อาจจะยุ่งยากหน่อย เพราะว่า Apple นั้นไม่อนุญาตให้ติดตั้ง App ใดๆ ลงในเครื่อง เว้นแต่ 1) คุณจะเป็น Developer ที่จ่ายตังค์ให้กับ Apple ปีละ $99 หรือ  2) คุณ Jailbreak เครื่องแล้วโหลด App มาติดตั้งเองเป็นไฟล์ .ipa

หากแฮกเกอร์ต้องการจะติดตั้งโปรแกรมอะไรบนอุปกรณ์พกพาของเรา ถ้าไม่ใช่อาศัยช่องโหว่ต่างๆ ที่พวกระบบปฏิบัติการมี ก็เห็นจะต้องให้เราในฐานะผู้ใช้งานนี่แหละครับ ติดตั้งเอง และหนทางที่มักได้ผลที่สุดในการหลอกให้เราติดตั้ง App ได้ ก็คือผ่านความต้องการที่จะละเมิดลิขสิทธิ์ซอฟต์แวร์ และหาของเถื่อนมาติดตั้งฟรีๆ นี่แหละครับ

ความพยายามของผู้ผลิต/ผู้พัฒนา ต่อความมั่นคงปลอดภัยของอุปกรณ์

ในความเป็นจริงแล้ว ผู้ผลิตต่างๆ ก็พยายามที่จะให้อุปกรณ์ของตนมีความมั่นคงปลอดภัยนั่นแหละครับ ใครจะอยากตกเป็นขี้ปากว่า ผลิตอุปกรณ์ออกมาแล้วโดนแฮกกระจาย ไม่มีความมั่นคงปลอดภัยในข้อมูลเลย สินค้าแบบนั้นไม่มีใครเขาอยากซื้อกันหรอกครับ

Apple ออกระบบปฏิบัติการ iOS มาในแบบที่ค่อนข้างปิดมากๆ คือ จะลง App อะไรก็ต้องผ่านทาง App Store เท่านั้น และทุกๆ App ที่จะวางบน App Store ก็ต้องผ่านการอนุมัติเสียก่อน นั่นก็ช่วยให้วางใจไปได้ในระดับหนึ่งละครับ ว่าการตรวจสอบพวกนี้จะช่วยสกรีนเอา App ที่ไม่หวังดีออกไปได้เป็นส่วนใหญ่ แต่ถึงอย่างนั้น เมื่อเทียบกับจำนวน App บน App Store ที่มากกว่า 300,000 ในปัจจุบัน แน่นอนว่าก็มีหลุดรอดสายตาออกมาได้บ้างแหละน่า เหมือนที่มีข่าวเมื่อปลายปีที่แล้วว่า Apple ก็ถอด App ออกไปเป็นพันเลยทีเดียว … คิดๆ แล้ว วิธีการนี้อาจจะดูดีก็ได้ Microsoft ก็เลยถือโอกาสเจริญรอยตามตอนที่ออกระบบปฏิบัติการ Windows Phone 7 ด้วย โดย App ใดๆ ที่จะลง Marketplace ของ Microsoft ก็จะต้องได้รับการอนุมัติครับ

แต่ถึงกระนั้นก็เถอะครับ เมื่อ Platform ต่างๆ เหล่านี้ได้รับความนิยมมากๆ และดึงดูดนักพัฒนามาพัฒนา App กันเยอะขึ้นเรื่อยๆ ก็น่าเป็นห่วงอยู่ว่า ภายใต้จำนวน App เข้ามารอคิวอนุมัติที่มหาศาลนี้ ทั้ง Apple และ Microsoft จะรับมือยังไง เพราะกระบวนการอนุมัติแม้จะต้องแม่นยำรอบคอบ แต่ก็ต้องเร็วด้วย ซึ่งสองเรื่องนี้มันไม่ได้ไปด้วยกันเล๊ย

