เปิด TEAMVIEWER อย่างไรไม่ให้เครื่องโดน RANSOMWARE

เรื่องนี้มีการใช้คำว่า TeamViewer เยอะ ผมย่อว่า “T” ละกัน ไม่งั้นเรื่องจะยาว ถ้าเห็น “T” มันคือ TeamViewer นะครับ

T เองในวงการด้าน Cybersecurity ถือว่าเป็นซอฟต์แวร์ล่อเป้าครับ มันเป็นทางลัดที่โจรจะมุดเข้าระบบได้ง่าย ๆ เลย ขอแค่รู้ ID ที่เป็นเลข 9 ตัวกับรหัสผ่านอีกแค่ 5 หลักเท่านั้นเอง ฟังดูเหมือน T จะเจาะได้ง่าย แต่เรากลับไม่ค่อยได้ยินเรื่องรูรั่วของ T หรือเซิร์ฟเวอร์ของ T โดนโจมตีจนล่ม หรือถูกเจาะขโมยข้อมูลลูกค้า ฯลฯ โดยส่วนตัวผมเอง บอกได้ว่า ทีมผู้พัฒนา T ทำงานกันหนักมากด้าน Security เพื่อทำให้ T ปลอดภัยได้ขณะนี้

มีข้อพิสูจน์อีกข้อ เวลาเราจะดูว่า ผลิตภัณฑ์ปลอดภัยหรือไม่ ให้ไปค้นที่ CVE ครับ ชื่อก็บอกอยู่แล้ว Common Vulnerabilities and Exposures มันเป็นแหล่งรวบรวมข้อมูลรูรั่วและจุดอ่อนของผลิตภัณฑ์ทั่วโลกครับ ซึ่งตั้งแต่ปี 2010 เป็นต้นมาจนถึงปัจจุบัน มีคนค้นพบรูรั่วของ T แค่ 3 ประเด็นเท่านั้น

เฮ้ย…แบบนี้ไม่ธรรมดาครับ ผมแปะ link ของ CVE มาให้ ลองกดเข้าไปดูครับ เจอรูรั่วแค่ 3 ในรอบเกือบ 10 ปีกับจำนวนผู้ใช้นับล้าน ไม่ใช่ว่าใคร ๆ ก็ทำได้นะครับ Read more

T ต้องทำงานกับเซิร์ฟเวอร์บน Cloud ซึ่งแน่นอนว่า ID ของ T client ทั่วโลก ย่อมมีศูนย์กลางที่ Cloud service การถล่ม Cloud ของ T จึงเป็นศูนย์กลางการโดนถล่มจากโจรทั่วโลก เอางี้ดีกว่า ใครที่โจรกรรมข้อมูลจาก T ได้สำเร็จ ก็คือเข้าถึงขุมทรัพย์มหาศาล ผมว่า ฐานข้อมูล ID ของ T สด ๆ จาก Cloud ของ T น่าจะขายได้หลักล้านล่ะครับ

Cloud ของ T เคยล่มมั้ย ลองคลิกที่นี่ครับ

จะเห็นว่า Cloud มันทำงานได้ต่อเนื่อง ซึ่งไม่ใช่งานง่ายนะครับ จำนวนผู้ใช้หลายล้าน มีการโจมตีบ่อย มีการอัพเกรดให้รองรับปริมาณผู้ใช้และการโจมตี มีการเปลี่ยนเวอร์ชั่นของ T มีผู้ใช้เก่า-ใหม่ ฯลฯ เป็นงานไม่เบาเลยที่จะทำให้ Cloud ทำงานต่อเนื่องตลอดเวลา ถามเฮียกูดูก็ได้ครับ TeamViewer out of service global คุณจะไม่เจอข่าวอะไรเลย

ในขั้นต้น พูดได้ว่า T ปลอดภัย ไม่รั่ว

ติด Ransomware เพราะเปิด Team ทิ้งเอาไว้…เป็นไปได้เหรอ

โจรมันแทงทุกรูครับ แทงทางตรงไม่ได้ เจาะ T ตัวลูกไม่สำเร็จ เจาะตัวแม่ก็ไม่เข้า ก็เอากันทางอ้อม เช่น ผมเอาไฟล์ไปแปะให้โหลด โดยโพสว่า “TeamViewer ตัวเต็ม crack ถาวร ควบคุมเครื่องจากระยะไกล” คุณว่าจะมีคนคลิก link มากมายขนาดไหน

ไม่มีใครอยากจ่าย ทุกคนอยากได้ของฟรี นั่นแหละคือวิธีที่โจรฝากของแถมมาให้ด้วย ไฟล์ที่เราโหลดนั้นจะ Crack และใช้ T แบบฟรี ๆ ได้จริงหรือเปล่า อันนี้ผมไม่ทราบ แต่โจรมีของแถมให้ อันนี้แน่นอน ผมเคยเขียนเรื่อง Too Good to be true เตือนใจเอาไว้ ลองไปหาอ่านดูครับ ความโลภจับคู่ความงก พาเราลงเหวอยู่บ่อยครั้ง ซึ่งโจรก็ฝาก Ransomware เข้าเครื่องของเราด้วยวิธีนี้

มีคนเคยแคะเรื่องนี้เอาไว้เมื่อปี 2016 นะครับ Read More

ใครที่เหนื่อยทำงาน เขาก็อยากได้ตังค์ทั้งนั้น คนทำ T ก็เหมือนกัน เราโหลดของเขามาทดลองใช้ จำกัดเวลา พอใจจะใช้ต่อ ก็จ่ายก็ซื้อกันไป ตัวแทนในไทยก็มี ถ้าไม่จ่ายก็เลิกใช้ เพราะเขาไม่ให้ใช้ฟรี ๆ กันต่อไปแล้ว กติกาง่าย ๆ แค่นี้ ทำได้ก็ปลอดภัยแล้วครับ

TeamViewer เป็นเครื่องมือของโจร

ลองอ่านที่นี่ครับ https://blog.avast.com/a-deeper-look-into-malware-abusing-teamviewer เป็น Malware ที่ฉากหน้าหลอกให้ผู้ใช้เปิดเอกสาร Office แต่เบื้องหลังมี Malware ไปโหลด T มาติดตั้ง และเปิดประตูให้โจรเข้าเครื่องได้ ตัว T ไม่ใช่ Malware แต่โจรเขียน Malware ขึ้นมาโหลด T ไปใช้อีกที ก็ฉลาดดีนะครับ โจรไม่ต้องเขียนโปรแกรมเอง แต่ไปใช้ผลงานของคนอื่นมาเป็นส่วนหนึ่งของ Malware ก็ได้ด้วย

ม โ น

Ransomware ที่ติดเข้ามาในเครื่อง เพราะ TeamViewer นั้น มีประเด็นสุดท้ายก็คือ เข้าใจผิดครับ เครื่องตัวเองไปโดน Ransomware จากที่ไหนมาก็ไม่รู้ แต่พอติด Ransomware ก็มโนกันไปว่า โจร remote เข้าเครื่องผ่าน T เข้ามาปล่อย Ransomware ที่เครื่องของเรา

อาจเป็นเพราะเห็น T เปิดทิ้งเอาไว้ เลยสรุปกันไปแบบหลักฐานไม่เอา Log ของ T ก็ไม่เปิดดู จู่ ๆ ก็ม้วนเรื่องมาจบที่ T ซะดื้อ ๆ ก็ถือเป็นปรากฎการณ์เหนือธรรมชาติในวงการ IT ที่มีให้เห็นอยู่บ่อย ๆ ที่ฌาณและจิตวิญญาณอยู่เหนือหลักฐานทั้งปวง

วิธีใช้ T ให้ปลอดภัย

โดยสรุป แม้โอกาสที่ T จะนำ Ransomware มาเข้าเครื่อง เป็นเรื่องที่เกิดขึ้นได้ยาก แต่ผู้ผลิต T ก็มีแนะนำวิธีการใช้ T ให้ปลอดภัย สรุปคร่าว ๆ ที่เราทำตามได้ไม่ยาก ได้แก่

– โหลด T จากแหล่งที่ถูกต้อง ก็คือโหลดจาก www.teamviewer.com เท่านั้น

– มีการตั้ง Password ที่เป็นตัวเลขปนตัวอักษร

– อย่าเปิดทิ้งเอาไว้ ใช้เสร็จแล้วก็ปิดเลย

– ทำ White list ครับ คือกำหนดไปเลยว่า TeamViewer ID ไหนที่จะเข้าเครื่องเราได้

แค่นี้ก็รับรองความปลอดภัยกันได้สุด ๆ แล้ว…

Cybersecurity มันคือการระวังเล็ก ๆ ที่ป้องกันภัยใหญ่ ๆ ได้ อย่าให้ต้องเขียนป้ายเตือนกันเลยว่า “โปรดอย่าเสียชีวิต เพราะสะดุดหินเล็ก ๆ เพียงก้อนเดียว”


 
● ติดตามข่าวสารไอทีหลากหลายเรื่องจากผู้เขียนมือโปรได้ที่  >> http://www.optimus.co.th/Training/
● หรืออีกช่องทางในแอปพลิเคชั่น Blockdit โหลดแอปพลิเคชั่นได้ที่ blockdit.com พิมพ์ค้นหาคำว่า “Optimus Thailand”

 

เลขบัตรประชาชน ใบกำกับภาษี นโยบายความเป็นส่วนตัว


3 คำนี้มาเกี่ยวข้องกันอย่างไร??

เรื่องมันมาจากเมื่อวันก่อนนี้ ผมติดต่อซื้อสินค้าจากผู้ขายรายหนึ่ง

ถามตอบกันไปจนได้ความว่าจะซื้อสินค้ารุ่นไหน ราคาเท่าไหร่ มาลงท้ายที่ผู้ขายขอเลขบัตรประจำตัวประชาชนของผมด้วย ผมถามไปทันควัน “เอาไปทำรัยอ่ะ”

ได้รับคำตอบจากผู้ขายทันทีเช่นกันว่า “เอาไปออกใบกำกับภาษีอ่ะดิ”

ผมก็นึกต่อว่า “จิงเหอ สรรพากรสั่งอะไรเพี้ยน ๆ อย่างนี้จริง ๆ เร้อ…”

ไม่รอช้า ค้นบนเน็ตไม่นาน ก็พบคำถามลักษณะเดียวกันนี้ มีคนเป็นจำนวนมาก รู้สึกแปลกใจและสงสัยว่า ร้านค้า/บริษัท จะเอาสำเนาบัตรหรือเลขบัตรประชาชนของเราไปทำแป๊ะอะไร   นี่มันข้อมูลส่วนตัวของเราไม่ใช่เหรอ จะเปิดเผยกันง่าย ๆ ได้ไง

เรื่องแรกเลยนะครับ อันนี้ร้านค้า/บริษัทควรรู้ไว้

ผมว่าจริง ๆ แล้ว หลายบริษัทอาจจะรู้อยู่แล้วก็ได้ คือ ใบกำกับภาษี ไม่ต้องใส่เลขบัตรประชาชนลงไปนะครับ ตามประมวลฯ มาตรา 86/4 เรื่องการออกใบกำกับภาษี ก็ระบุไว้ชัดเจนนะครับ เราใส่เลขผู้เสียภาษีเฉพาะผู้ประกอบการจดทะเบียน บุคคลธรรมดาเอาแค่ชื่อกับที่อยู่ก็พอ และยังมีหนังสือสรรพากร 0702/8755 ย้ำอีกด้วย พูดเรื่องเดียวกัน วินิจฉัยชัดเจนว่า บุคคลธรรมดา ไม่ต้องใส่เลขผู้เสียภาษี อ่านเพิ่มจากที่นี่ครับ Click Here !

