วิธีการแก้ NAS Buffalo Linkstation Duo ให้รองรับ SMB2

ใช่แล้วครับ Buffalo LinkStation Duo ตัวที่ซื้อมาเมื่อ 10 ปีก่อนนั่นแหล่ะ พักหลังนี่เอามาเป็น NAS สำหรับเก็บ Video จากกล้องวงจรปิด (Xiaomi)

ปกติพวกกล้องวงจรปิดพวกนี้มันเก็บ SD Card ไว้ในตัวเอง แปลว่าถ้าใครซักคนขโมยกล้องไปด้วย เราก็เสียวิดีโอทีอัดไว้ไปด้วย เราเลยให้มันส่ง video มาเก็บไว้บน NAS ด้วย นอกเหนือจากเก็บไว้บนตัวเอง … แต่วันนี้ไม่ได้มาแชร์เรื่องนี้

เรื่องที่ตั้งใจจะแชร์คือ ตั้งแต่ปี 2016, Microsoft แนะนำให้เลิกใช้โปรโตคอล SMB1 พูดง่ายๆก็คือโปรโตคอลที่ Windows ใช้ในการ Share file บน Network นั่นแหล่ะ เพราะมีปัญหาเรื่องความปลอดภัย .. หลายปีผ่านไป Windows 10 เลยปิดการใช้งาน SMB1 เป็นค่าเริ่มต้น

ซึ่งนั่นทำให้เกิดปัญหา เพราะว่าตัว LinkStation ดันมีแค่ SMB1 พอฝั่ง Windows ปิด เลยทำให้เข้า Sharepath ไปหา NAS ไม่ได้ ความยุ่งก็เลยเกิด … หลายๆคนเลยไปเปิด SMB1 กลับมาแทน ซึ่งส่วนตัวไม่ค่อยเห็นด้วย เลยลองไปหาข้อมูล เพื่อจะ Enable SMB2 บนตัว NAS แล้วก็พบว่าจริงๆ SMB engine บนตัว NAS (ซึ่งเป็น unix based) เนี่ย รองรับ SMB2 นะ แต่มีค่า configuration ที่ไม่ได้ใส่ไว้ เราเลยต้องมาเพิ่มมันเอง

ขั้นตอนที่จำเป็นจริงๆในการทำให้มันใช้ได้ คือ เพิ่ม code 4 บรรทัด สำหรับเพิ่ม configuration ให้กับตัว SMB Engine บน NAS … แต่มันจะก็ใช่ว่าใครๆจะเข้าไปแก้โคดได้นี่นา นั่นคือขั้นตอนที่ทำให้มันยุ่งขึ้น มาลองดูกัน

* หมายเหตุ การแก้ไขระบบนี้อาจจะทำให้ NAS มีปัญหาจนไม่สามารถใช้งานได้ หรืออาจจะทำให้ NAS มีความปลอดภัยลดลง

1. เปิดสิทธิการเข้าไปแก้ไขไฟล์ในระบบ (Enable root access)

  • ดาวโหลดเครื่องมือ

    มีเครื่องมือที่นักพัฒนาทำไว้ สำหรับเปิดให้เราสามารถ remote access (ssh/telnet) เข้าไปที่ NAS ได้ ตัว tool มีการนำมาพัฒนาต่ออีกหลายอัน ตัวที่ผมใช้แล้วสำเร็จคือตัวนี้ ACP Commander (gry.ch) ผมใช้ตัว EXE for Microsoft Windows ทั้งนี้ตัว tool ต้องการ Java Runtime ด้วย อาจจะต้องดาวโหลดถ้ายังไม่มี

    เมื่อดาวโหลดมาแล้ว คลาย zip แล้วสามารถรันโปรแกรมได้เลย acp_commander_gui_156.exe
  • Enable SSH และ ตั้งรหัสผ่าน root
    โดยปกติตัว acp_commander_gui จะสามารถหา NAS ของเราเจอ ถ้าทั้งคู่ต่ออยู่ใน network เดียวกัน สิ่งที่เราต้องทำก็คือ กรอกรหัสของ admin user ซึ่งเป็นตัวเดียวกับ user ที่เราล็อกอินเข้าไป manage NAS นั่นแหล่ะ

    ถ้าสำเร็จ ปุ่ม Enable SSH และ ปุ่ม Set Root PW จะ Enable ขึ้นมาให้เรากด เราก็กดตามนั้นเลย เริ่มจาก Enable SSH แล้วตามด้วย Set Root PW ซึ่งจะมีหน้าต่างขึ้นมาให้เราใส่รหัส root

    เราสามารถทดสอบได้ด้วยการเปิด powershell หรือ cmd แล้วใช้คำสั่ง ssh -l root {ip address ของ NAS} ถ้าเราเข้าได้ก็แสดงว่าเราพร้อมจะแก้ไขไฟล์ล่ะ ถ้ายังไม่ได้ก็ต้องแก้ไขก่อน keyword น่าจะเป็นการ enable root access บน Buffalo LinkStation LS-WXL

2. แก้ไขไฟล์ smb.sh

เมื่อเราพร้อมแล้ว เราก็ ssh เข้าไปที่ NAS ของเรา โดยแนะนำดังนี้

  • backup file เก่า
    เมื่อเรา ssh เข้าไป ปกติเราจะอยู่ที่ home directory ของ user เราก็ควรจะก๊อปไฟล์มาเก็บไว้ กันเหนียวเผื่อเราแก้ผิด ใช้คำสั่งประมาณ cp /etc/init.d/smb.sh .
  • เริ่มแก้ไฟล์
    บน NAS ไม่มี Editor หรูๆอย่าง nano เราก็ต้องใช้ของที่มีคือ vi ที่ติดมากับ NAS (ส่วนตัวจะไม่พยายามลงอะไรไปนอกเหนือจากที่มีอยู่) วิธีการใช้ vi คงต้องไปหาเพิ่มเติมนะครับ อยู่นอกเหนือจากโพสต์นี้

    เริ่มโดย vi  /etc/init.d/smb.sh
    เมื่อเปิดไฟล์มาแล้ว หา function configure() ซึ่งในนั้นจะมีบรรทัดที่เรียก
        /usr/local/sbin/nas_configgen -c samba
        if [ $? -ne 0 ]; then
                echo "$0 configure fail"
                exit 1
        fi

เราต้องแก้ให้เป็นแบบนี้

        /usr/local/sbin/nas_configgen -c samba
        if [ $? -ne 0 ]; then
                echo "$0 configure fail"
                exit 1
        fi

        /bin/sed -i '3i\\
       min protocol = SMB2\\
       max protocol = SMB2\\
       ' /etc/samba/smb.conf

หลักๆคือเพิ่มด้านล่างลงไป ให้มันไปแก้ configuration ของ SMB ทุกครั้งที่มัน start เมื่อเราแก้ไฟล์แล้ว save ออกมาแล้ว เราก็ให้คำสั่ง /etc/init.d/smb.sh reload ให้มัน reload ใหม่ เสร็จแล้วก็ทดสอบว่าเข้า Sharepath จาก Windows ได้มั๊ย

เป็นอันจบสิ้นกระบวนการ ใครมีอะไรสงสัยลองถามมาได้ครับ

Ref:

Life in 2020

สวัสดีปีสิ้นปี 2020 ปีนี้ถือเป็นปีที่ต้องจดจำอีกปีนึง เหมือนตอนพีคตอนนึงของหนังแอคชันเลยทีเดียว โดยรวมคงต้องบอกว่าโคโรนาไวรัสทำให้ชีวิตเปลี่ยนไปพอสมควรเลยทีเดียว

ปีนี้จำอะไรไม่ค่อยได้เท่าไหร่ ขอกลับมาไล่เขียนเป็นเดือนๆดีกว่า ปีหน้าอาจจะลองเขียนทีละเดือนไป น่าจะได้รายละเอียดมากกว่าเขียนทีเดียวตอนสิ้นปี

เดือนมกราคม

  • เริ่มต้นปีด้วยปีด้วยฝุ่น PM 2.5 ที่พีคติดๆกันช่วงหน้าหนาวมาหลายปีแล้ว
  • ฉลองปีใหม่กับแก๊งด้วยร้าน Bitterman ร้านนี้แทบจะเป็นร้านดีติดอันดับต้นๆในลิสต์แล้ว หลังจากสูญเสียเมนู Andaman Prawn ของร้านใต้ตึกไป
  • กลางเดือนมีทริปเชียงใหม่แม่ฮ่องสอน ได้กลับไปปายอีกรอบ ถึงแม้จะเปลี่ยนไป แต่ก็ยังดีอยู่ ได้ไปลีไวน์รักษ์ไทยรีสอร์ทกับปางอุ๋งด้วย ถือเป็น Road trip ที่ดีอันนึงเลย ได้กินเบียร์วุ้นที่รินแบบไม่ให้เป็นวุ้น คือมันดีมาก