กลับมามองที่ Google กันบ้าง ระบบปฏิบัติการ Android นั้นออกไปแนวระบบเปิดมากกว่า เพราะใครก็สามารถเอา App มาปล่อยบน Android Market ได้ โดยแม้จะมีข่าวว่า Google จะเข้ามาตรวจตราบ้าง แต่ก็ไม่ได้บังคับที่จะตรวจสอบเพื่ออนุมัติ App ทุกตัวอย่าง iOS หรือ Windows Phone 7 เขา … ในทางกลับกัน Google ใช้หลักการของการให้ผู้พัฒนาซอฟต์แวร์ต้องระบุชัดเจนว่า App ของพวกเขาจะเข้าถึงข้อมูลอะไรในเครื่องบ้าง และเข้าถึงฟังก์ชั่นการทำงานใดๆ ของอุปกรณ์บ้าง ให้ผู้ใช้งานได้ทราบ จากนั้นเป็นสิทธิที่ผู้ใช้งานจะตัดสินใจเองว่าจะติดตั้งหรือไม่

ผมขอเรียกเป็นระบบของการให้เกีรยติซึ่งกันและกัน ก็แล้วกัน คือ ผู้พัฒนาก็ต้องซื่อสัตย์ให้ข้อมูลที่ถูกต้องและครบถ้วน ในขณะเดียวกันก็เชื่อใจว่าผู้ใช้งานจะอ่านอย่างถี่ถ้วน แล้วตัดสินใจอย่างรอบคอบก่อนติดตั้ง

android-app-install

แต่คำถามของผมก็คือว่า จะมีผู้ใช้งานซักกี่คน (โดยเฉพาะคนไทย ซึ่งเราๆ ท่านๆ ก็ตระหนักดีว่า ภาษาอังกฤษนี่ถูกโรคกับพวกเราขนาดไหน) ที่จะอ่านข้อมูลเหล่านี้

บางคนอาจเลือกที่จะติดตั้ง App จากผู้พัฒนาที่น่าไว้ใจหน่อย เช่น เป็นพวกบริษัทใหญ่ๆ มีชื่อเสียง แต่ถึงกระนั้นก็เถอะครับ มีข่าวมาให้ได้ยินกันอยู่บ้างว่า App พวกนี้ก็ยังแอบปล่อยข้อมูลของเราออกไปเหมือนกัน ไม่ว่าจะเป็นบน iOS หรือ Android ก็ตามที

ผู้ผลิตชิปเซ็ตอย่าง Intel นั้นก็ไปซื้อ McAfee ด้วยมูลค่า 7.7 พันล้านเหรียญสหรัฐ โดยคาดหวังว่าจะนำเทคโนโลยีของ McAfee ไปผนวกไว้เป็นคุณสมบัติของชิปเซ็ตในอนาคตเลย เรียกว่า รักษาความมั่นคงปลอดภัยของอุปกรณ์กันตั้งแต่ระดับฮาร์ดแวร์กันเลยทีเดียว แต่ตอนนี้ก็ยังไม่อาจบอกได้ว่ามันจะช่วยได้มากน้อยแค่ไหน

ทีนี้มีคำถามต่อว่า แล้วความเป็นไปได้ที่จะมีซอฟต์แวร์พวกป้องกัน Malware แบบเดียวกับเครื่อง PC ล่ะ? New York Times อ้างคำสัมภาษณ์ของ Enrique Salem ซึ่งเป็น CEO ของ Symantec ว่า ทาง Symantec ไม่เห็นความเป็นไปได้ในการพัฒนาซอฟต์แวร์แบบเดียวกันสำหรับอุปกรณ์พกพาใหม่ๆ ทุกตัว … อ๊ะๆ อย่าเพิ่งมองว่าพวกเขาขี้เกียจทำครับ เขาให้เหตุผลที่น่าสนใจและชวนคิดจริงๆ คือ ซอฟต์แวร์พวกนี้ต้องใช้ขีดความสามารถในการคำนวณไม่น้อยทีเดียว ซึ่งนั่นจะกลายเป็นภาระให้แก่อุปกรณ์พกพาหลายๆ ตัวที่มีประสิทธิภาพในการคำนวณไม่ดีพอ อีกทั้งยังไปมีประเด็นกับอายุการใช้งานของแบตเตอรี่แน่ๆ (พูดง่ายๆ คือไปทำให้แบตเตอรี่หมดเร็วนั่นแหละ)