*** หมายเหตุ: เลขบัตรประชาชน ก็คือเลขผู้เสียภาษีนะครับ ***

ลองนึกภาพว่า จะเกิดอะไรขึ้นถ้าสรรพากรมีคำสั่งออกมาว่า ต่อไปนี้ให้ร้านค้า/บริษัท ที่จะขายของให้บุคคล จะต้องใส่เลขบัตรประชาชนของลูกค้าบนใบกำกับภาษีด้วย โอ้ว…พวกเราจะได้สนุกกันทั้งวันล่ะครับ กินข้าวก็ยื่นบัตรประชาชน ซื้อของก็ยื่นบัตรประชาชน เติมน้ำมันยังวายต้องยื่นบัตรประชาชน ออกจากบ้าน ติดบัตรประชาชนมันที่หน้าอกซะเลยดีมะ

สรุปว่า บัดเดี๋ยวนี้ ไม่มีข้อบังคับให้ใส่เลขบัตรประชาชนลงในใบกำกับนะครับ ส่วนมากบริษัท/ห้างร้านก็มักจะอ้างกันว่า “ซอฟต์แวร์บังคับให้ใส่ ถ้าไม่ใส่จะออกใบกำกับไม่ได้” อันนี้ก็คงจะต้องทำมึน ๆ กันไป “ไม่เป็นไร สบาย ๆ ” ตามวิถีไทยมั้งครับ

จริง ๆ แล้วบริษัทเอกชนที่ขอดูบัตรประชาชนของเรา แถมยังเอาไปเป็นฐานข้อมูลของเขาอีก ก็มีไม่น้อยนะครับ ธนาคารทุกแห่ง บริษัทมือถือทุกค่าย แต่ที่น่าสนใจคือ บริษัทเหล่านั้นเขามีนโยบายความเป็นส่วนตัว ลองเอาคำนี้ไปค้นใน Google ดูนะครับ “นโยบายความเป็นส่วนตัว ธนาคาร” ทุกธนาคารมีประกาศนโยบายความเป็นส่วนตัวเอาไว้บน web ครับ

จะว่าไปแล้ว ที่ไหนก็ตามที่จะขอข้อมูลส่วนตัวของเรา ต้องมีนโยบายนี้ประกาศไว้ชัดเจนให้เราได้รับทราบครับ

“เพ่ ๆ เพ่เงินเดือนเท่าไหร่ ทำงานที่ไหน พักที่ไหน ห้องอะไร ชั้นไหน มีแฟนยัง แฟนหน้าตาไง มีลูกเป่า กี่คน กี่ขวบ ลูกเรียนที่ไหน”

ถ้าถูกถามอย่างนี้จากใครก็ไม่รู้ที่ป้ายรถเมล์ คงไม่มีใครยอมบอก ถูกมั้ยครับ ความเป็นส่วนตัวมันสำคัญมากนะครับ เพราะมันเลยเถิดไปถึงความปลอดภัยของชีวิต ทรัพย์สิน ของเราและครอบครัว

นโยบายความเป็นส่วนตัวสำคัญอย่างไร ลองสมมติกันดูว่า วันหนึ่งมีข่าวว่า ฐานข้อมูลบัตรประชาชนรั่วไหลจากบริษัทแห่งหนึ่ง แล้วทางบริษัทตอบนักข่าวว่า “บริษัทของเราไม่เคยมีนโยบายความเป็นส่วนตัว ลูกค้าเรายินดีมอบข้อมูลให้เรา โดยไม่ได้มีเงื่อนไขอะไรกับเรา เราจะทำอะไรกับข้อมูลพวกนั้นก็ได้ ข้อมูลจะโดนขโมยก็เรื่องของเรา” ได้ฟังแบบนี้ มันจี๊ดมั้ยครับ

มันจึงดูดีกว่ากันมาก เวลาที่ใครจะให้เรากรอกแบบฟอร์มที่มีการป้อนข้อมูลส่วนตัว แล้วเขาจะมี “นโยบายความเป็นส่วนตัว” ให้เราอ่าน เราจะได้เข้าใจว่า บริษัทนั้นมีความตั้งใจที่จะรักษาข้อมูลของเราไม่ให้รั่วไหล และไม่เอาข้อมูลของเราไปหาประโยชน์ในด้านอื่น นอกจากที่ได้แจ้งกับเราแล้วเท่านั้น แบบนี้อุ่นใจขึ้นมาหน่อยครับ เขารับปากเราแล้วตามนโยบาย เราก็พอจะยินยอมให้ข้อมูลส่วนตัวของเรากับเขาได้

แม้ผิดนโยบายจะไม่เท่ากับผิดกฎหมาย แต่วันหนึ่งถ้ามันเกิดเรื่องข้อมูลรั่วไหล และเราได้รับความเสียหายขึ้นมา นโยบายนี้จะเป็นสิ่งที่คุ้มครองเรา และชี้นิ้วไปว่า ใครที่ทำผิด คนให้ข้อมูลส่วนตัวที่ให้โดยไม่คิด หรือ คนได้รับข้อมูลส่วนตัว ที่ไม่รักษามันไว้เป็นอย่างดี แต่ดันเอาไปหาประโยชน์ซะเละเทะ ทั้ง ๆ ที่รับปากแล้วว่า จะไม่ทำอย่างนั้น

ดังนั้น ถ้าเราทำงานในบริษัทที่ขอข้อมูลส่วนตัวของคนอื่น และยังไม่มีนโยบายความเป็นส่วนตัว ก็เรียกประชุมกันภายในแล้วก็ร่างนโยบายกันออกมาครับ จะเริ่มต้นด้วยการลอกจากคนอื่นมาบ้าง ก็ยังดีกว่าไม่มีเลย ทำเสร็จแล้วก็ประกาศใช้ภายในองค์กร ปฏิบัติกับข้อมูลของผู้อื่นตามนโยบายที่ประกาศ และประกาศให้คู่ค้า/ลูกค้าทราบ โชว์ความเหนือของบริษัทเรากันหน่อยครับ

ย้ำก่อนครับ บริษัทไม่ใช่ผู้ร้าย แต่มักตกเป็นเหยื่อของการขโมยข้อมูล อย่างน้อยนโยบายความเป็นส่วนตัว ก็ช่วยให้บริษัทเพิ่มความระมัดระวังมากขึ้น ทีนี้เราเองจะมอบข้อมูลส่วนตัวให้ใคร ก็สบายใจกว่าที่จะมอบให้กับบริษัทที่มีนโยบายแบบนี้ ถูกมั้ยครับ ส่วนบริษัทที่ไม่มีนโยบายความเป็นส่วนตัว แล้วจะมาขอสำเนาบัตรประชาชนเพื่อไปออกใบกำกับฯ ผมคงต้องขอคิดหนัก ๆ หน่อย  ระหว่างคิดก็ขอไปดูสินค้าจากบริษัทอื่นไปพลาง ๆ ก่อนครับ

….ท้ายที่สุดนี้ อยากจะบอก รปภ. ตามตึกจริง ๆ เลยว่า “เลิกแลกบัตรประชาชนซะที จะได้มั้ย”

อย่ารอให้เกิดแล้วจึงมาป้องกัน จะดีกว่าไหมถ้าเพิ่มความปลอดภัยให้กับบริษัทของท่านตั้งแต่วันนี้ เราพร้อมให้คำปรึกษา

[email protected]

@optimusthailand

Facebook Messenger

facebook/optimusthailand

สินค้าที่เกี่ยวข้อง

  • OPT-Solution PDPA

    OPT-Solution PDPA

    PDPA ย่อมาจาก “Personal Data Protection Act” PDPA เป็นกฎหมายที่กำหนดหน้าที่ในการคุ้มครองข้อมูลส่วนบุคคลของเจ้าขอ

    OPT-Solution, Security

ทฤษฎี “ใช้ไม่ได้” ในทางปฏิบัติ

ผมเป็นคนที่ทำงานด้าน Network และ Cybersecurity อย่างตรงไปตรงมาตามทฤษฎี ตั้งแต่ Design, Implementation, Integration และ Trouble shooting ซึ่งแน่นอนว่า ต้องทำงานร่วมกับหลาย ๆ ฝ่าย ผมทำงานชัดเจน อ้างอิงทฤษฎีเป็นขั้นเป็นตอน จนผู้ร่วมงานสังเกตได้ และมักบอก (เหมือนกับจะหวังดี) กับผมว่า “พี่ครับ…ทฤษฎีบางทีมันก็ใช้ไม่ได้ในทางปฏิบัตินะครับ”

มันเป็นอย่างนั้นจริง ๆ เหรอ…

ยกตัวอย่างเช่น

ตอนนี้ระบบมันล่มแล้ว ไล่ Reboot อุปกรณ์ทีละตัวเลยดีมั้ย หรือลองถอดสายเส้นที่เพิ่งเสียบดี  นั่งดู log มันจะช้านะ

หรือ

ทฤษฎีมันใช้กับโปรเจคนี้ไม่ได้ งบมันไม่พอ

หรือ

ลูกค้าเขาอยากได้แบบนี้ เขาไม่สนว่ามันเป็นไปตามทฤษฎีหรือเปล่า

คุ้น ๆ มั้ยครับ พอจะรำลึกได้หรือเปล่าว่า ประสบการณ์ของเราวันนั้น วันที่เราอยู่ในสถานการณ์ที่เราต้องเลือก ระหว่าง ทฤษฎี กับ สัญชาตญาณ วันนั้นเราเลือกอะไร

ไม่ได้แปลว่าทำตามทฤษฎีจะเป็นคำตอบที่ถูกเสมอไป และไม่ได้แปลว่า การใช้สามัญสำนึกจะเป็นเรื่องผิด สำหรับผม ผม มีทั้ง 2 แบบครับ คือทำตามทฤษฎีในหลายครั้ง ทำตามสัญชาตญาณในบางที สิ่งที่น่าสนใจคือ วิธีคิดครับ ตอนไหนควรเลือกยึดมั่นตามทฤษฎี ตอนไหนควรทิ้งทฤษฎีเอาไว้แล้วใช้วิจารณญาณ วิธีคิดนี่แหละครับที่สำคัญ

เมื่อไหร่ใช้ทฤษฎี

สมมติว่า คุณได้รับคำสั่งให้ติดตั้งเซิร์ฟเวอร์เข้าตู้ ปรากฎว่า ตู้นั้นเป็นตู้แบบตื้น แต่เซิร์ฟเวอร์ของคุณเป็นแบบที่จะต้องติดในตู้ลึก อ่ะ…ทำไงดี เดินอ้อมไปดูหลังตู้ อ้าว…เซิร์ฟเวอร์ 4 ตัวที่มีอยู่ก่อนแล้ว มันเป็นแบบยาวทั้งนั้นเลยนี่หว่า ว่ากันง่าย ๆ เซิร์ฟเวอร์ 4 ตัวตูดโผล่ยื่นออกไปหลังตู้อยู่ก่อนแล้ว มันจะมีตูดโผล่เพิ่มอีกซักตูด จะเป็นรัยปั๊ย…ไหน ๆ ฝาตู้ด้านหลังมันก็ไม่เคยปิดมาเป็นปีแล้ว

เรื่องนี้สอนให้รู้ว่า ทฤษฎีใช้ไม่ได้ กับระบบไม่ทำตามทฤษฎี ก็คือถ้าระบบได้เตรียมตู้ลึกเอาไว้ เราก็คงไม่ต้องเล่นนอกตำรากันแบบนี้

ย้อนไปเมื่อ 2 ปีที่แล้ว ณ ตู้เดิมที่ยังไม่มีเซิร์ฟเวอร์ติดตั้งอยู่เลย เพราะมันคือตู้ B เป็นตู้ตื้นที่เอาไว้ติดตั้ง Network equipment และ Network cable ส่วนเซิร์ฟเวอร์นั้นอยู่ในตู้ A เป็นตู้ลึกที่ค่อนข้างเต็มแล้ว ตู้ A ใส่เซิร์ฟเวอร์ ตู้ B เป็น Network equipment ระบบออกแบบเอาไว้อย่างนี้

จนวันหนึ่ง มีการสั่งซื้อเซิร์ฟเวอร์ใหม่ 4 ตัวโดยที่ไม่ได้ผ่านการคิดอย่างรอบคอบ ก็เลยเพิ่งมารู้ว่า ไม่มีที่เหลือในตู้ A แล้ว ครั้นจะทำเรื่องขอซื้อตู้เพิ่ม ก็ไม่รู้ว่าจะต้องรออนุมัติกันอีกนานเท่าไหร่ อ่ะ…ตู้ B มีที่ว่าง เซิร์ฟเวอร์ใหม่ 4 ตัวก็ติดมันซะในตู้ B กลายเป็นเซิร์ฟเวอร์ตูดโผล่ ส่วนตู้ B ที่เคยปิดฝาตู้เรียบร้อย ก็กลายเป็นตู้เปิดฝาหลังตั้งแต่วันนั้นเป็นต้นมา

เรื่องนี้สอนให้รู้ว่า การออกนอกทฤษฎีในวันนี้ มันพาลทำให้คนอื่นที่มาต่องาน ต้องออกนอกทฤษฎีด้วยในวันข้างหน้า ยิ่งเดินระบบไปก็ยิ่ง Off road นอกตำรากันมากขึ้นเรื่อย ๆ เรามาดูกันต่อว่า ตู้ B จะมีอนาคตอย่างไร

แล้วเรื่องมันก็มาเกิดวันที่ไฟดับ UPS ที่เตรียมเอาไว้ เพื่อให้ตู้ B ทำงานต่อได้ 1 ชั่วโมง กลับสำรองไฟได้แค่ 10 นาทีเพราะมันดันมีเซิร์ฟเวอร์ 5 ตัวช่วยกันดูดไฟจาก UPS ไปจนเกลี้ยง เซิร์ฟเวอร์ยังไม่ทันได้ shutdown ไฟหมดซะแล้ว ไม่แตกต่างจากการกระชากปลั๊กของเซิร์ฟเวอร์ทั้ง 5 ตัวซะงั้น ส่งผลให้ OS พัง Boot ไม่ขึ้นไปซะ 1 ตัว

ส่วน Network equipment แทนที่จะทำงาน 1 ชั่วโมงก็ดับไปใน 10 นาที มาดูเซิร์ฟเวอร์ในตู้ A เขามี UPS ตามขนาดที่ออกแบบเอาไว้แต่ต้น ช่วยต่อลมหายใจออกไปอีก 1 ชั่วโมงอย่างไร้ความหมาย อ่ะ…ก็ Network equipment มัน Down ไปหมดแล้ว เซิร์ฟเวอร์มันตื่นตาสว่างอยู่คุยกับใครได้

เรื่องนี้สอนให้รู้ว่า การออกนอกทฤษฎี แม้จะดูเหมือนทำงานได้ ไม่ช้าก็เร็ว มันจะส่งผลลบในทางใดทางหนึ่ง  แบบที่เรามักจะเดาไม่ได้ว่าจะเกิดอะไรขึ้น แถมบางทีความวิบัติเกิดขึ้นแล้ว ก็ยังดันวิเคราะห์ไม่ได้ด้วยว่า  สาเหตุมันมาจากการออกนอกตำราที่จุดใด เพราะมัวแต่ไปโฟกัสที่ความเสียหาย จนลืมยกทฤษฎีมาเป็นหลักในการค้นหาสาเหตุ

ปัญหาของตู้ B ถ้าคิดแก้แบบง่าย ๆ ก็แค่ซื้อ UPS ใหม่ ใหญ่กว่าเดิม มาเพิ่มให้ตู้ B นั่นคือตัวอย่างที่ดีของการโฟกัสที่ความเสียหาย โดยไม่ใช้ทฤษฎีมาวิเคราะห์หาสาเหตุ มองไปที่ UPS ว่ามันเล็กไป แต่ไม่ได้ให้ความสำคัญกับทฤษฎี ที่ชี้ชัดว่า เซิร์ฟเวอร์ไม่ควรอยู่ในตู้ B ตั้งแต่ต้น

ทฤษฎีจะใช้ไม่ได้ในทางปฏิบัติ ถ้าเป็นการปฏิบัติงานกับระบบที่ไม่เคยทำตามทฤษฎีมาก่อน ความพยายามที่จะตบระบบให้เข้าตามตำราอีกครั้ง มักใช้ความพยายาม ใช้แรงงาน ใช้งบประมาณมากกว่าการเริ่มต้นอย่างถูกต้องตั้งแต่วันแรก และแม้ระบบจะทำไว้ดีถูกต้องตามทฤษฎีเพียงใด ขอให้มีแค่ครั้งเดียวที่มีคนคิดว่า “ทฤษฎีมันใช้ไม่ได้” แล้วเริ่มงัดเอา “วิธีที่ไม่มีชื่อเรียก” มาใช้ ระบบนั้นก็จะกลายเป็นครึ่งผีครึ่งคนที่ไม่มีใครรู้จัก ไม่มีใคร Follow ระบบนั้นได้ เป็นภาระกรรมให้คนต่อ ๆ ไปต้องออกนอกทฤษฎีด้วยความจนใจ จนกว่าจะมีใครใจกล้า ยอมเงินเสียเวลา รื้อระบบกลับเข้าที่ สู่ทฤษฎีที่ถูกต้องอีกครั้ง

ทฤษฎีใช้ไม่ได้ อันนั้นเรื่องนึง แต่ความไม่เข้าใจในทฤษฎี อันนั้นหนังคนละม้วน พอไม่เข้าใจก็ประยุกต์ใช้ไม่ถูกต้อง แล้วมันก็ทำให้เกิดผลในทางที่ไม่คาดหวัง พองานไม่สำเร็จอย่างที่คิด ก็ไปสร้างข้อสรุปว่า “ทฤษฎีใช้ไม่ได้ในทางปฏิบัติ” หาทางลงให้กับข้อผิดพลาด จนตัวเองหลงเชื่อไปจริง ๆ ว่า ทฤษฎีมันเป็นแค่เรื่องสวยหรูในตำราของพวกนั่งอยู่ในห้อง ไม่เคยอยู่หน้างาน คิดกันไปไกลซะแบบนั้นก็มี

ทฤษฎีไม่ใช่ข้อบังคับ แต่เป็น Guide line ให้เราสามารถหยิบไปปฏิบัติแบบไม่ต้องคิดตามก็ได้ แต่จะดีมากถ้าเราพยายามวิเคราะห์ว่า อะไรทำให้ทฤษฎีแนะนำให้เราทำแบบนั้นแบบนี้ ถ้าเราเข้าใจ เราจะไม่ต้องท่องจำอะไร เราจะไม่รู้สึกฝืน แต่เราจะปฏิบัติงานตามทฤษฎีอย่างเป็นธรรมชาติ เราจะสังเกตเห็นข้อผิดพลาดได้เร็วกว่าคนอื่น เห็นมันตั้งแต่ปัญหายังไม่เกิด และเมื่อเกิดปัญหา เราจะแก้มันได้เร็วและตรงจุด แก้แล้วปัญหาไม่เกิดซ้ำ และมีชีวิตที่สงบสุขโดยไม่ต้องลุ้นระทึกว่า จะมีเรื่องด่วนเกิดขึ้นเมื่อไหร่

ทฤษฎีใช้ไม่ได้ในทางปฏิบัติ “เฉพาะบางกรณี” เท่านั้นครับ

UPDATE SSL CERTIFICATE & PRIVATE KEY BY OPTIMUS

 

การขโมย Password ในปัจจุบันนี้กลายเป็นภัยร้ายแรงไปซะแล้ว Private key เป็นกุญแจสำคัญของการเข้ารหัสข้อมูลด้วยใบรับรองอิเล็กทรอนิคส์ (SSL certificate) การเข้ารหัสด้วย Private key ทำให้เราสามารถส่งข้อมูลที่เป็นความลับข้ามเน็ตเวิร์คเปิดโล่งอย่างอินเตอร์เน็ตได้อย่างปลอดภัย

อย่างไรก็ดี Private key แปลตรงตัวว่า “กุญแจส่วนตัว” ก็พึงจะเก็บรักษาเอาไว้กับส่วนตัวเท่านั้น ใครที่ได้ข้อมูลที่เข้ารหัสไป ย่อมเปิดดูข้อมูลไม่ได้ เพราะไม่มี Private key เอาไว้ถอดรหัส ความเข้าใจนี้แปลได้ทันทีว่า Private key ไม่ควรจะถูกเปิดเผยต่อสาธารณะ และธุรกิจหนึ่งก็ไม่ควรจะไปล่วงรู้ Private key ของอีกธุรกิจหนึ่งด้วย

ในอดีตที่การโจรกรรมทางอิเล็กทรอนิกส์ไม่รุนแรง ที่ออพติมุส เรามี Private key ให้ใช้ร่วมกันเพื่อทำให้ User authentication บน Firebox เกิดความสะดวก แต่สถานการณ์ในปัจจุบันเปลี่ยนไปแล้ว การโจรกรรมทางอิเล็กทรอนิกส์แพร่ไปบนทุกประเภทอุปกรณ์ ซึ่งอุปกรณ์เหล่านั้นทำงานในหลายระบบ ของทุก ๆ ธุรกิจ การจ้องขโมยรหัสผ่านกลายเป็นการโจรกรรมที่แพร่หลาย การรักษาความปลอดภัยจำเป็นจะต้องยกระดับตามภัยที่ลุกลาม ในที่สุดแล้ว เราจึงตัดสินใจที่จะยกเลิกการแชร์ Private key และเริ่มแต่วันนี้เป็นต้นไป Private key จะส่งมอบให้พร้อมกับ Certificate ที่ออกให้กับ Firebox เฉพาะกับองค์กรเท่านั้น

เรายังคงทำงานหนัก เพื่อให้แน่ใจว่า รูรั่วในระบบของคุณจะถูกปิด และธุรกิจของคุณจะปลอดภัยจากภัยคุกคาม

หาก Firebox ของคุณทำงานอยู่โดยที่คุณไม่แน่ใจว่า มี Certificate ที่ถูกต้องหรือไม่ หรือไม่เคยมี Certificate มาก่อน เราพร้อมช่วยจัดการให้ Firebox ของคุณมีและใช้ Certificate ที่ถูกต้องได้ ให้หน้า User login หรือ User authentication web page แสดงกุญแจสีเขียวบน Address bar แทนการแสดงคำเตือนที่หน้ากลัวบน Browser ของผู้ใช้ ติดต่อเราและทำให้ Firebox ของคุณปลอดภัยตั้งแต่วันนี้

หากลูกค้าต้องการความช่วยเหลือ สามารถติดต่อ OPT-Care ได้ที่แผนก Support  : act.optimus.co.th

02-2479898 ต่อ 87

[email protected]

 

 

RUCKUS NETWORKS เปิดให้ลูกค้า UPGRADE FIRMWARE ZONEDIRECTOR ฟรี !

จากกระแสข่าวที่มีนักวิจัยพบช่องโหว่ใน WiFi Access Point ของ Ruckus Networks เมื่อปลายที่ผ่านมา วันนี้ทาง Ruckus Networks ได้เปิดสิทธิ์ให้กับลูกค้าที่ใช้ ZoneDirector ได้ทำการ Upgrade Firmware ฟรี 7 วัน (นับจากที่เปิด Temporary Entitlements)  

พิเศษ ! แม้ลูกค้าไม่ได้ต่อ Support ก็มีสิทธิ์ Upgrade Firmware ได้เช่นกัน…..

● คลิกด้านล่างเพื่อดูขั้นตอนและวิธีในการ Upgrade Firmware

https://support.ruckuswireless.com/articles/000010079

หมายเหตุ

ลูกค้าต้องทำการเช็ค Compatible List ของ Access Point ก่อนทำการการ Update Firmware ด้วยนะครับ



หากลูกค้าต้องการความช่วยเหลือ สามารถติดต่อ OPT-Care ได้ที่แผนก Support  : act.optimus.co.th
 
02-247-9898 Ext. 81

เราต้องซื้อ SUBSCRIPTION กันจริง ๆ เหรอ

 

ผมได้ยินมานับครั้งไม่ถ้วนที่ลูกค้าต่อรองจะซื้อแต่ฮาร์ดแวร์ โดยไม่ต้องการซื้อ Subscription สิ่งที่ผมกังวลไม่ใช่เรื่องถูกลงหรือแพงขึ้น แต่ผมห่วงเรื่องความเข้าใจที่ถูกต้องต่างหาก

Subscription ที่เข้าใจกันทั่วไปคือสิ่งที่ต้องจ่ายเพิ่ม (บางทีถูกบังคับซื้อ) มันพ่วงมากับฮาร์ดแวร์ ควรซื้อไว้ “จะได้มีประกัน” เข้าใจกันง่าย ๆ ว่า ถ้าไม่จ่ายค่า Sub เกิดฮาร์ดแวร์เสียขึ้นมา ก็จะเคลมไม่ได้ เข้าใจกันไปแบบนี้

ความเข้าใจแบบนี้แหละครับ ที่น่าเป็นห่วง แล้วมักจะไปกลายเป็นปัญหาในวันหลัง

ฮาร์ดแวร์ที่ว่านี้ จะเป็นตัวอะไรก็ได้ครับ Access Point,  Firewall, Switch, Router, Server, SAN ฯลฯ เดี๋ยวนี้มี Subscription แล้วทั้งนั้น

ผมว่าตอนนี้ทุกคนก็พอจะรู้อยู่ในใจลึก ๆ ว่า ฮาร์ดแวร์มันราคาไม่เท่าไหร่ มีที่ไหนครับ กะอีแค่กล่องพลาสติกหุ้มแผงวงจรขนาดเท่าจานข้าว กับลวดอีกไม่กี่เส้น จะมาขายกันตั้งหลายหมื่น เราแน่ใจเหรอครับว่า เงินที่เราจ่ายค่าฮาร์ดแวร์นั้น มันคือค่าพลาสติกกับค่าแผงวงจร มันแพงขนาดนั้นเลยเหรอ ไม่ใช่มั้ง…..

คำตอบคือ ซอฟต์แวร์หรือเฟิร์มแวร์ครับ ไอ้นี่แหละตัวแพงเลย คิดง่าย ๆ ครับ แค่เอา iOS ออกจาก iPhone ไอ้ก้อนแบน ๆ นั่นเป็นโทรศัพท์ยังไม่ได้เล้ย ประโยชน์ของมันเหลือ 0 ทันที

หยิบเอาฮาร์ดแวร์อะไรมาก็ได้ครับ แค่ปลดซอฟต์แวร์ออก ฮาร์ดแวร์นั้นหมดความหมายทันที รู้แบบนี้ คุณว่าที่เราจ่ายเงินซื้อฮาร์ดแวร์นั้น เราจ่ายค่าวัสดุ หรือเราจ่ายค่าซอฟต์แวร์ พอจะมองออกมั้ยครับ

ซอฟต์แวร์ที่ควบคุมฮาร์ดแวร์ ก็จะเรียกว่าเฟิร์มแวร์ เรียกกลับไปกลับมา ซอฟตแวร์/เฟิร์มแวร์ ไม่งงนะครับ

ซอฟต์แวร์มันมาจากคนที่ลงแรงเขียนมันขึ้นมา ซึ่งมันก็มีการปรับปรุงเมื่อพบข้อผิดพลาด เรียกว่า Bug fix แล้วมันก็ทำให้ดีขึ้นได้ เรียกว่า Upgrade แต่ไม่ว่าจะเป็น Bug fix หรือ Upgrade มันก็คือต้องจ้างคนมานั่งทำ ก็ไม่ได้จ้างแค่คน-สองคนนะครับ ทีมนึงบางทีก็มีหลายร้อยคน แต่ละคนค่าตัวก็ไม่ถูก เงินค่า Subscription ของเราก็จ่ายให้กับทีมพัฒนาซอฟต์แวร์ที่มาทำ Bug fix และ Upgrade นี่แหละครับ และเราก็อัพเกรดเฟิร์มแวร์ เพื่อให้ฮาร์ดแวร์ที่เราซื้อนั้นไม่มีปัญหา และทำงานได้มากขึ้น

การ Upgrade บางทีก็ไม่ได้ Upgrade ตัวซอฟต์แวร์นะครับ แต่เป็นการ Upgrade database เช่น Antivirus ก็มีการ Upgrade Virus signature database นี่ก็มีคนทำอยู่เบื้องหลังเหมือนกัน ค่า Subscription บางทีก็หักไปจ่ายให้ส่วนนี้ด้วยครับ

เดี๋ยวนี้เฟิร์มแวร์ก็ไม่ได้ทำงานด้วยตัวเองแล้ว แต่ทำงานกับ Cloud service อย่าง Wifi Access Point เดี๋ยวนี้ก็มี Cloud controller ให้เลือกใช้ ไม่ต้องซื้อฮาร์ดแวร์มาตั้งที่ออฟฟิศให้เปลืองไฟเปลืองที่ Cloud Service มันก็ไม่ใช่ว่าจะได้มาฟรี ๆ นะครับ ต้องมีใครซักคนจ่ายค่า Data center เพื่อตั้ง Cloud service ขึ้นมา  เงินจำนวนนั้นก็มาจาก Subscription ที่เราจ่ายออกไป

ฮาร์ดแวร์ที่เราซื้อนั้น ก็ซื้อมาประกอบกันเป็นระบบ ยิ่งหลายชิ้นก็ยิ่งซับซ้อน พอมีปัญหา ใครจะรู้เรื่องดีที่สุดถ้าไม่ใช่ผู้ผลิต ซึ่งเวลาเราติดต่อไปก็คุยกับฝ่าย Support ของผู้ผลิต ค่า Subscription ของเราก็เอาไปจ้างฝ่าย Support มาคอยตอบปัญหาของเรานี่แหละครับ

เห็นมั้ยครับ ค่า Subscription มันมีอะไรตั้งเยอะที่นอกเหนือจากเรื่อง “ประกันฮาร์ดแวร์”

ที่ผมอธิบายทั้งหมด ถ้าจะให้เห็นภาพง่าย ๆ ลองนึกถึงเวลาไปกินเอ็มเคแล้วสั่งลูกชิ้นมา 1 ถาด ในถาดนับได้ 6 ลูก ถาดละ 60 บาท ในขณะที่ลูกชิ้นหน้าตาคล้าย ๆ กันขายในห้างเดียวกันกับที่เรานั่งกินสุกี้นั้น ขายอยู่ขีดละไม่ถึง 20 บาท มีตั้งเกือบ 10 ลูก ลูกละไม่ถึง 2 บาท แบบนี้เราจะเปรียบเทียบราคาลูกชิ้นแล้วรู้สึกว่าเรากินแพงหรือเปล่า ครอบครัวเรากำลังลวกจิ้มอย่างเมามันกับการจ่ายแพงขึ้น 5 เท่าอย่างนั้นหรือ ???

ดูจากคิวที่นั่งรอกันหน้าเอ็มเค ผมว่าทุกคนเข้าใจนะครับว่า ลูกชิ้นถาดนั้นมันรวมต้นทุนอื่น ๆ เข้าไปด้วย ทั้งค่าสถานที่ ค่าพนักงาน ค่าหม้อต้ม-เตาไฟฟ้า ไหนจะน้ำจิ้มอีก น้ำชาที่เราคิดว่าฟรีจริง ๆ แล้ว มันก็จ่ายผ่านค่าลูกชิ้นนี่แหละครับ ถ้าเข้าใจกันและยอมรับกันได้ลักษณะนี้ ก็ไม่น่าจะยากเลยที่จะเข้าใจว่า Subscription มันมีบริการอื่นอีกเยอะแยะตามมา ไม่ใช่แค่เรื่องประกันฮาร์ดแวร์อย่างที่เข้าใจกัน

ค่า Subscription ถ้าเรามองเห็นแค่ว่ามันคือค่าประกันฮาร์ดแวร์ ก็ไม่แตกต่างจากการไปที่เอ็มเค แล้วสั่งลูกชิ้น 1 ถาดราคา 60 บาท แล้วขอห่อสด ๆ กลับบ้าน โดยไม่ได้นั่งในร้านของเขา ไม่ได้ใช้บริการจากพนักงานของเขา ไม่ได้ลวกจิ้ม ไม่ได้จิบน้ำชาอะไรกันเลย นั่นแหละครับ ลูกละ 10 บาทเห็น ๆ เลย แพงยับแน่นอน ถูกมั้ยครับ ก็ไม่แปลกนะครับที่เราจะรู้สึกไม่อยากจ่ายค่า Sub เพราะเรามัวแต่คิดว่า ค่า Sub มันคือค่าเคลมฮาร์ดแวร์ คิดแบบนี้ค่า Sub มันก็แพงยับเหมือนกัน

คำถามสำคัญคืออันนี้ครับ...เราเคยถามคนขายหรือเปล่าว่า เราจ่ายค่า Subscription ให้กับทางผู้ผลิตแล้ว เราจะได้อะไร ???

ได้อัพเกรดเฟิร์มแวร์หรือเปล่า ได้อัพเกรด Signature หรือเปล่า ได้ใช้ Cloud มั้ย ได้ติดต่อกับ Support ของผู้ผลิตมั้ย ติดต่อทางไหน e-mail, chat,  web, โทร ผู้ผลิตทุกรายเขามีเอกสารให้อ่านครับ ซื้อ Sub แล้วได้อะไร ศึกษาไว้อธิบายให้ผู้บริหารฟังได้ ก็จะของบกันง่ายขึ้นนะครับ

อีกเคสนึงนะครับ ผมเคยได้ยินลูกค้าบอกว่า ฮาร์ดแวร์ตัวละ 10,000 ซื้อมาล้อตเดียว 10 ตัว เป็นเงินแสนนึง ค่า Sub ปีที่ 2 คิด 15% เป็นเงิน 15,000 โอ้ย…จะซื้อ Sub ไปทำแป๊ะอะไร ก็เอาเงินแค่หมื่นเดียวซื้อฮาร์ดแวร์ Spare มาทิ้งไว้ที่ออฟฟิศเพิ่มอีกตัวนึง ประหยัดไปได้ตั้ง 5,000 แบบนี้โอเคมั้ย

ผมว่าเหมือนซื้อรถแล้วไม่เอาเข้าศูนย์ แต่ใช้วิธีหาซื้ออะไหล่มาพยายามใส่เอง ถูกกว่าแน่นอนครับ เพราะจ่ายแต่ค่าฮาร์ดแวร์ แต่เราต้องวิเคราะห์เอง ซ่อมเอง มุดใต้ท้องรถ มอมแมมทำทุกอย่างเองจนจบ จะไปนั่งห้องแอร์จิบกาแฟอย่างคนที่เขาเข้าศูนย์ คงไม่ได้ นั่นแหละครับ ฮาร์ดแวร์โอนลี่ ภาพจะเป็นแบบนั้น บางคนที่มีความสุขกับ Slow life เรียนรู้เอง ทำเอง DIY กันสุด ๆ ก็อาจจะชอบ แต่ทางภาคธุรกิจเจ้าของเงิน เขาจะแฮปปี้ Slowly กับเราด้วยหรือเปล่า คิดดูให้ดีครับ

ผมรู้ว่า หลายคนไม่อยากซื้อ Sub ไม่ใช่เพราะไม่อยากได้ แต่ไม่รู้จะใช้มันยังไง คือไม่อยากอัพเกรดเพราะกลัวว่าอัพไปแล้วระบบจะมีปัญหา ไม่เปิดเคสกับทางผู้ผลิตเพราะภาษาอังกฤษไม่แข็งแรง ก็เลยซื้อ Sub เพราะจะเอาประกันฮาร์ดแวร์เท่านั้น กึ่ง ๆ โดนบังคับซื้อ แบบนี้ควรซื้อ Sub มั้ย หรือซื้อฮาร์ดแวร์มา Spare อย่างที่ว่าจะดีกว่า

ในความเป็นจริง เวลาเรามีปัญหา เราแก้ไม่ได้ ก็ขอให้ฝ่าย Support ของคนขายมาช่วย หลายครั้งปัญหามันถูกแก้ด้วยการอัพเกรดเฟิร์มแวร์ บางทีปัญหานั้นต้องหันไปปรึกษากับผู้ผลิต Subscription ก็จะได้ใช้กันตอนนี้ล่ะ ก็คือว่าแม้เราจะไม่ได้ใช้เอง ก็ยังต้องมี Subscription เอาไว้ให้คนที่แก้ปัญหาเขาหยิบมาใช้ได้ครับ

ตราบใดที่ฮาร์ดแวร์ ยังต้องใช้จ้างทีมมาพัฒนาซอฟต์แวร์ และยังต้องจ้างทีม Support มาคอยให้บริการ ค่า Subscription มันจะต้องมีอยู่ที่ไหนซักแห่ง เราจะต้องจ่ายค่า Subscription ในทางใดทางหนึ่งอย่างเลี่ยงไม่ได้ ไม่จ่ายรวมเป็นก้อนเดียวตอนซื้อ ก็จ่ายแยกเป็นรายปี หรือรวมอยู่ในค่าบริการรายเดือน อยู่ที่ว่าเราจะมองออกหรือเปล่าเท่านั้น

 

MULTI FACTOR AUTHENTICATION เมื่อไหร่ถึงจำเป็น

เราหลายคนคงได้มีโอกาสฟังเรื่องของ MFA หรือ Multi-Factor Authentication จากเซลส์ที่เข้ามาติดต่อและนำเสนอกันมาเยอะแล้ว จะ MFA กันด้วย QR-code, SMS, Push message จะ Offline หรือ Online เราก็ได้ยินกันมาเยอะ ข้อดีข้อเสียก็มีปะปนกันไป แต่คงจะมีน้อยเซลส์นัก ที่จะมานั่งวิเคราะห์กับเราจริง ๆ ว่า ระบบของเราควรจะใช้ MFA หรือไม่ คำตอบออกมาส่วนใหญ่คือ “ใช้เถอะพี่ !!!” เป็นงั้นทุกครั้งไป
 
ความปลอดภัยน่ะ ใครก็อยากได้ครับ แต่เราคงไม่ต้องถึงกับนั่งในรังปืนกล เพื่อให้ความรู้สึกปลอดภัยหรอก ดังนั้น MFA มีไว้มันก็ปลอดภัย แต่มันเกินไปหรือเปล่า นั่นคือเรี่องที่เราจะมาพูดกันวันนี้ครับ
 
มันต้องใช้ทั้งตรรกะและความรู้ครับ MFA ควรซื้อหรือไม่ 
 
ตรรกะคือ “เราเสียวแค่ไหนถ้า Password ของเรารั่วไหล” 
 
ความรู้คือ “เรารู้หรือเปล่าว่า Password ที่คนร้ายได้ไปนั้น เขาเอาไปทำความเสียหายอะไรได้บ้าง”
 
 
เราทุกคนมี Password ของ Mailbox ของบริษัท สมมติว่า คนร้ายได้ Password ไปจะด้วยวิธีใดก็แล้วแต่ คนร้ายจะเอาไปทำอะไรได้มากแค่ไหน คุณรู้หรือเปล่า
 
• เอาไป Login เข้า Mailbox ของเราเพื่อส่ง Spam ความเสียหายจิ๊บ ๆ มาก
 
• คนร้ายค้นประวัติของเรา และรู้ว่า Mailbox ของเราใช้สั่งจ่ายเงินได้ คนร้ายหาจังหวะที่เหมาะ สั่งให้ลูกค้าในต่างประเทศโอนเงินเข้าบัญชีคนร้าย ด้วย Mailbox ของเรา โอนเงินว่าแย่แล้ว ตอนสืบสวน ตามกระบวนการ “เราจะตกเป็นผู้ต้องสงสัย” นะครับ
 
• หรือไม่ Mailbox นั้นอาจสามารถใช้สั่ง IT ให้บอก Password ของ Mailbox อื่น ๆ ได้ เพราะเป็น IT ด้วยกัน 
 
• Mailbox นั้น อาจมีอำนาจสั่งแผนกอื่นให้โอนเงินตามคำสั่งได้ 
 
• คนร้ายอาจใช้ทุกวิธีร่วมกัน จาก Mailbox IT ไปขอ Password ของ Mailbox ผู้บริหาร เพื่อเอาไปสั่งฝ่ายการเงินให้โอนเงินไปยังบัญชีคนร้าย
 
• คนร้ายใช้ Mailbox ของ IT สั่งให้ Front หรือ Cashier ติดตั้งโปรแกรมบางอย่าง แนบไฟล์ไปกับ e-mail โปรแกรมที่จะสร้าง Back door ให้คนร้ายเข้ามาเอาข้อมูลบัตรเครดิตของลูกค้าออกจากระบบ เอาไปขายในตลาดมืดได้บัตรละ 1-15 USD เลยนะครับ แถมยังกลับมาเอาข้อมูลใหม่ ๆ ได้เรื่อย ๆ จนวันหนึ่งที่ลูกค้าผู้เสียหายเอาไปโพส facebook ว่า บัตรเครดิตที่รูดกับเรานั้นถูกขโมยข้อมูลเอาไปรูดต่อ พอจะคุ้น ๆ กับเคสแบบนี้มั้ยครับ 
 
 
เรื่องข้างต้นจะยังเป็นนิยายเกินจริงสำหรับหลายบริษัท แต่มันเป็นเรื่องที่เกิดขึ้นซ้ำแล้วซ้ำเล่ากับหลาย ๆ บริษัทครับ  เอ…แล้วเราต้องกลัว แล้วรีบซื้อ MFA เลยมั้ย…..   ยังครับ เรื่องเล่ายังไม่จบครับ มาว่ากันต่อ
 
 
องค์กรเราจะปลอดภัยจากโจร อย่าไปโฟกัสที่ระบบรักษาความปลอดภัยครับ โฟกัสที่โจร โจรทำงานอย่างไร ผมเล่าไปแล้ว เราต้องรู้ต่อไปอีกว่า โจรเลือกเหยื่ออย่างไร แล้วเดี๋ยวคุณจะรู้เองว่า MFA นั้นจำเป็นหรือเปล่า
1. โจรเลือกเหยื่อที่ง่าย 
2. ลงมือแล้วได้เยอะ ๆ
3. ถ้าลงมือปล้นแล้วเหยื่อไม่ไหวตัว ไม่รู้ตัว ให้ปล้นซ้ำอีก ซ้ำอีก และ ซ้ำอีก
 
 
MFA มีเอาไว้ให้คุณไม่เป็น “เหยื่อที่ง่าย” ซึ่งการหลุดพ้นจากการเป็นเหยื่อนั้น MFA ก็เป็นเพียงแค่ส่วนหนึ่งเท่านั้น 
 
 
ถ้าโจรเกิดขโมย account เพื่อเข้าระบบของเราได้แล้ว จะปล้นได้เยอะหรือไม่ อยู่ที่ว่า account  นั้นใช้เข้าสู่ระบบอะไรได้บ้าง เปิดแค่ Mailbox หรือเป็น Domain account ใช้ดูไฟล์บนเซิร์ฟเวอร์ ใช้ Login เข้าซอฟต์แวร์หลักขององค์กรได้หรือเปล่า หรือเป็นถึงกับ account ของ System admin ที่ใช้ล้วงข้อมูลได้ทั้งองค์กร โจรจะปล้นไปได้เยอะหรือน้อย อยู่ที่ว่าเราสูญเสีย account ของคนระดับไหนไป
และโจรไม่แหวกหญ้าให้งูตื่นแน่นอนครับ ขโมยแบบเงียบ ๆ ไม่ให้รู้ตัว เอาข้อมูลไปขาย เดี๋ยวข้อมูลใหม่ไหลเข้ามา ก็กลับมาขโมยซ้ำอีก 
 
หลายองค์กรที่ตกเป็นเหยื่อ เพราะเป็นเหยื่อที่ง่าย และลงมือแล้วได้เงินเยอะ บริษัทเหล่านี้โจรชอบมาก ไม่ต่างจากโจรย่องเบา ที่ชอบเข้าโจมตีบ้านที่อยู่ห่างไกลชุมชน แถมยังมีทรัพย์สินมีค่าในบ้านหลายอย่าง
 
 
ดังนั้น แทนที่จะมานั่งทางในหาคำตอบว่าควรซื้อ MFA หรือไม่ เราควรจะมามุ่งประเด็นว่า “เราคือเหยื่อที่ง่าย” ใช่หรือเปล่า MFA ทำให้เหยื่อง่าย ๆ อย่างเรา กลายเป็นเหยื่อที่เคี้ยวได้ยากขึ้น พอมันยาก โจรก็ไม่อยากยุ่งแล้วครับ เพราะมีเหยื่อง่าย ๆ อีกเยอะ มันเกี่ยวกันตรง ๆ กับ MFA ในเรื่องนี้ 
 
 
MFA ไม่ได้เอามาป้องกันโจร แต่หลักจิตวิทยาโจร MFA ทำให้เกิดความเซ็ง และเลิกคิดจะปล้นไปเองครับ
 
 
IT บางท่านอาจนึกน้อยใจเล็ก ๆ ว่า เคยลองเปิดใช้ Password complexity แล้วโดน User บ่นว่า ยุ่งยากและน่ารำคาญ หาว่า IT นี่เยอะ แล้วก็ปิด policy ไปในที่สุด นั่นแหละครับ คือจุดที่องค์กรนั้นควรมี MFA
 
ผมบอกเสมอ และเคยเขียนบทความไปแล้วด้วย เรื่อง “ระบบดีทำงานห่วย ระบบห่วยทำงานดี” ระบบที่ดีคือระบบที่คนเอาด้วย MFA ง่ายกว่า Password complexity policy และ MFA ได้รับการยอมรับจากผู้ใช้มากกว่า ถ้าแก้พฤติกรรมของ User ไม่ได้ ก็หันไปใช้ MFA เถอะครับ เพื่อที่เราจะไม่ใช่ “เหยื่อที่ถูกล่าได้ง่าย”
 

สนใจ MFA ต้องการข้อมูลเพิ่มเติมเรามีพันธมิตรพร้อมให้คำปรึกษาติดต่อแผนก Marketing

02-2479898 ต่อ 87

[email protected]

@optimusthailand

สินค้าที่เกี่ยวข้อง

  • WatchGuard Endpoint Security

    ยกระดับการป้องกันการถูกแฮกระบบ หยุดการคุกคามจากมัลแวร์ทั้งที่รู้จักและไม่รู้จัก

    Endpoint Security, Security, WatchGuard

จุดประกายโดย : คุณ วุฒิ กิ่งหิรัญวัฒนา

CYBERSECURITY วางอย่างไรให้ป้องกันได้จริง

 

ผมมีโอกาสได้เข้าร่วมวางแผนการขึ้น Network หลาย ๆ ระบบ ระบบใหญ่ก็มี ระบบเล็กก็เยอะ ก็พูดกันเรื่อง Reliability, Consistency, Efficiency และหัวข้อหนึ่งที่ต้องรวมอยู่ด้วย ขาดไม่ได้ คือ Cybersecurity

ใคร ๆ ก็อยากทำให้ Network ปลอดภัยครับ ส่วนใหญ่จะกังวลกันในเรื่องของการติดไวรัส ติด Ransomware กลัวโดนเจาะระบบเข้ามาทางอินเตอร์เน็ต กังวลเรื่อง DDOS พอจะวางระบบ  ก็จะพยายามวางวิธีป้องกันในหัวข้อพวกนี้ แต่…เคยสงสัยมั้ยครับว่า โจรทำงานอย่างไร อะไรต่อมิอะไรที่เราวางไป มันกันโจรได้จริงหรือเปล่า

ประเด็นคือ ถ้าเราติดตั้งกล้องในจุดที่โจรไม่เดินผ่าน กล้องจะดีแค่ไหน มันก็ไม่ได้ผล โจรปล้นเราไปหมดบ้านแล้ว จับภาพมันไม่ได้ซักแชะ ในทางกลับกัน ถ้าเรารู้ทันโจร เรารู้เลยว่ามันจะงัดหน้าต่างบานนี้เข้ามา เราอาจจะลงทุนแค่ไม่เท่าไหร่ กล้องตัวเดียว กลอนดี ๆ ตัวเดียว ป้องกันตรงจุดและได้ผล ประเด็นคือ เรารู้หรือเปล่าว่า โจรคิดอะไร โจรทำงานอย่างไร มันจะมาไม้ไหน รับมืออย่างไรถึงจะได้เรื่อง สรุปคือ “จะทำ Cybersecurity ต้องรู้ว่า โจร Cyber ทำงานอย่างไรครับ”

ไอ้ว่าจะไปจับโจร Cyber มาเค้นข้อมูล มันคงมีแต่ในหนัง คนไอทีธรรมดาอย่างเราจะไปรู้ได้อย่างไรว่า โจรใช้วิธีไหนในการบุกรุกระบบ คำตอบอยู่กับ Vendor ที่เขาทำ Firewall ทั้งหลายครับ

คนพวกนี้เขาทำผลิตภัณฑ์ขึ้นมารับมือโจร เขาต้องทำในสิ่งที่ “โดน” ดักโจรได้จริง และ Vendor เหล่านี้ก็ทำการบ้านอย่างหนัก ความโชคดีของเราคือ “เขาแชร์ข้อมูลการวิจัยทางโจรให้เราฟรี ๆ ด้วยครับ” โครตดีเลย !!!

ไปโหลดมาอ่านกันนะครับ ค้นคำนี้เลย “Threat Landscape Report” อย่างผมค้นเร็ว ๆ นี่ 3 vendor มีรายงานให้เราเอาไปใช้ได้เลย WatchGuard, Sophos, Fortinet ใครรักชอบค่ายไหน ก็ไปโหลดมาอ่านได้ ข้อมูลที่มีค่าพวกนี้ พี่เขาให้ฟรี ใจดีเหลือเชื่อ

Threat Landscape Report เขาทำกันเป็นราย Quarter ครับ ก็คือรายงานสถิติของการโจมตีที่พบและที่เก็บมาตลอดทั้ง Q นั้น วิธีโจมตีแบบไหนที่ใช้เยอะ ทวีปไหนเป็นต้นตอ ทวีปไหนเป็นเหยื่อ เครื่องประเภทไหนที่โดนเยอะ มือถือ, กล้องวงจรปิด, IoT, Mac, หรือ Windows คือจะเรียกรายงานพวกนี้ว่าเป็น Porforlio รวมผลงานของโจรก็ได้นะครับ

ผมชอบ WatchGuard เป็นการส่วนตัว วันนี้ผมก็จะหยิบ TLR ของเขามาให้ดูครับ เป็นของ Q4 ปี 2018

และอย่างที่ผมบอก เมื่อรู้แล้วว่า โจรทำงานอย่างไร เราก็ทำระบบรับมือโจรในทางนั้น มาดูกันครับว่า TLR ให้ประโยชน์เราได้อย่างไร…

1. TLR รายงานว่า พบ Phishing mail ประเภท Sextortion เพิ่มขึ้น

ว่ากันง่าย ๆ โจรเข้าถึงผู้ใช้แบบตรงถึงตัว ผ่านทาง e-mail แบบนี้เราจะต้องทำระบบป้องกันไม่ให้โจรมาถึงตัวผู้ใช้อย่างไรดีครับ ???

Spam filter คือคำตอบครับ บางออฟฟิศตั้ง Mail server เอง แต่ไม่รู้ว่าจะจัดระบบอย่างไรให้มี Spam filtering บางออฟฟิศซื้อ Mailbox service จากผู้ให้บริการ ที่เขาไม่ได้ให้ความสำคัญกับเรื่อง Spam filtering เท่าไหร่นัก และเราก็ไม่เคยเช็คว่ามี Spam filter หรือไม่อย่างไร ในขณะที่ Q4-2018 ไม่นานมานี่เอง สถิติยืนยันชัดเจนว่า โจรเข้าถึงตัวผู้ใช้ด้วย Phishing mail ถ้าเราป้องกันรูนี้ ก็คือป้องกันโจรอย่างได้ผล TLR ให้ประโยชน์กับเราตรง ๆ ง่าย ๆ แบบนี้ครับ

อบรมผู้ใช้ในออฟฟิศกันหน่อยดีมั้ยครับ หยิบเอาตัวอย่างของ Phishing mail มาเปิดให้ผู้ใช้ดู แล้วแนะนำกันซักหน่อยว่า เจอแบบนี้อย่าคลิก มันของปลอม ผู้่ใช้ที่ระวังตัว ไม่ซี้ซั้วโหลดนั่นคลิกนี่ เป็นภูมิคุ้มกันให้กับระบบได้เป็นอย่างดี Security ไม่ต้องไปลงเอยด้วยการซื้ออุปกรณ์เสมอไปนะครับ

 

2. TLR รายงานว่า Malware ที่ตรวจพบ เป็นประเภท Zero day สูงถึง 37%

แปลว่า Malware พวกนี้ จะมีแต่ APT/Sandbox หรือ Antivirus แบบ AI เท่านั้นที่จะตรวจพบ ลองเช็คกันดูนะครับว่า Antivirus ที่เราใช้อยู่นั้นเป็น Signature base หรือว่าฉลาดกว่านั้น มี Sandbox on cloud หรือเปล่า หรือมี Predictive technology โดยไม่ต้องรอ Virus signature มั้ย ลองโหลดเอกสารจาก Antivirus vendor มาอ่านกันดูครับ เราใช้แบบไหน ล้าสมัยแล้วหรือยัง อุตส่าห์ติดตั้งซะครบทุกเครื่องเลย โจรเขาใช้ Zero day malware เป็นอาวุธ Antivirus ของเราต้องตามให้ทัน ลงทุนให้ถูกจุด รับมือโจรให้ถูกเรื่องครับ ข้อมูลสถิติชี้ชัดขนาดนี้แล้ว



3. TLR รายงานว่า พบ Network attack มากถึง 1,200 วิธีที่แตกต่างกัน

Network attack พวกนี้ พุ่งเป้าไปที่รูรั่วของเซิร์ฟเวอร์ที่ต่อตรงกับอินเตอร์เน็ต หรือแม้จะอยู่หลัง Firewall ซึ่งดูเหมือนว่าจะปลอดภัยแล้ว แต่ดันมีการเปิด Policy ให้เข้าถึงเซิร์ฟเวอร์ได้แบบ Any Any Any มี Firewall ก็เหมือนไม่มีนะครับ

สำรวจระบบของเราครับ เรามีเซิร์ฟเวอร์ที่เปิดอ้าซ่ากับอินเตอร์เน็ตแบบนี้หรือเปล่า เราได้อัพเดต Patch ล่าสุดกันบ้างมั้ย ถ้าไม่เลย อย่างน้อย IPS บน Firewall ที่อยู่หน้าเซิร์ฟเวอร์ ควรเปิดให้ทำ Full scan เอาไว้ โจรเข้าทางนี้ เราก็ตั้งป้อมรับมือโจรกันตรงนี้

แล้วจำเป็นมั้ยที่เราจะต้องเปิดให้เข้าถึงเซิร์ฟเวอร์ได้โล่งโจ้งขนาดนั้น SSH, Telnet, FTP, SMT, RDP พวกนี้ไมน่าจะเปิดล่อเอาไว้กับอินเตอร์เน็ต แค่ปิดก็ปลอดภัยแล้ว โจรเข้ามาไม่เจอประตูให้เข้า โจรไม่เสียเจาะอะไรลึกซึ้งครับ ก็แค่หนีไปจัดการกับเซิร์ฟเวอร์ตัวอื่นที่เปิดประตูต้อนรับ ง่ายกว่า

อย่าลืมนะครับ!! สถิติย้ำว่า โจรพยายามเข้าทางนี้ เราก็จะป้องกันรูนี้ ตรง ๆ ง่าย ๆ

TLR นี้เป็นเอกสารเผยแพร่ครับ โหลดได้ฟรี ไม่ต้องมี Signup ไม่ต้องแลกมาด้วย E-mail อย่างที่บอกครับ ชอบค่ายไหน ก็โหลดค่ายนั้นมาอ่าน หรือจะโหลดทั้งหมดมาอ่านก็ยิ่งดีครับ เราเรียนรู้ทางโจรจากเอกสารพวกนี้ พอจัดวางระบบ Security ก็จะรับมือโจรได้ตรงจุด

ขอให้ปลอดภัยในโลก Cyber ครับ…

CYBERSECURITY ต้องทำเท่าไหนถึงจะเรียกว่าปลอดภัย

เยอะที่สุดเท่าที่จะมากได้ มีอะไรใส่เข้าไปให้หมด ฮาร์ดแวร์ ซอฟต์แวร์ สารพัดหน้าที่ อบรมฝ่าย IT เพิ่มและพนักงานองค์กร เสริมด้วยระบบ Monitoring / Alert / Alarm ตบท้ายด้วย Cer โหด ๆ เข้ม ๆ ด้าน Security อีกซะ 2 มาตรฐาน ถ้าเทียบกับบ้าน ก็คือ จัดทหาร-ตำรวจลาดตระเวณรอบพื้นที่ในและนอกเครื่องแบบ หน้าบ้าน-หลังบ้านมีรังปืนกลหนัก  ติดตั้งระบบ sensor รอบบ้าน มีคนเฝ้าดู 24 ชั่วโมง เจ้าของบ้านหมกตัวอยู่ใน Panic room ตลอดเวลา เอากันอย่างนี้เลย

เว่อร์ไปมั้ย…หรือเราควรทำเท่าที่งบมี…หรือจะทำกันเท่าที่งบหมด งบมากปลอดภัยมาก จริงเหรอ ?

มาลองเป็นโจรกันครับ มีบ้าน 2 หลังนะครับ บ้านนึงมีหมา อีกบ้านนึงไม่มีหมา โจรอย่างเราเลือกเข้าบ้านไหน ก็แน่นอนครับ จะไปเสี่ยงเขี้ยวหมาทำไม เฮ้ย…หมาตัวเดียวเอง ปลอดภัยแล้ว

มีบ้าน 2 หลังนะครับ บ้านนึงมีไฟเปิดในบ้าน อีกบ้านนึงไฟในบ้านไม่ได้เปิด โจรเลือกบ้านที่ไม่ได้เปิดไฟแน่นอนครับ ถ้าเจ้าของอยู่บ้าน คงไม่อยู่มืด ๆ หรอก เห็นมั้ยครับ ปลอดภัยจากโจร ด้วยไฟแค่ดวงเดียว

เวลาโจร Cyber จะเลือกลงมือนะครับ มี 2 เซิร์ฟเวอร์ที่ต่อเน็ตอยู่ ตัวนึงเปิด RDP เอาไว้ อีกตัวไม่ได้เปิด โจรย่อมลงมือกับเซิร์ฟเวอร์ที่เปิด RDP คาเอาไว้บนเน็ต ง่ายกว่าเยอะ

มองภาพใหญ่กว่านั้นครับ คุณว่าในโลกนี้ มีเซิร์ฟเวอร์ที่เปิด RDP คาเอาไว้บนเน็ตกี่เครื่อง คงจะไม่ต่ำกว่าหมื่น แม้เซิร์ฟเวอร์ที่ไม่ได้เปิด RDP คงจะมีอยู่หลายแสน แต่อีกเป็นหมื่นเครื่องที่เปิดหน้าบ้านคาเอาไว้ นั่นคือเป้าของโจรครับ มีเหยื่อที่ง่าย จะมาเสียเวลากับเหยื่อที่ยากกว่าทำไม

Cybersecurity ในขั้นต้น จึงหมายถึงการย้ายตัวเองออกจากการเป็นเป้า

…………..เท่านั้นเอง…………..

ก่อนที่จะทำให้ระบบปลอดภัย การไม่ตกเป็นเป้าของโจร มันง่าย ใช้งบน้อย ใช้ความรู้น้อย และความซับซ้อนก็น้อยด้วย ดังนั้น เวลาของมองระบบ ก่อนที่ผมจะมองว่า Security system ของระบบนั้นเจ๋งขนาดไหน ผมมองด้วยสายตาโจรก่อนเลยว่า ระบบนี้อยู่กลุ่มไหน กลุ่มง่ายหรือกลุ่มยาก

ผมเห็นหลายระบบ มี Firewall ราคาเป็นล้าน ฟีเจอร์สุดอลังการ แต่ก็เปิด RDP เอาไว้ให้พุ่งเข้าหาเซิร์ฟเวอร์ได้ ก็มักจะมีเหตุผลกันว่า โปรแกรมเมอร์จะ remote เข้าไปมาทำงาน หรือ engineer จากบริษัทที่เราซื้อของ เขาจะ remote เข้ามาเซ็ตอุปกรณ์ ต้องบอกว่า ระบบส่วนใหญ่ที่โดน Ransomware ก็เริ่มต้นกันที่จุดนี้

เป้าของโจรก็คือ

– Admin port หรือ config port ที่เปิดคาเอาไว้บนเน็ต เช่น RDP, SSH, Telnet, TCP-443 ที่เข้าตรงถึง admin console ฯลฯ

– Password ที่เดาง่าย [email protected] รหัสผ่านนี้ยังใข้กันอยู่ใน admin account หรือเปล่าครับ

– เซิร์ฟเวอร์หรืออุปกรณ์ที่ไม่อัพเดต Patch ใช้ซอฟต์แวร์เวอร์หรือเฟิร์มแวร์เวอร์ชั่นเก่า ซึ่งโจรเขียนซอฟต์แวร์หรือ Bot มาสแกนหารูรั่วนั้นเรียบร้อยตั้งนานแล้ว Bot มันสแกน IP ไปทั่วโลก ยังไงก็หาเจอ

– ใครที่เปิด admin port เอาไว้ แล้วเปลี่ยนเลข เช่น RDP เปลี่ยนจาก 3389 เป็น 3839 อะไรพวกนี้ ถือว่าดีขึ้นมานิดหน่อย แต่ Bot ก็ยังเก่งที่จะรู้ว่า พอร์ตที่เปิดนั้นหคือ RDP อยู่ดีครับ เปิดพอร์ตแต่เปลี่ยนเลข ก็แค่ยืดเวลาออกไปนิดหน่อยเท่านั้น

บรรดาลูกค้าที่เล่าประสบการณ์ระบบของตัวเองให้ฟัง เรื่องเซิร์ฟเวอร์ที่ติด Ransomware หรือโดนฝัง Malware เข้าไปใน web server ทุกรายมีสิ่งที่เหมือนกันคือ เขาเปิด admin port คาเอาไว้บนอินเตอร์เน็ต หรือไม่ก็ตั้ง admin password แบบเดาได้

ทำให้ปลอดภัยในขั้นแรก ก็แปลว่า ลดความเสี่ยงนั่นเอง เป็นขั้นแรกที่จะก้าวข้ามไม่ได้ซะด้วย

คุณจะเห็นภาพอะไรถ้าผมบอกว่า “บางระบบ โจรมันไม่เหลียวมองมาเกือบ 20 ปีแล้ว” ผมไม่ได้พูดถึงระบบ Security สุดยอดชั้นเยี่ยมเลยซักนิด การทำ Cybersecurity เราสามารถผสานแนวคิดธรรมชาติเพื่อความอยู่รอดปลอดภัยมาใช้ได้ครับ พรางตัว-ตั้งรับ-สู้-หนี ถ้าทำครบ 4 แล้วยังโดนจับกินอีก ก็ถือว่าตายอย่างสมศักดิ์ศรี วันนี้ที่เราคุยกัน จึงเน้นไปที่เรื่องของการพรางตัวครับ อย่างที่ผมบอก มันทำได้ง่าย-ราคาถูก-ได้ผลดี

ทั้งนี้ ถ้าระบบของคุณเป็นบริษัท Top 500 หรือเป็นหน่วยงานระดับสูงของรัฐบาล เป็นหน่วยงานด้านความมั่นคงของประเทศ ระบบพวกนี้คงไม่ต้องพูดถึงเรื่องพรางตัวนะครับ พรางยังไงก็ตกเป็นเป้าครับ เหมือนคนตัวใหญ่พยายามไปหลบกระสุนอยู่หลังปลากระป๋องอ่ะครับ

ลองสำรวจระบบของเรากันครับ เราไม่ใช่บริษัทยักษ์ใหญ่ ก็พยายามขยับระบบของเราออกมาจากเหยื่อเป้าหมาย ถ้ายังมีอะไรที่เปิดรั่วอยู่บนเน็ต ก็แค่ปิด และหาทางเข้าทางอื่นที่ปลอดภัย VPN บ้าง Remote management software มีให้เลือกเยอะแยะ ตั้ง password ของ Admin เป็นชื่อผลไม้ในภาษาอีสานก็ได้ รับรองว่าไม่มีใน dictionary ฝรั่งแน่นอน ง่าย ๆ เท่านั้นเองครับ


● ติดตามข่าวสารอัพเดตหลากหลายเรื่องจากผู้เขียนมือโปรทั้งหมดได้ที่  >> https://optimus.co.th/category/knowledge/training-knowledge
 
● ในแอพ blockdit  โหลดแอปได้ที่ blockdit.com พิมพ์ค้นหาคำว่า “Optimus Thailand”

ทำไมเราจึงไม่ควร SAVE PASSWORD เอาไว้กับ WINSCP แล้วทำอย่างไรให้ปลอดภัย

 
ถ้าคุณรู้จักใครที่เขาดูแลเซิร์ฟเวอร์ให้กับคุณ หรือถ้าคุณเป็นคนที่ใช้ WinSCP ในการ Transfer File เข้าออกเซิร์ฟเวอร์เป็นประจำ และคุณมี Saved Session ใน WinSCP เอาไว้ให้เปิดเข้าถึงเซิร์ฟเวอร์ได้อย่างรวดเร็ว คุณต้องรู้เรื่องนี้
 
ผมสังเกตเห็นเกือบทุกคนที่ใช้ WinSCP จะมี Saved session ที่มีการ Save Password เอาไว้ด้วย คุณรู้หรือเปล่าว่า WinSCP เก็บ Password เอาไว้ 2 ที่ แล้วแต่เวอร์ชั่นของ WinSCP ที่คุณใช้
 
ถ้าเป็นเวอร์ชั่นแบบ Installation ก็จะเก็บ Password เอาไว้ที่ Registry ของ Windows แต่ถ้าเป็นเวอร์ชั่น Portable ก็จะเก็บ Password เอาไว้ที่ INI file ให้คุณสามารถพกไฟล์ Portable EXE ไปกับ INI ไปบน USB Drive เปิดใช้แบบมี Saved Config ติดไปด้วยพร้อมกัน โดยไม่ต้องพึ่ง Registry
 
ก็มี Save Password แล้วไง…อ่ะ Password พวกนี้ก็คือ Admin Password ของระบบไงครับ เป็นกุญแจสู่อำนาจเบ็ดเสร็จที่จะใช้ขโมยข้อมูลจากเซิร์ฟเวอร์ได้อย่างไม่มีขีดจำกัด แถมยังใช้เซิร์ฟเวอร์นั้นเพื่อก่อการร้ายอื่น ๆ ได้อีก หรืออาจเป็น Saved Password ของ Router, Firewall, WiFi Controller, อุปกรณ์สำคัญในระบบที่สามารถสร้างความบรรลัยให้หน้าที่การงานของเราได้ Password ที่ Save เอาไว้ใน WinSCP มันก็สำคัญแค่นี้เองแหละครับ
 
ซึ่งการขโมย Password ของเซิร์ฟเวอร์หรือ Network Device โดยเก็บเอาจาก Saved Password ของ WinSCP ง่ายกว่าไปฝ่าฟันด่านป้องกันบนตัว OS หรือตัวอุปกรณ์ ง่ายกว่ากันหลายเท่าเลยครับ 
 
ลองเปิดดู INI File ที่อยู่ใกล้ ๆ WinSCP ดูครับ หรือไม่ก็ตามไปดูที่ Registry key  [SOFTWAREMartin PrikrylWinSCP 2Sessions]
 
ผมลองเอาตัวอย่างของ Saved session มาให้ดูด้านล่างนี้
 
Hostname (String) mysite.mytestbed.co.th
Password (String) A35C7559A2019BD5172E33332831252F35283972312528392F283E3938723F337228343125323D3739382C3D2F2F2B332E38
Username (String) root
 
Password เข้ารหัสเอาไว้ ไม่เห็นจะน่ากลัวตรงไหนเลย…
 
อย่าลืมนะครับ WinSCP จะต้องสามารถ Decrypt password กลับมาเป็น Plain text เพื่อจะสามารถนำ Plain text นั้นไป Login เปิด session เข้าไปหาเซิร์ฟเวอร์ ซึ่งหาก WinSCP สามารถ Decrypt กลับมาเป็น Plain text ได้ มนุษย์คนอื่น ๆ ก็สามารถจะเขียนโปรแกรมเพื่อทำแบบเดียวกันได้เช่นกัน 
 
>>ลองถามเฮียกู ดูนะครับ Retrieve WinSCP saved password เอาคำนี้ไปค้น ก็จะพบซอฟต์แวร์เยอะมาก แบบซื้อขายหรือจะให้แบบ Open source มีหมดครับ ผมบอกแล้วว่า มนุษย์คนอื่น ๆ ก็สามารถทำซอฟต์แวร์เพื่อมา Decrypt password ได้ รวมถึงมนุษย์โจรด้วย
 
Password encryption ของ WinSCP คือการเอา Plain text password มาจัดเรียงบิตซะใหม่โดยใช้ Username กับ Hostname มาเป็น Pseudo key เท่านี้เองครับ Reverse engineering กลับมาเป็น Plain text password ได้ด้วยการเขียนโปรแกรมภาษาอะไรก็ได้ อย่างข้างบนนี้ ถ้าใครสามารถ Decrypt password ออกมาเป็น mynakedpassword ได้ ก็คือเขียนโปรแกรมถูกต้องแล้วครับ
 
ผมรู้ได้ไง…เรื่องของเรื่องคือ ผมกำลังแกะ Malware ตัวหนึ่งโดยอ่านผลจาก Sandbox ที่ virustotal.com ใช้ Run Malware ตัวนี้ และพบว่า Malware มันพยายามจะอ่านค่าจาก Registry key ชื่อ Martin Prikryl ซึ่งเป็นตำแหน่งที่ใช้เก็บ Password ของ WinSCP 
 
ทีนี้ ถ้าคุณเป็นคนที่คิดไม่หยุด อ่านไม่ยั้ง ตั้งคำถามไม่เลิก คุณจะได้ความรู้มากมายครับ
 
1. Malware เดี๋ยวนี้ไม่ทำลายเครื่อง ไม่ลบไฟล์ ไม่จำเป็นจะต้องเป็น Ransomware แต่ถูกส่งมาเพื่อขโมย Password จากเครื่องของคุณ การขโมยข้อมูลมันใกล้ตัวมากนะครับ อย่าคิดว่ามันมีแต่ในหนังฮอลลีวูดเท่านั้น
 
2. เวลาโจรจะลงมือ จะเล่นกับ “จุดอ่อน” เสมอครับ หลายคนพยายามป้องกันระบบด้วยการทุ่มเทกับอุปกรณ์และมาตรการและเอกสารต่าง ๆ หลายชั้นหลายขั้นตอน โดยไม่เคยวิเคราะห์หา Weakest link ในระบบเลย เช่น ปรากฎว่าโจรไปได้ Password เข้าระบบจากเครื่องของแผนก IT ที่บริจาคไปให้วัด โดยแค่ Format เบา ๆ ไม่ได้ทำลาย Physical ของฮาร์ดดิสก์ เรื่องแบบนี้เกิดขึ้นซ้ำแล้วซ้ำอีก เวลามี Security breach แผนก IT ก็หาไปดิ “โจรได้ Password ของทั้งระบบไปได้ยังไง” งงกันเป็นเดือน ๆ ค้น Log กันซะยกใหญ่ แต่ไม่ได้เอะใจว่า Weakest link มันอยู่ตรงหน้านี่เอง
 
3. Martin Prikryl เขาคือ Software architect / Developer ผู้สร้าง WinSCP ลองพิมพ์ชื่อนี้แล้วหาอ่าน CV ของเขาดูครับ 20 ปีในวิชาชีพนี้ น่าสนใจทีเดียว เผื่อจะเป็นแรงบันดาลใจให้คนไทยได้ผลิตซอฟต์แวร์ให้คนทั่วโลกได้ใช้ฟรี ประทับตรา Thailand ให้คนทั่วโลกได้เห็นศักยภาพของเรา
 
 
ฮาว์เอ๊เว่อร์….อย่างไรก็ดี๊ดี
 
คนทำ WinSCP ประสบการณ์ขนาดนี้ เขาก็ไม่ปล่อยให้ซอฟต์แวร์เขามีจุดบกพร่องขนาดนี้หรอกครับ ไปดูที่ Preference ของ WinSCP ในหัวข้อ Security ครับ ตรงนั้นเราสามารถใส่ Master password ได้ ซึ่ง WinSCP ก็จะเอา Master Password ไปเป็น Key สำหรับ AES Process เพื่อเปลี่ยน Plain Text password ของ Saved session ให้กลายเป็น Cipher text ครับ 
 
ซึ่งตามหลักของ AES จะ Decrypt Password ด้วย Key ก็คือ Master Password นี่เอง ในทางปฏิบัติ เมื่อก็แค่ป้อน Master Password กลับไปให้ WinSCP แค่หนึ่งครั้งตอนเรียกโปรแกรมขึ้นมาใช้งาน เท่านั้นเอง เราก็สามารถมี Saved Password ใน Saved Session ได้อย่างปลอดภัยแล้ว
 
โลกนี้ยังไม่มีใคร Reverse Engineer AES ได้นะครับ ที่เห็นแกะกันได้ก็แค่มาแงะตรงขบวนการของซอฟต์แวร์ที่ใช้ Encrypt AES เท่านั้นเอง แต่การย้อนศรจาก Cipher กลับไปหา Plain Text นั้น ยังใช้เวลาระดับปีและ Process Power และพลังงานไฟฟ้ามหาศาลในอัตราส่วนที่ไม่คุ้มจะทำครับ 
 
แค่ Master Password ใส่ให้ WinSCP ก็ปลอดภัยมาก ๆ แล้วครับ รีบไปทำกันนะครับ…
 
แล้วฝากไปคิดเพลิน ๆ เรื่อง Weakest Link ครับ มีซอฟต์แวร์อะไรอีกที่เก็บ Password สำคัญ ๆ ของระบบเอาไว้ ซึ่งสิ่งนั้นสามารถ Decrypt Password กลับมาเป็น Plain Text ได้ ไอ้นั่นแหละครับ มันคือ Weakest Link ไปจัดการมันด้วยครับ ถ้าไม่เลิกใช้ ก็หาออพชั่นที่ปลอดภัยกันให้เจอนะครับ
 
 
● ติดตามข่าวสารไอทีหลากหลายเรื่องจากผู้เขียนมือโปรได้ที่  >> https://optimus.co.th/category/knowledge/training-knowledge
 
● หรืออีกช่องทางในแอปพลิเคชั่น Blockdit โหลดแอปพลิเคชั่นได้ที่ blockdit.com พิมพ์ค้นหาคำว่า “Optimus Thailand”