เดือนกุมภาพันธ์

  • ไปงานแต่งแคน เป็นงานแรกที่ลังเลๆว่าโควิดจะยังไงดีนะ แต่ก็ผ่านมาได้ด้วยดี
  • ทริปพัทยากับแก๊งม.ปลาย เพิ่มรู้สึกได้ว่าหลานเริ่มโตแล้ว
  • ลองราเมงข้อสอบ(ของไทย)ครั้งแรก ยังไม่เคยไปร้านต้นฉบับที่ญี่ปุ่น ร้านนี้ก็อร่อยดี แต่ร้านในตำนานที่เจอใน foursquare แถวโอซาก้ายังเป็นที่สุดอยู่
  • ดู Parasite ฉบับขาวดำที่ House สามย่านมิตรทาวน์ ครั้งแรกกับหนังแนวนี้ แถมเป็นขาวดำ ที่ House (ที่ระบบเสียด้วย เช็คไม่ได้ว่าเรามีตั๋วมั๊ย) ใส่ mask ดูหนังยาวไป
  • ไปงานปีใหม่บริษัท ที่หลายๆปีจะไปซักครั้งนึง
  • ปิดท้ายเดือนด้วยนัดกินกับเพื่อนแก๊งม.ต้นม.ปลายที่ปาเต๊ะ

เดือนมีนาคม

  • ทริปดูดอกตะแบกกับแก๊ง … ครั้งที่สอง (หรือสาม) ก็ยังไม่เห็นดอกอีกเช่นกัน มันมีจริงๆรึเปล่านะ #พัทยา
  • ลองร้าน Wraptor อาหาร Maxican แถวอารีย์ เพิ่งรู้ว่าเค้าเจ้าของเดียวกันหมดเลยแถบนั้น Wraptor, Cantina, Jim’s
  • ไม่สบาย ไข้ขึ้น จนได้ตรวจโควิด ! จ่ายค่าตรวจไปหกพันกว่าไม่เป็นทั้งโควิด ทั้งไข้หวัดใหญ่ สบายใจล่ะ
  • สถานการณ์โควิดไม่ดีมากๆ เริ่มมีการสังสรรค์กับเพื่อนผ่านวิดีโอคอล สนุกไปอีกแบบ

เดือนเมษายน

  • โควิดยังแย่อยู่เริ่มมีการตัดผมเองเกิดขึ้น
  • ได้เล่นเกมที่ตามหามานาน Shadow Tactics: Blades of the Shogun Badge
  • สงกรานต์ตอนแรกมีแผนจะไปภูเก็ต เจอ lockdown ก็เป็นอันว่าเลื่อนไป
  • Work from home 100%
  • หน้ากากอนามัยแพงมาก พีคสุดอยู่ที่กล่องละ 700 กว่าบาท

เดือนพฤษภาคม

  • กลับมาเล่น DOTA หลังจากเว้นไป 4 ปี
  • ลองไปกิน CoCo ที่เซ็นทรัลลาดพร้าว เป็นมื้อแรกๆหลังโควิดดีขึ้น ไปสองคนคือนั่งคนละโต๊ะ
  • ไปลองร้านอากาศดี แถวๆอารีย์
  • สิ้นเดือนไปนครปฐมแบบไปเช้ากลับเที่ยง
  • สั่งกล้องติดรถยนต์ใน Shopee ไป ปรากฎร้านส่งมาผิดเลยต้องขอคืนเงิน (จนถึงทุกวันนี้ก็ยังไม่ได้ซื้อใหม่เลย)

เดือนมิถุนายน

  • ซื้อ Raspberry Pi มาลองเล่น ลง PiHole บน Docker แถมด้วยลง open-wrt บน Access point Netgear ที่มีอยู่
  • ลองร้านกาแฟใหม่ๆ Roots, A Coffee Roaster by li-bra-ry, Nana Coffee Roasters
  • ลองร้านอาหาร Nice Two Meat U, Kouen ชอบอันแรกมากกว่า
  • แอลกอฮอล์(ฆ่าเชื้อ) เริ่มกลับมาหาง่ายแล้ว

เดือนกรกฎาคม

  • ซื้อคอมใหม่ Surface Book 2 หวังว่าจะอยู่กันยาวๆ
  • Back Project 100W charger + hub ใน Indiegogo รอดูว่าจะรอดมั๊ย กำหนดส่งของมกราคมปีหน้า
  • ได้ลองร้าน % Arabica
  • ไปภูเก็ตช่วงปลายเดือน (เจอร้านโรตีแถวบ้านน้ากินมันทุกวัน)

เดือนสิงหาคม

  • ซื้อ Rubik แบบ 3×3 มาลองเล่น เพื่อจะค้นพบว่า ถ้าไม่มีสูตรเราไม่สามารถแก้มันได้ด้วยตัวเองเลย
  • เอารถไปเติมน้ำยาแอร์ แต่เกือบจะต้องรื้อซ่อมเพราะช่างบอกพัดลมแอร์ไม่หมุน ทั้งๆที่ช่างยังไม่ได้กด a/c – -“
  • ไปลองกาแฟร้าน Tangible ถ่ายรูปเล่นบนสะพานกรุงเทพ
  • ลองกาแฟร้าน Modernism Cafe’ .. สโคนอร่อย
  • เดือนนี้ซ่อมแอร์ที่คอนโด บอร์ดคอมเพลสเซอร์เสีย หลังหมดประกันแค่อาทิตย์เดียว เจ็บใจมาก
วิวจากสะพานกรุงเทพ

เดือนกันยายน

  • ลองร้านใหม่ Gō Coffee & Icē-cream ไอติมอร่อย กาแฟโอเค
  • ไปกิน Cafe Claire แบบบุฟเฟต์ของ Hungry hub
  • ลองกาแฟร้าน Gu Slow Bar รอบนี้ลองแบบกาแฟคั่วอ่อนอีกที ก็ยังไม่ค่อยถูกใจ แถมจอดรถที่ห้ามจอด โดนล็อคล้อด้วย 😂
  • ไปลองร้านกาแฟใหม่ SYN LAB
  • ลองเริ่มสั่งอาหารคลีนมากิน เหมือนจะเป็นครั้งแรกที่ควบคุมอาหารแล้วทำให้น้ำหนักลงได้
  • เดือนนี้มีพี่ที่ทำงานด้วยกันเสีย นอกจากพี่เด่นแล้วนี่เป็นครั้งที่สองที่มีพี่ทีทำงานใกล้ชิดกันต้องจากไป ทำให้รู้สึกว่าชีวิตสั้นจัง อะไรก็เกิดขึ้นได้ตลอดเวลา
  • มีทริปอัมพวากับแก๊งสามช่า

เดือนตุลาคม

  • เล่นเกมใหม่อีกเกมคือ Desperados III แนวเดียวกับตระกูล Commandos และ Shadow Tactics: Blades of the Shogun Badge
  • ทริปกาญจนบุรี เอาโดรนไปแต่ไม่ได้เอาเมโมรีการ์ดไป แย่จัง
  • ลองเล่น Among Us สนุกดี แต่ก็เบื่อง่ายไปนิด
  • ลองกาแฟร้าน Basic แถวอารีย์ จำไม่ได้ว่าดีมั๊ย แต่จำได้ว่าที่จอดรถแคบมาก
  • เดือนนี้เอารถไปทำสีมารอบคันมา น้องดูดีขึ้นเยอะเลย

เดือนพฤศจิกายน

  • ทริปหลีเป๊ะ เป็นการเที่ยวทะเลที่ดีที่สุดในรอบหลายปีเลย
  • ซื้อกล้องก๊อกแก๊กใหม่ด้วย, DJI Pocket 2ม เอาไปเที่ยวโดยเฉพาะ กับเอาไว้ถ่าย Timelapse/Hyperlapse
  • ไปร้านรสดีเด็ดกับแก๊งบุฟเฟต์
  • มีตรวจสุขภาพ น้ำหนักมากกว่าปีก่อน ผลสุขภาพโดยรวมก็แย่กว่าปีก่อนด้วย ปีหน้าต้องน้ำหนักลงกว่านี้
  • ฉีดวัคซีนตับอักเสบบีอีกที หลังพบว่าไม่มีภูมิ

เดือนธันวาคม

  • เริ่มกลับมาดริปกาแฟตอนเช้า
  • เริ่มมี Wave 2 ของโควิดหลังจากที่ดูปลอดภัยมาหลายเดือน
  • เอาโดรนไปซ่อมมา หลังจากตกเมื่อปีก่อน แล้วชนกำแพงไปอีกที ปรากฎว่าอาการดีกว่าที่คิด แทบไม่มีอะไรเเสียหายร้ายแรง น่าจะอยู่กันได้อีกพักใหญ่
  • ปิดท้ายปีด้วยทริปภูเก็ต พาตายายมาพักผ่อนหลังลังเลอยู่หลายวันว่าจะไปไม่ไป

ปีนี้ได้เริ่มเล่นกับ Power BI มากขึ้น ลองเล่น D3.js ก็สนุกดีแต่เหนื่อยหน่อย ลองเล่น Blazor แบบจริงจัง

ปีนี้ปรับมา Sync บัตรเครดิตเข้า Buxfer ทำให้ลงบัญชีง่ายขึ้นเยอะเลย อะไรที่รูดบัตรไม่ได้กรอกเองแล้ว

หลังจากปีที่แล้วเริ่มใช้ 1Password ปีนี้ได้เริ่มใช้ Security Key เป็น 2nd Factor authenticator หลังจากปีนี้มีข่าว data breach บ่อยมาขึ้นเรื่อยๆ

ปีนี้รวมๆแล้วผ่านไปเร็วมาก อาจจะเพราะโควิดด้วยมั้งที่ทำให้อะไรๆเปลี่ยนไป แนวทางการใช้ชีวิตเปลี่ยนไปพอสมควร ปีนี้เหมือนจะรู้สึกได้ว่าลดความสำคัญกับอะไรหลายๆอย่างลง เหลือสิ่งที่เราให้ความสำคัญจริงๆไม่กี่อย่าง