ทางรอดปลอดภัยอยู่ที่ตัวเราเอง

สุดท้ายพูดตรงๆ นะครับ คุณจะโดนแฮกหรือไม่โดน จะโดนหลอกขโมยข้อมูลหรือไม่โดน ท้ายที่สุดแล้วเกือบ 80% ก็อยู่ที่ตัวเราเองแท้ๆ ครับ พฤติกรรมของเรานั่นแหละจะเป็นตัวตัดสิน เราสามารถทำตัวให้ปลอดภัยจากเรื่องเหล่านี้ได้ โดยเริ่มจาก

  • ติดตามข่าวคราวด้านไอทีตามเว็บต่างๆ ไม่ว่าจะเป็น Engadget, Gizmodo, LifeHacker, Mashable หรือจะให้ดีก็ติดตามข่าวเพิ่มจากเว็บอย่าง SANS หรือ CERT ไปเลย ส่วนในประเทศไทยนั้น อยากให้ลองดูเว็บไซต์ของ ACIS ครับ มีข้อมูลบทความและข่าวเกี่ยวกับเรื่องของ Computer Security อยู่ไม่น้อยทีเดียว
  • เลี่ยงได้ เลี่ยงการติดตั้ง App ที่ไม่ได้มาจาก App Store ของผู้ผลิต … แม้ว่ามันจะไม่ได้ปลอดภัย 100% แต่อย่างน้อยๆ มันก็มีโอกาสแจ็กพ็อตน้อยกว่าเยอะครับ … และให้ดีที่สุดคือ เลี่ยงการติดตั้ง App เถื่อนละเมิดลิขสิทธิ์ครับ
  • ฝีกให้เป็นคนหนักแน่นเอาไว้ เพราะเดี๋ยวนี้ปัญหาการโดนขโมยข้อมูลส่วนตัว ไม่น้อยเลยที่เกิดจากไปหลงเชื่อความหลอกลวงของพวกผู้ไม่หวังดีครับ ส่วนหนึ่งเพราะหลายๆ คนทำอะไรลงไปโดยไม่คิดจริงๆ … เอ้า! นี่ผมพูดจริงๆ นะครับ หลายๆ คนยังส่ง Forward E-mail หาผม ว่าต้องรีบๆ ส่งเมล์ต่อๆ กันไปนะ เพราะเดี๋ยว Hotmail จะเลิกให้บริการฟรีกับคนไทย ตอนนี้ท่านนายกอภิสิทธิ์กำลังไปเจรจากับ Hotmail อยู่ … ทั้งๆ ที่ดูข่าวและที่มาของข่าวแล้ว มันโคตรไม่น่าเชื่อถือสุดๆ แต่การส่งเยอะๆ แบบนี้ มันอาจทำให้คนที่ไม่รู้เรื่องราวมาก อาจเชื่อเป็นตุเป็นตะได้เชียวนะ
  • ภาษาอังกฤษสำคัญนะครับ หัดๆ ไว้ไม่เสียหาย เอาไว้ตามข่าว และอ่านข้อมูลหลายๆ อย่างที่พวกผู้พัฒนาเขาให้ข้อมูลไว้ จะได้ทำความเข้าใจกับมันได้อย่างถูกต้อง ทั้งเรื่องของการประกาศการแสดงความรับผิดชอบ (ในกรณีที่เกิดปัญหา) และคำเตือนสำหรับการใช้งานให้ปลอดภัย

เอาละครับ เห็นสมควรว่าจะต้องจบบล็อกตอนนี้ไว้เท่านี้ละครับ เพราะรู้สึกว่าจะยาวเกินไปแล้ว นี่ใช้เวลาเขียนนาเหมือนกันนะเนี่ย (จริงๆ ที่นานเพราะดูหนังไปเขียนไป ฮาฮา) ไว้พบกันใหม่ตอนหน้าครับ

About these ads
  1. ยังไม่มีความเห็น
  1. ธันวาคม 29, 2010 ที่ 17:13 | #1

ใส่ความเห็น

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / เปลี่ยนแปลง )

Twitter picture

You are commenting using your Twitter account. Log Out / เปลี่ยนแปลง )

Facebook photo

You are commenting using your Facebook account. Log Out / เปลี่ยนแปลง )

Google+ photo

You are commenting using your Google+ account. Log Out / เปลี่ยนแปลง )

Connecting to %s

ติดตาม

Get every new post delivered to your Inbox.

Join 409 other followers

%d bloggers like this: