Security Risk : ช่องโหว่ Heartbleed ควรเปลี่ยนรหัสผ่านกันด่วน

มาว่ากันด้วยเรื่อง Security อีกแล้ว … หลังจากเพิ่งเขียนเรื่อง ช่องโหว่ใน ADSL Router ไปหมาดๆ ..  จะพยายามหาเรื่องความปลอดภัยที่ทุกๆคนควรรู้มาอัพเดทกัน

HeartBleed เป็นชื่อบั๊กตัวนึงที่เกี่ยวกับ SSL  ซึ่งชื่อของมันมาจากสิ่งที่เรียกว่า Heartbeat ใน SSL มันคือข้อมูลที่ผ่านการตรวจสอบแล้วและจะส่งไปมาระหว่าง server/client ได้โดยไม่ต้องตรวจสอบอีก (คิดว่าข้ามๆมันไปก่อนดีกว่า 555+)

SSL คืออะไร ?

SSL คือมาตรฐานความปลอดภัย ทำหน้าที่เข้ารหัสข้อมูลระหว่างเครื่องคอมพิวเตอร์ของเรา(รวมถึงมือถือและแทบเล็ต)กับปลายทาง .. ดูได้ง่ายๆว่าเข้าเว็บแล้วมีรูปโลห์เขียวๆหรือแม่กุญแจเขียวๆตรงช่อง URL นั่นแหล่ะ แปลว่าเราใช้ SSL อยู่

ตัวอย่างเช่น เวลาเราคุยแชทกับเพื่อน ถ้าโปรแกรมที่เราใช้มีการเข้ารหัส SSL เวลามีใครดักข้อมูลได้ (ตามทฤษฎี) เค้าก็จะไม่รู้หรอกว่าเราคุยอะไรกัน คนที่ชุมสายโทรศัพท์, ISP หรือตัวกลางอื่นๆ ก็จะไมรู้ว่าเราคุยอะไรกัน นั้นคือ SSL ซึ่งมันทำให้เราปลอดภัย (ปีสองปีก่อน การคุย Whatsapp สามารถแอบอ่านของคนอื่นได้เพียงแค่ต่อเน็ตเวอร์คเดียวกันกับคนคนนั้น เพราะมันไม่ได้เข้ารหัส)

หรืออีกตัวอย่างคือ เวลาเราใช้ E-Banking กระบวนการทั้งหมดจะถูกเข้ารหัส ใครที่อยู่ตรงกลาง ระหว่างบ้านเรา กับ Server ของ Bank ก็จะไม่สามารถอ่านข้อมูลออกว่าเราทำอะไรอยู่ การแอบเปลี่ยนแปลข้อมูลระหว่างทางก็ทำได้ยากขึ้น (ลองคิดภาพว่าถ้าเค้าแก้ได้ เวลาโอนเงิน เค้าอาจจะเปลี่ยนเลขที่บัญชีเป็นของตัวเองก็ได้) … นั่นคือทำไม SSL มันถึงสำคัญ ซึ่งทุกวันนี้ เราใช้ SSL กันเยอะขึ้นมาก หลังจากมีข่าวว่า NSA มีการดักจับข้อมูลนู่นนี่ เว็บส่วนใหญ่เริ่มมีการเข้ารหัสทั้งๆที่เป็นเว็บธรรมดาที่ไม่ได้มีอะไรสำคัญ เพราะความเชื่อมั่นในอินเตอร์เน็ตลดลงไปเยอะมาก มีคนที่พยายามแก้ไขข้อมูลระหว่างทางเยอะขึ้น พยายามแอบอ่านข้อมูลของคนอื่นเพื่อนำไปหาประโยชน์มากขึ้น

ตัวอย่างวิธีดูว่าเว็บไซต์เป็น SSL หรือไม่ และใบรับรองออกโดยใคร (Chrome)

ซึ่งการที่ SSL เนี่ยมันเป็นชื่อเรียกมาตรฐาน เวลาจะใช้งานเหล่า Programmer ก็จะเขียนโปรแกรมตามมาตรฐานนี้ ซึ่งมีโปรเจคที่ชื่อ OpenSSL ที่เป็น Open Source ทำชุดโปรแกรม SSL มาแจกจ่ายให้ใช้กัน ..  แล้วไอตัว OpenSSL นี่มันฮอตฮิตมาก มีเว็บไซต์ใหญ่ๆมากมายเอาไปใช้ (รวมถึง Google และ Facebook)  .. แต่มันดันมีช่องโหว่ Heartbleed นี่อยู่ !!!

กลับมาที่ Heartbleed กันต่อ … บั๊กตัวนี้เพิ่งคนพบเมื่อไม่นานก่อนหน้านี้ มันคือช่องโหว่ใน OpenSSL ทำให้ใครก็ตามสามารถอ่านข้อมูลที่ค้างอยู่บน Server ได้ นั่นหมายความว่า ข้อมูลที่เคยส่งกัน(ที่คิดว่าคนตรงกลางไม่รู้) อาจจะไม่จริง ทำให้รู้ข้อมูลที่ส่งระหว่างกันได้ รวมถึง username และ password ของเราเวลาเข้าเว็บนั้นๆนั่นเอง

ผลกระทบคือ .. username/password ที่เราใช้เข้าเว็บต่างๆอาจจะถูกผู้ไม่หวังดีรู้(ไปแล้ว)ได้ ผลคือเว็บไซต์ต่างๆเริ่มออกมาให้ข้อมูลว่า ช่องโหว่ตัวนี้มีผลกระทบกับเว็บไซต์ตัวเองหรือไม่ ..

สรุปว่า … แนะนำให้เปลี่ยน Password สำหรับเว็บที่มีการใช้ตัว OpenSSL ที่เห็นชัดๆคือ Google/Facebook/Dropbox เริ่มแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านแล้ว รายชื่อเต็มๆของแต่ละอันดูได้ที่นี่ http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/  (ฉบับไทย https://www.blognone.com/node/55250) ดูเหมือน Microsoft และ Apple จะไม่โดนเพราะมีการเขียน SSL ขึ้นมาใช้เอง …  แต่สำหรับผู้ที่ใช้ Password เดียวกันหมดทุกเว็บ ผมเชื่อว่าอย่างน้อย 1 เว็บที่คุณใช้ต้องมี Heartbleed แน่นอน เพราะฉะนั้นแนะนำให้เปลี่ยนครับ

อันนี้เป็นการ์ตูนที่เล่าถึงช่องโหว่ ว่าสามารถอ่านข้อมูลคงค้างใน Memory ของ Server ได้ยังไง https://xkcd.com/1354/

ปล.อย่าลืมสังเกตุก่อนนะ ว่าเว็บนั้นๆแก้ไขเรื่องนี้แล้ว เพราะว่าถ้าเค้ายังไม่แก้ ต่อให้เปลี่ยน Password ไปมันก็ยังหลุดได้อยู่ดี !!

ใครสงสัยว่าเว็บไหนมีช่องโหว่นี้อยู่ .. ลองตรวจสอบได้ที่นี่ http://filippo.io/Heartbleed/

สำหรับใครที่จำ Password ของตัวเองไม่ค่อยได้ ลองใช้โปรแกรม KeePass ดู เป็นโปรแกรมช่วยเก็บ Password .. ถ้าใช้ Password ไม่เหมือนกันในแต่ละเว็บได้ จะดีมาก

Security Risk : ใครใช้ Router ที่แถมมากับ ISP โปรดอ่าน

ถ้าใครอ่านข่าว IT อยู่บ้างจะเห็นว่าช่วงที่ผ่านมามีข่าวเรื่องผู้ใช้งานอินเตอร์เน็ตในไทยโดยแฮค Router เพื่อแก้ไข DNS (ข่าวจาก Blognone)

เล่าสั้นๆก็คือ มีผู้ไม่ประสงค์ดีเข้ามาแก้ไข DNS ใน Router เรา ส่งผลให้เมื่อเราเข้าบางเว็บไซต์ (เช่น Google.com / Youtube.com)  Router ตัวนี้จะส่งเราไปยังเว็บไซต์ปลอม เพื่อดาวโหลดซอฟท์แวร์ไวรัสอีกที โดยหลอกเราว่า Adobe Flash บนเครื่องเก่าเกินไปให้ลงตัวใหม่ (ซึ่งเป็นไวรัส) หรืออีกกรณีที่เจอคือเมื่อเข้าเว็บแล้วจะถูกส่งไปหน้าเว็บอื่นก่อนเพื่อให้คลิกโฆษณาก่อนที่ส่งไปเว็บจริงๆที่เราต้องการ หรือใครมีอาการที่เข้าเว็บที่บ้านแล้วแปลกๆในขณะที่ที่ทำงานไม่เป็น และที่บ้านยังใช้ Router จาก True/Tot/3bb อยู่ ให้สันนิษฐานไว้ก่อนเลยว่าโดนแล้ว

 

ปัญหานี้ส่วนใหญ่เกิดได้จาก 2 กรณีใหญ่ๆคือ

1. ใช้รหัสผ่านของ Router เป็นค่าเริ่มต้นจากโรงงาน โดยส่วนใหญ่ Router ที่แถมมาตอนติดตั้งเน็ตจะเป็น Password เหมือนๆกัน tot เอย admin เอย router เอย … บางคนไม่รู้ด้วยซ้ำว่า Router ต้องตั้งค่าความปลอดภัยอะไรบ้าง ข้อนี้สามารถแก้ได้ง่ายได้ ดังนี้

  • เข้าไปยังหน้าตั้งค่า Router ผ่านทางหน้าเว็บ โดยส่วนใหญ่จะเป็น  http://192.168.1.1 หรือไม่ก็ http://192.168.0.1 แล้วก็ใส่ User / Password ที่ตั้งค่ามาจากโรงงาน ตัวอย่างเช่น Router TPLink ที่แถมมากับ True Internet จะเป็น User admin / password admin
  • เมื่อเข้ามาได้ก็เข้าไปที่หน้า Administration เปลี่ยนรหัสซะ เป็นอันจบ …
  • เรื่องวิธีเปลี่ยนรหัส น่าจะหาอ่านได้ทั่วๆไป search ด้วย Keyword “วิธีเปลี่ยนรหัส+router”  อันนี้เป็นวิธีเปลี่ยนรหัส Router ของ True http://support2.truecorp.co.th/detail.aspx?document_id=377
Default Password ของ Router มีอยู่ในหน้า Support ของ True

 

2. Router ที่ใช้อยู่มีช่องโหว่ด้านความปลอดภัย ซึ่งส่วนใหญ่จะเป็น Router ที่แถมมาจากตอนติดอินเตอร์เน็ตอีกเช่นกัน ข้อนี้แหล่ะที่อยากจะเขียนถึงในวันนี้ ช่วงโหว่อันนี้ค่อนข้างร้ายแรง ชนิดที่ว่าต่อให้เปลี่ยนรหัสเป็นรหัสยากขนาดไหน ก็ไม่มีผล เพราะรหัสสามารถถอดกลับมากได้อยู่ดี ช่องโหว่นี้ถูกเรียกกันว่า Rom-0

Android App : aCar

บล็อกที่แล้วเขียนเรื่องผลลัพธ์ทีได้ของโปรแกรมไปก่อนแล้ว .. คราวนี้ลองมาดูตัวแอพ aCar เองบ้าง ว่าทำอะไรได้บ้าง

แอพ aCar ตามชื่อเลย ก็ไว้เก็บข้อมูลของรถเรา รองรับรถหลายคัน (แต่ยังไม่รองรับหลายคนใช้รถคันเดียว)  แต่เวอร์ชันที่ใช้อยู่เป็นเวอร์ชัน Pro เลยจำไม่ได้ว่าตัวฟรีมันมีอันไหนที่ใช้ไม่ได้บ้าง หลักๆน่าจะเป็นแค่เรื่อง Backup ข้อมูลมั้ง

 

สิ่งที่แอพสามารถทำได้คร่าวๆ และเห็นว่ามีประโยชน์ คือ

– บันทึกค่าใช้จ่ายที่เกิดขึ้นทั้งหมด ทั้งค่าน้ำมัน ค่าซ่อม เข้าศูนย์ โดยเวลาเติมน้ำมันมีข้อมูลสำคัญที่ต้องกรอกคือ เลขไมล์ ราคาน้ำมัน แล้วก็ปริมาณน้ำมันที่เดิม กรอกไปซักพักจะเริ่มเห็นสถิติ

– แอพสามารถเดาว่าจะต้องเติมน้ำมันอีกทีเมื่อไหร่ได้ด้วยโดยดูจากข้อมูลเก่าๆ  แต่เอาเข้าจริงๆ ดูเกจ์น้ำมันในรถเองจะง่ายกว่านะ

aCar-005   aCar-006

– แอพสามารถคาดคะเนอายุการใช้งานของอะไหล่แต่ละชิ้นได้ สามารถเตือนให้เอารถเข้าศูนย์ได้  (เดือนได้ทั้งจากระยะเวลา / ระยะไมล์ที่วิ่ง)

– ฟีเจอร์ที่สำคัญคือบอกสถิติที่ผ่านมา ทั้งอัตราสิ้นเปลืองเชื้อเพลิง (ต่อวัน ต่อเดือน) ราคาน้ำมัน cost/day บอก Total running cost ด้วย เห็นแล้วตกใจว่าใช้รถนี่เปลืองเงินขนาดนี้เลยหรือนี่