ปีนี้วิ่งน้อยลง หลังจากมีโควิด ก็ตั้งใจว่าจะวิ่งให้ได้ 200 km. ก็ยังทำไม่ได้เลย ขาดไป 4 กิโล

ปีนี้ลองทำวิดีโอมากขึ้น หลังจากที่รู้สึกว่า movement ในวิดีโอมันช่วยให้เก็บความทรงจำได้ดีขึ้น ลองดูว่าจะเป็นไง

ปีหน้าตั้งเป้าว่าจะทำทุกอย่างให้ดีกว่าเดิม เหมือนลึกๆก็รู้ว่าทำได้ดีกว่านี้ … ทำปัจจุบัน สิ่งตรงหน้าให้ดีที่สุดก่อน

Thai Sites in Cit0Days Databreach

เรื่องมีอยู่ว่า … วันก่อน คุณ Troyhunt (ผู้สร้างเว็บ Have I Been Pwned ที่รวบรวมข้อมูลที่โดนแฮก, Data Breach, เอาไว้ให้เราตรวจสอบว่ามีข้อมูลเราหลุดมาจากการที่เว็บที่เราใช้งานโดนแฮคหรือไม่) ได้เปิดเผยถึงการปล่อยข้อมูลที่ถูกแฮคครั้งใหญ่ มากกว่า 226 ล้านรายการ เป็นขนาดกว่า 13 GB

ซึ่งผมเองก็เป็นหนึ่งในผู้ได้รับผลกระทบจากข้อมูลชุดนี้ .. คราวนี้พอดูลงไปในรายละเอียด ก็พบว่ามีเว็บไซต์มากกว่าสองหมื่นเว็บไซต์ที่โดนแฮกแล้วปล่อยข้อมูลออกมา ซึ่งเราเองไม่สามารถบอกได้ว่าข้อมูลชุดนี้นั้นโดนแฮคมาตั้งแต่เมื่อไหร่ และด้วยข้อมูลที่มากขนาดนี้ คุณ Troyhunt ก็ไม่สามารถบอกได้แบบละเอียดว่าข้อมูลของเรานั้นได้หลุดมาจากเว็บไซต์ไหน ทาง Have I Been Pwned ได้บอกเพียงแค่มีอีเมลคุณอยู่ในชุด Cit0days นี่หรือไม่

ทั้งนี้คุณ Troyhunt ได้เผยแพร่รายการเว็บไซต์ที่อยู่ในชุด Cit0Days นี่ออกมา .. นั่นเป็นที่มาของบล็อกนี้นั่นเอง

ผมได้เอาข้อมูลรายการเว็บไซต์ที่คุณ Troyhunt ปล่อยมา มาทำให้ย่อยง่ายแล้วลองดูผลกระทบที่เกิดกับเว็บไซต์ในไทย

ลองมาดูกัน

เมื่อตัดเว็บไซต์ top level domain (.com/.net.org) ออก เพราะเราบอกไม่ได้ว่าเว็บเหล่านั้นมาจากประเทสอะไร เลยมาดูที่เว็บไซต์ที่เป็น Country domain (เช่น .th) ก็จะพบว่า ทั้งจำนวนเว็บไซต์และปริมาณข้อมูลที่หลุด เราก็อยู่อันดับไม่ไกลมาก

กราฟแสดงจำนวนข้อมูลที่หลุดในโดเมนแต่ละประทศ

กราฟแสดงจำนวนเว็บไซต์ที่โดนแฮกในโดเมนแต่ละประทศ

เมื่อเราลองเจาะมาดูที่โดเมนของประเทศไทย (ที่ลงท้ายด้วย .th) ก็จะพบข้อมูลน่าสนใจมากๆว่า เว็บไซต์หน่วยงานของรัฐ (.go.th) และเว็บไซต์สถาบันการศึกษา (.ac.th) นั้นมีจำนวนเว็บไซต์ที่โดนแฮกเยอะอย่างมีนัยยะสำคัญ สองส่วนนี้รวมกันแล้วเกือบๆ 70% ของข้อมูลทั้งหมด

นอกจากวิเคราะห์เว็บไซต์ตามประเภทเว็บไซต์แล้วนั้น เมื่อเราดูข้อมูลจำนวน records ของเว็บไซต์แต่ละอันนั้น สามารถตั้งข้อสังเกตุเพิมเติมได้ดังนี้

เมื่อดูเว็บไซต์ .go.th ที่มีข้อมูลหลุดจำนวน 10,125 รายการ จะพบว่ามีมากกว่า 10 เว็บเลย ซึ่งมันดูพอเหมาะพอเจาะเกินกว่าจะเป็นความบังเอิญ และเมื่อเราเปิดดูเว็บไซต์แต่ละเว็บ จะพบว่า ทุกๆเว็บในนั้น ใช้ผู้ให้บริการเว็บไซต์เจ้าเดียวกัน (จะเห็นผู้ให้บริการ web hosting อย่างด้านล่างสุดของเว็บไซต์)

… ซึ่งทำให้เกิดความเป็นไปได้ว่า ผู้ให้บริการเว็บไซต์เหล่านี้มีโดนแฮก และข้อมูลของประมาณ 10 โดเมนนี้เป็นข้อมูลชุดเดียวกัน … และอาจจะเป็นไปได้อีกว่า มากกว่า 10 เว็บไซต์นี้ใช้ผู้ให้บริการเจ้าเดียวกัน แต่การโดนแฮกต่างเวลา ทำให้จำนวนข้อมูลที่หลุดแตกต่างกันออกไป

ทั้งนี้ ยังพบอีกว่า เว็บไซต์เหล่านี้เกือบทั้งหมด ไม่มีการเข้ารหัสความปลอดภัยระหว่างผู้ใช้งานและเซอเวอร์ (SSL/TLS)

นอกจาก .go.th แล้วนั้น ข้อมูลเว็บไซต์กลุ่ม .ac.th ก็มีลักษณะแบบเดียวกัน คือ มีผู้ให้บริการ web hosting เจ้าใหญ่ๆ ที่ให้บริการกับรร.ขนาดเล็กจำนวนมาก และข้อมูลที่หลุดออกไปนั้นก็มาจากบริการเว็บไซต์สำเร็จรูปเหล่านี้

ยังมีอีกสิ่งที่ที่คิดว่าควรจะต้องพูดถึง … ในข้อมูลที่หลุดในครั้งนี้ เจ้าของข้อมูล ได้มีการระบุด้วยว่าเว็บไซต์นั้นๆมีการเข้ารหัสความปลอดภัย ของรหัสผ่านหรือไม่ ซึ่งดูได้จากตารางข้างล่าง ในคอลัมน์ Hash ซึ่งจะพบว่า มีเว็บจำนวนมากที่ไม่ได้เข้ารหัสผ่านอย่างปลอดภัย ซึ่งหากผู้ใช้งานมีการใช้งานรหัสผ่านเดียวกันในหลายๆเว็บไซต์ ก็จะทำให้เว็บไซต์อื่นๆนั้นสามารถโดนเข้าถึงได้เช่นกัน

เลยมีคำถามว่า ผู้ให้บริการเว็บไซต์สำเร็จรูปราคาถูกนั้น มีความพร้อมในการให้บริการมากน้อยแค่ไหน รวมถึงมีการรักษาความปลอดภัยเพียงพอหรือไม่ เมื่อกฏหมาย PDPA กำลังจะเริ่มบังคับใช้ จะมีใครออกมารับผิดชอบกับข้อมูลที่หลุดออกไปหรือไม่ ?

นอกจากเรื่องผู้ให้บริการเว็บไซต์สำเร็จรูป .. ก็มีเว็บไซต์อีกส่วนนึงที่คิดว่าควรจะถูกพูดถึง

  • Software park swpark.or.th – ส่วนตัวคิดว่าโดนจากเว็บไซต์นี้ เนื่องจากในอดีตเคยมีการลงทะเบียนเพื่อติดต่อเรื่องการอบรมในหัวข้อ IT ต่างๆ ปัจจุบันพบว่าไม่มีการให้ลงทะเบียนหรือสมัครเข้าใช้งานบนเว็บไซต์แล้ว (แต่ก็ยังไม่มี SSL/TLS อยู่ดี
  • มีเว็บในหมวดความมั่นคงด้วย ซึ่งต้องภาวนาให้เป็นเว็บเวอร์ชันเก่า และปัจจุบันได้แก้ไขแล้ว
  • ต้นทางบล็อกของคุณ Troyhunt มีพูดถึงเว็บไซต์ vcanbuy.com ซึงเป็นเว็บ ecommerce สัญญาติไทยด้วย ไม่แน่ใจว่ามีใครเคยใช้บริการหรือไม่
  • เว็บไซต์สาธารณสุขจังหวัดเชียงใหม่ มีข้อมูลหลุดกว่าแสนรายการ … ซึ่งปัจจุบันเว็บไซต์ก็ยังไม่สามาถใช้งานได้ (503 Service Temporarily Unavailable)

ด้านล่างเป็นข้อมูลเว็บไซต์ที่ลงท้ายด้วย .th ทั้งหมด สามารถลองไถๆดูได้ว่ามีเว็บไหนที่ดูคุ้นเคยบ้างหรือไม่ (สามารถเรียงข้อมูลตามแต่ละคอลัมน์ได้ด้วยการคลิกที่หัวตาราง)

เพิ่มเติมตารางข้อมูลเว็บไซต์ที่มีข้อมูลหลุด 100 อันดับแรก

ลองอ่านเพิ่มเติมว่าคุณ Troyhunt ได้ประมวลผมข้อมูลขุดนี้ยังไงได้ที่ Troy Hunt: Inside the Cit0Day Breach Collection

Post cover photo by Arget on Unsplash

เครื่องมือสำหรับตัดต่อวิดีโออย่างง่ายบน Windows ฉบับของฟรี

เพิ่งจะกลับมาจากไปเที่ยว แล้วทำวิดีโอสั้นๆไว้อวดเพื่อน … พบว่าทุกวันนี้เครื่องมือบน Windows นั้นสามารถตัดต่อวิดีโออย่างง่ายใส่เพลงได้แบบสบายๆเลย มาลองดูกันว่าใช้อะไรทำบ้าง

โปรแกรมตัดต่อวิดีโอ: Video Editor

อันนี้ติดมากับ Windows 10 เลย ไม่แน่ใจว่ามาใน Version ไหน แต่ง่ายเพียงพอที่จะลากวางๆ สามรถ trim, split, ปรับความเร็ว, ใส่ตัวอักษร, ใส่เพลง แล้ว export แบบ 1080 สบายๆ ไม่มีลายน้ำให้กวนใจ

กด start พิมพ์ Video Editor ก็เริ่มใช้งานได้เลย

โปรแกรมเลือกไฟล์: Photos

อันนี้ก็ติดมากับเครื่องอีกนั่นแหล่ะ ข้อดีของตัวนี้คือ มันดูรูปจากหลายๆ sub folder พร้อมๆกันได้ สมมติเรามีกล้อง 2 อัน มีโดรน มีอันที่ก็อบมาจากคนอื่น เอามาดูด้วยโปรแกรมนี้อันเดียวเรียงตามวันเวลาที่ถ่าย จะช่วยให้เลือกรูปหรือวิดีโอได้ง่ายขึ้น

ถ้าสังเกตุดีๆจะเห็นว่าโปรแกรม Video editor กับ Photos มันเหมือนจะเป็นตัวเดียวกัน มีปุ่มบนซ้ายให้เข้าจากกันและกันได้

โปรแกรมช่วยแก้วิดีโอสั่น: Microsoft Hyperlapse Pro

อันนี้ต้องไปดาวโหลดเพิ่ม เหมือนจะเลิกพัฒนาต่อแล้วด้วยมั้ง แต่ยังใช้งานได้ดีอยู่ เป็นโปรแกรมช่วยทำ Hyperlapse จากวิดีโอธรรมดา หรือจะเอา Hyperlapse วิดีโอเข้าไปก็ได้ ช่วยทำให้มันสมูทขึ้น ดูแล้วไม่ค่อยอ๊วกเท่าไหร่

ปล. มีคนแจกคีย์ของเวอร์ชันโปรด้วย search หาเอา ง่ายมาก เข้าใจว่าเค้าเลิกขายแล้ว จะซื้อก็ไม่มีที่ให้ซื้อ !

ดาวโหลดได้ที่นี่ https://www.microsoft.com/en-us/download/details.aspx?id=52379

ข้างล่างนี้แถม …

โปรแกรมทำภาพ Panorama 360: Microsoft Image Composite Editor (ICE)

อันนี้ใช้มานานแล้ว ใช้สมัยซื้อโดรนมาใหม่ๆ เพราะรูป 360 ของโปรแกรมที่มากับโดรนจะโดนย่อ ถ้าอยากได้ความละเอียดเต็มๆต้องเอามาทำเอง

พอเอาเข้าโปรแกรมนี้แล้วเอาไปปรับแต่งขนาด (ให้เป็น 2:1) กับเพิ่มค่า Exif นิดหน่อยให้เฟซบุครู้จัก ก็สามารถโพสรูป 360 แบบเต็มความละเอียดขึ้นเฟซบุคได้แล้ว ไว้เล่าขั้นตอนละเอียดๆอีกทีนะ

ตัวโปรแกรมยังรองรับการทำ Panorama แบบต่างๆ มีฟีเจอร์ช่วยเติมเต็มตำแหน่งแหว่งๆด้วย ถือว่าเป็นโปรแกรมที่ควรมีติดเครื่องไว้เลย

ดาวโหลดได้ที่นี่ https://www.microsoft.com/en-us/research/product/computational-photography-applications/image-composite-editor/

เดาการทำงานของข้อความสแปมในไอโฟน

ช่วงที่ผ่านมาน่าจะมีชาว iPhone หลายๆคนได้รับสแปม Messages ซึ่งก็มีการคาดเดากันไปต่างๆนาๆ รวมถึงมีการโย่งไปยังโครงการไทยชนะของรัฐบาลด้วย ซึ่งส่วนตัวผมคิดว่าไม่เกี่ยว ลองมาดูกันว่าทำไม …

เรามาเริ่มทำความเข้ากัน เริ่มจากแอพ Messages ของ Apple เนี่ย ทำหน้าที่สองอย่าง คือ

  1. รับ/ส่ง SMS ของเครือข่ายโทรศัพท์มือถือ
  2. รับ/ส่ง iMessage ซึ่งเป็น Protocol ในการรับส่งข้อความของ Apple จะวิ่งผ่านอินเตอร์เน็ตไปยัง server ของ Apple เพื่อส่งไปยังปลายทาง

ใน iPhone เนี่ย By Default เวลาเราเปิดใช้งาน iMessage .. ตัว iMessage จะทำการ activate หรือเรียกง่ายๆว่าบอกไปยัง Apple ว่าเบอร์โทรนี้ (จาก simcard โทรศัพท์มือถือ) และ email นี้ (จาก Apple Id) ได้เปิดใช้งาน iMessage แล้วนะ

หน้าจอสำหรับ ปิด/เปิด iMessage เข้าไปที่ Settings > Message

พอมีการเปิด app เพื่อจะทำการส่งข้อความ เมื่อเราเริ่มพิมพ์เบอร์หรือเลือก contacts ที่เราจะส่งให้ จะสังเกตเห็นได้ว่าเบอร์โทรเหล่านั้นมีสีเขียวและสีฟ้า โดยสีฟ้าหมายถึงเบอร์นั้นๆได้เปิดบริการ iMessage ไว้ ข้อความที่จะส่งก็จะส่งไปทาง iMessage ในขณะที่ถ้าเป็นสีเขียว แปลว่าเบอร์นั้นไม่ได้ใช้ iMessage อยู่ แปลว่าแอพจะมีการถาม Apple ตลอดว่าเบอร์นั้นๆเปิด iMessage ไว้หรือไม่

นอกจากนี้แล้ว ถ้าเราไปดู Settings ของ iMessage เราจะพบว่าการส่ง Message ออกจาก iMessage นั้น เราสามารถเลือกได้ว่าจะให้ส่งออกจาก

  1. เบอร์โทรศัพท์ (ซึ่งตามตัวได้)
  2. email (ที่ตามตัวได้ยากกว่า)

นั่นแปลว่า ถ้าเราแก้ไข้ iMessage ให้ส่งออกจาก email แล้วเลือกเบอร์ใดๆที่เป็นสีฟ้า (iMessage activated) เราจะสามารถส่งข้อความที่มีผู้ส่งไปหาเบอร์โทรศัพท์ของใครก็ได้ โดยที่ปลายทางไม่รู้เลยว่าเป็นใคร (อาจจะรู้จากอีเมลได้)

ขั้นสุดท้าย จะพบว่าอีเมลที่เอามาส่ง iMessage นั้น สามารถเพิ่มได้ เพราะ iMessage จะเอา email ที่ผู้กกับ Apple Id มาใช้ ซึ่งเราสามารถเพิ่มได้เรื่อยๆ ถ้าเราไปสมัครอีเมลบ้าบอมาอันนึง ผูกเข้าไปกับ Apple Id เอามาส่ง iMessage แล้วลบทิ้ง ก็เป็นคนส่งสแปมดีๆนี่เอง

เนื่องจากไม่สามารถปิด iMessage ไม่ให้รับข้อความจากเบอร์โทร (เพราะโดนสุ่มได้ง่าย) ตอนนี้ก็ปิด iMessage ไปก่อน ปกติก็เอาไว้รับ sms otp อย่างเดียวอยู่แล้ว แทบไม่เคยคุยกับใครในนี้เลย

ยังไม่นับว่า Apple เองเปิดให้เขียนแอพที่ต่อกับ iMessage ได้ด้วย เลยคิดว่าน่าจะทำให้การสแปมทำได้ง่ายขึ้น โดยทำสิ่งที่เล่ามาทั้งหมดผ่านแอพหรือโปรแกรมบน Mac เพราะว่า Mac เองก็มี iMessage ให้ใช้ด้วย

ทั้งหมดทั้งปวดนี้เกิดจากการคิดเอง และได้ลองส่งให้คนใกล้ชิดซึ่งคิดว่าเป็นการทำแบบเดียวกับสแปมที่ว่า ท่านใดมีความเห็นอย่างไร เชืญพูดคุยกันได้

ปล. ไม่แนะนำให้ทำตามใดๆ อาจมีผลกระทบกับ Apple Id ของท่านได้ อาจจะโดนจับได้เช่นกัน

ปลลล. ไม่แน่ใจว่า Facetime จะมีปัญหาแบบเดียวกันไหม เพราะมีการ activate ผ่านเบอร์โทร/email แบบเดียวกัน

Ref: Messages document https://developer.apple.com/documentation/messages

Scroll to top