ประเด็นเรื่องความปลอดภัยคอมพิวเตอร์ กลายเป็นเรื่องใหญ่มากขึ้นเรื่อยๆ ในรอบไม่กี่ปีมานี้ ส่วนหนึ่งคงเป็นเพราะโลกเราใช้ระบบคอมพิวเตอร์กันมากขึ้นมาก แต่กรอบวิธีคิดด้านความปลอดภัยอาจยังพัฒนาไม่ทันช่องโหว่ที่มีมากขึ้น
ในงานสัมมนา Rise 2015 ที่ฮ่องกง หัวข้อหนึ่งที่น่าสนใจและผมได้เข้าฟัง คือการบรรยายของ Mikko Hypponen ประธานเจ้าหน้าที่ฝ่ายวิจัย (Chief Research Officer) จากบริษัทซอฟต์แวร์ความปลอดภัยชื่อดัง F-Secure ที่มาสะท้อนมุมมองในฐานะที่ทำงานสายความปลอดภัยมายาวนาน ว่ามีอะไรที่เปลี่ยนไปจากในอดีตบ้าง และเรากำลังจะเจอกับอะไรบ้าง
Mikko บอกว่าเขาทำงานในแวดวงความปลอดภัยคอมพิวเตอร์มานาน สมัยก่อนมัลแวร์เป็นเรื่องของวัยรุ่นคึกคะนอง เขียนซอฟต์แวร์มากลั่นแกล้งให้คอมพิวเตอร์ทำงานไม่ได้ แต่ปัจจุบันนี้มัลแวร์ไม่ใช่เรื่องของเด็กๆ อีกต่อไปแล้ว มันกลายเป็นขบวนการอาชญากรรมที่มีความซับซ้อนสูง และสร้างผลกระทบในวงกว้างกว่าเดิมมาก
เขาแยกแยะประเภทของ "แฮ็กเกอร์" ว่าสามารถจัดกลุ่มได้ 5 แบบใหญ่ๆ คือ
- กลุ่มแฮ็กเกอร์ดี เป็นผู้เชี่ยวชาญความปลอดภัยที่ค้นหาช่องโหว่เพื่อแจ้งหน่วยงานต้นทางให้รับทราบ
- กลุ่ม Hacktivists แฮ็กเพื่อประท้วงหรือแสดงออกความเชื่อบางอย่าง กลุ่มนี้ไม่สนใจเรื่องเงิน ตัวอย่างคือกลุ่ม Anonymous
- กลุ่มอาชญากร เน้นแฮ็กเพื่อเงินเป็นหลัก ทำอย่างไรก็ได้เพื่อหาเงินมา ไม่สนใจอุดมการณ์
- กลุ่มแฮ็กเกอร์จากรัฐบาล เน้นสอดแนมข้อมูล มีหมดทั้งจากอเมริกา จีน รัสเซีย อินเดีย ปากีสถาน เกาหลีเหนือ อิหร่าน
- กลุ่มแฮ็กเกอร์หัวรุนแรง กลุ่มนี้จะเน้นโจมตีระบบเพื่อให้เกิดความเสียหาย แบบเดียวกับการก่อการร้ายในโลกความเป็นจริง
Mikko ยกตัวอย่างกรณีของการแฮ็กระบบที่กระทบกับโลกความเป็นจริง 2 กรณี อย่างแรกคือ การแฮ็กระบบของรถ Chrysler เมื่อไม่นานมานี้ ที่แสดงให้เห็นว่าแฮ็กเกอร์สามารถควบคุมระบบขับเคลื่อนของรถยนต์ได้จากระยะไกล
อีกกรณีหนึ่งคือการแฮ็กเครื่องบิน คนเรามักคิดว่าระบบคอมพิวเตอร์ที่ควบคุมเครื่องบิน กับระบบความบันเทิงของผู้โดยสารนั้นแยกจากกัน แต่จริงๆ แล้วมันอยู่บนเครือข่ายเดียวกัน แค่มีไฟร์วอลล์กั้นไว้เท่านั้น ดังนั้นการแฮ็กเครื่องบินจึงเป็นเรื่องที่เป็นไปได้
เขายกตัวอย่างวิธีการแฮ็กเครื่องบินว่าต้องเริ่มต้นจากการนั่งให้ถูกจุด ซึ่งก็ขึ้นกับว่านั่งเครื่องบินรุ่นไหน แต่ไอเดียโดยหลักคือต้องนั่งตำแหน่งที่มีกล่องควบคุมระบบความบันเทิงอยู่ใต้เก้าอี้ ถ้าแกะฝาออกมามันคือพีซีธรรมดา ซึ่งต้องใช้พอร์ตแบบพิเศษควบคุม ถึงแม้คนทั่วไปจะไม่สามารถเจาะระบบเข้าไปได้ แต่คนที่มีความรู้ มีอุปกรณ์พร้อม ก็สามารถเชื่อมต่อกับระบบเครือข่ายภายในเครื่องบินได้ไม่ยาก (บทความประกอบ Is It Possible for Passengers to Hack Commercial Aircraft? )
Mikko เล่าเรื่องของ Chris Roberts ผู้เชี่ยวชาญความปลอดภัยที่สนใจค้นหาช่องโหว่บนเครื่องบิน เขาเป็นแฮ็กเกอร์สายสว่าง แต่ความสนใจของเขากลับทำให้หน่วยงานภาครัฐของสหรัฐเพ่งเล็ง เพราะกลัวเขาไปแฮ็กเครื่องบินแล้วจะกลายเป็นช่องสำหรับการก่อการร้าย ส่งผลให้ Chris ที่หวังดีอยากให้ระบบคอมพิวเตอร์ของเครื่องบินปลอดภัยมากขึ้น กลับต้องสงบปากสงบคำลงกว่าเดิม เพราะอาจโดนกฎหมายเล่นงาน
Mikko บอกว่าในเมื่อซอฟต์แวร์ทุกตัวมีช่องโหว่ เราจึงจำเป็นต้องสร้างโค้ดที่ปลอดภัย ด้วยการสร้างแนวปฏิบัติของการเขียนโค้ดอย่างระวัง (careful coding practice) ซึ่งเป็นเรื่องสำคัญมากของการเขียนซอฟต์แวร์ในปัจจุบัน
เขายังเล่าเรื่องของ Ransomware ว่าอย่างน้อยๆ ข้อดีของมันคือกู้คืนข้อมูลได้ถ้ายอมจ่ายเงิน แต่จริงๆ แล้วทาง F-Secure แนะนำให้ไม่จ่าย
ส่วนเหตุผลที่แฮ็กเกอร์นิยมให้จ่ายเป็น Bitcoin เป็นเพราะตามรอยได้ยาก เช่นเดียวกับเราใช้เงินสดซื้อโคเคน แต่อีกเหตุผลหนึ่งคือในโลกมืดใต้ดิน มีระบบ affiliate ครบวงจร คนสร้าง ransomware มีเครือข่ายให้คนช่วยกันกระจาย ransomware เพื่อแบ่งรายได้จากเงินที่คนยอมจ่ายเพื่อปลดล็อคการเข้ารหัสข้อมูลด้วย
เขายังพูดถึงประเด็นความเป็นส่วนตัวของข้อมูลผู้ใช้ว่า ข้อมูลที่เป็นคีย์สำคัญมากคือหมายเลขโทรศัพท์ เพราะมันจะทำหน้าที่เชื่อมตัวตนของผู้ใช้ในโลกออนไลน์ เข้ากับพฤติกรรมการบริโภคในโลกออฟไลน์ (ผ่านการซื้อข้อมูลจากบริษัทที่ขายข้อมูล) ดังนั้นเมื่อเราไปซื้อสินค้าในโลกจริง กรอกเบอร์โทรศัพท์ไว้กับฟอร์มต่างๆ ก็จะมีบริษัทนำข้อมูลเหล่านี้ไปประมวลผลว่า เจ้าของเบอร์นี้มีพฤติกรรมการซื้อสินค้าอย่างไร
จากนั้นบริษัทออนไลน์อย่าง Google, Twitter ก็จะซื้อข้อมูลจากบริษัทเหล่านี้ แล้วมา map กับฐานข้อมูลเบอร์โทรศัพท์ของตัวเอง เพื่อคัดเลือกโฆษณาที่เหมาะสมกับผู้ใช้คนนั้นมากที่สุด ซึ่ง Mikko เชื่อว่า Facebook ยอมทุ่มเงินมหาศาลซื้อ WhatsApp ด้วยเหตุผลนี้ (WhatsApp มีฐานข้อมูลเบอร์โทรศัพท์ขนาดใหญ่มาก)
เขาบอกว่าการกระทำพวกนี้ถูกกฎหมายทั้งหมด เพราะอยู่ภายใต้ข้อตกลงการใช้งาน (license agreement) ที่ทุกคนไม่เคยอ่านแต่กด Agree กัน เขายังเล่าการทดลองของ F-Secure ที่เปิด Wi-Fi ให้ใช้ฟรีในลอนดอน พร้อมกับเงื่อนไขว่าผู้ใช้งานต้องยกลูกคนแรกให้บริษัท ผลคือทุกคนกด Agree
ประเด็นสุดท้ายคือความปลอดภัยยุค IoT
Mikko ยกตัวอย่างอุปกรณ์พื้นๆ อย่างหลอดไฟที่เปลี่ยนสีได้ ทำอย่างอื่นไม่ได้เลย ดูเหมือนจะไม่มีประเด็นอะไร แต่จริงๆ แล้วมันกลับเป็นช่องโหว่ให้แฮ็กเกอร์ขโมยรหัสผ่าน Wi-Fi ของบ้านเราได้ แล้วกลายเป็นจุดเริ่มต้นให้แฮ็กเกอร์เข้ามายังเครือข่ายภายในบ้านไปทำอย่างอื่นต่อได้ ดังนั้นในยุคหน้าเราคงจะต้องเตือนกันว่า "อย่าลืมแพตช์หลอดไฟด้วยนะ"
Mikko สรุปปิดท้ายว่าความปลอดภัยในยุคหน้ามีความซับซ้อนสูงมาก เราไม่สามารถใช้แนวทางเดิมๆ เพื่อป้องกันภัยได้อีกแล้ว สิ่งที่ต้องทำคือค้นหาไอเดียใหม่ๆ โดยหวังว่าสตาร์ตอัพสายความปลอดภัยทั้งหลายจะสามารถนำพาพวกเราไปอยู่ในโลกที่ปลอดภัยมากขึ้นกว่าเดิมได้
เพิ่มเติมวิดีโอบรรยายของ Mikko Hypponen ในงาน TED ปี 2011 มีเนื้อหาใกล้เคียงกัน (เขายังเล่าเรื่องการตามหาตัวคนสร้างไวรัสคนแรกของโลก ที่เป็นชาวปากีสถานด้วย)
Comments
Wifi ฟรีแลกกับลูกคนแรกโดนใจมาก กดตกลงไว้ก่อนจะเอาอะไรก็เอาไปกัน
พึ่งมาอ่านจริงจังกับกฏต่างๆตอนที่ต้องเป็นคนเขียนมันขึ้นมานี้แหละแล้วรู้สึกเลยว่าเราใช้ของพวกนี้โดยไม่อ่านมันก็เหมือนเอาปืนมาจ่อหัวตัวเองชัดๆ
คนบรรยาย คิดอะไรได้ลึกซึ้ง ในสิ่งที่คนส่วนใหญ่มองข้าม
กับแค่เรื่องหลอดไฟ น้อยคนนัก ที่จะคิดได้ว่า มันจะสร้างความเสี่ยงได้ขนาดนี้
มุก your first born child เด็กมาก 555
เกมออนไลน์ FPS ทุกวันนี้ผมแทบจะไม่อยากเล่นละ เจอเกรียนแอนตี้อเมริกัน(แถวๆตะวันออกกลาง)เที่ยวเข้ามาป่วน Server บ้าง บางทีถึงขั้น Team Speak แล้วสแปมไมค์เลยก็มี(น่าจะเดาออกนะว่าพล่ามอะไร)
ทุกวันนี้แอดมินหลายๆที่ตั้ง firewall block ประเทศไปเลยง่ายกว่า
ขอบคุณสำหรับบทความครับ
เป็นบทความที่อ่านแล้วรู้เลยว่าเราต้องระวังให้มาก
อยากรู้ว่าสตาร์ทอัพสายความปลอดภัย ปัจจุบันมีมากน้อยขนาดไหนอ่ะครับ
WE ARE THE 99%
นึกถึงโปรแกรมที่แจกให้ใช้ฟรี ถ้าต้องอ่าน ULA ทุกครั้งที่อัพเดตนี่ก็..... /me เป็นลมแปบ
@ Virusfowl
I'm not a dev. not yet a user.