– อีกอันนึงที่จดแล้วอุ่นใจคือ ตอนเต็มน้ำมันจะให้กรอกปั๊มที่เดิมด้วย (ใช้ GPS ดึงข้อมูลปั๊มจาก Foursquare) เวลาเติมปั๊มที่ไม่คุ้นก็จะได้อุ่นใจว่าล่าสุดเติมปั๊มไหน มีปัญหาขึ้นมาจะได้มีข้อมูล

สถิติจากรถ Suzuki Swift

หลังจากใช้เจ้า Suzuki Swift (รุ่น 1500 cc ปี 2011) มาได้สองปี กอรปกับใช้โปรแกรม aCar ที่ใช้จดข้อมูลการเติมน้ำมันควบคู่ไปด้วย .. และนี่เป็นผลลัพธ์จากการเก็บข้อมูลมาปีกว่าๆ .. จากเดือน พ.ย.  2012  ถึงปัจจุบัน (ก.พ. 2014)

จริงๆตัวแอพเองก็มีสถิติให้ดูระดับนึง แต่สถิติที่โพสต์นี้ทำโดย export ข้อมูลออกมาเป็น csv ไฟล์ แล้วเอาเข้า Excel พลอตการฟเองตังหาก .. เอาไว้ดูคร่าวๆ

กราฟแสดงอัตราสิ้นเปลืองเชื้อเพลง .. อยู่ที่ประมาณ 11.5 กิโลเมตร / ลิตร

New Battery for Thinkpad X201i

หลังจากแบตเตอรี่โน๊ตบุคอยู่ได้ไม่ถึงชั่วโมงมาพักใหญ่ .. เลยตัดใจสั่งแบตก้อนใหม่มา เพราะยังไม่อยากซื้อเครื่องใหม่

จริงๆมีแผนจะซื้อ PC ไว้เล่นเกมด้วยแหล่ะ เลยกะว่ากล้อมแกล้มใช้ Notebook ตัวนี้ไปก่อน แถมจถ้าะสั่งแบตของเจ้าอื่นก็กลัวมันระเบิดใส่เอา เลยจบด้วยแบตแท้จากศูนย์ IBM (จริงๆควรจะเป็น Lenovo นะ)

ตอนแรกกะว่าจะสั่งก้อนใหม่แบบ 9 Cell จะได้อยู่ได้นานๆหน่อย (ที่ติดมากับเครื่องเป็น 6 Cell) แต่เจอราคาเข้าไปเกือบๆ 8 พัน .. รับไม่ได้ แพงเกิ๊น เลยจัด 6 Cell เท่าเดิม เข้าใจว่าที่มันแพงขนาดนี้ก็เพราะมันตกรุ่นแล้วมั้ง ถ้าเป็นรุ่นที่ยังขายอยู่อย่าง x230 ไม่น่าจะแพงเท่าไหร่ (มั้ง)

การสั่งแบตของแท้จาก IBM Thailand เป็นอะไรที่วุ่นวายมาก .. คือต้องติดต่อส่วนที่เรียกว่า Part Sale ซึ่งขายอะไหล่ แต่ส่วนนี้ดันอินดี้มาก คือไม่มีการหาข้อมูลใดๆให้ลูกค้าทั้งสิ้น คนซื้อต้องไปหารหัสอะไหล่ที่เรียกว่า FRU มาเอง คือต้องโทรไป Technical  Service ก่อน เพื่อหาว่าอะไหล่ที่จะซื้อมี FRU เป็นอะไร ถึงจะคุยกับ FRU รู้เรื่อง

ตอนที่จะสั่งแบต 9 Cell นี่เกือบจะดราม่า เพราะ Technical ไม่สามารถหา FRU ให้ได้ เราก็ไม่รู้ สรุปว่าต้องเมลเข้าไปแล้วก็เค้าไปไล่ส่งต่อกันในบริษัทเอาเอง .. #โครตจะการเมือง สุดท้ายได้ราคามาแพงโครต ก็ไม่สั่งอยู่ดี .. ฝ่าย Part sale แกถึงขั้นใส่เบอร์โทรของ Technical service ไว้ใน Mail signature คือแกเป็นฝ่ายขายจริงจัง

สรุปว่าพอสั่งแบต 6 Cell ไปเค้าบอกต้องรอประมาณ 30 วัน .. แถมไม่มีบริการจัดส่ง เลยต้องเดือดร้อนเพื่อนแถวนั้นไปเอาให้อีก .. 🙂

 

สรุป เสียตังค์ไปอีก 4 พันกว่าบาท .. ต่ออายุโน๊ตบุคไปได้อีก … กี่วันวะเนี่ย

Scroll to top