ทำอย่างไรถึงเราจะปลอดภัยจากโลกออนไลน์
จากข่าวในช่วงนี้ที่มีบอกว่า เสียบ USB แล้วโดนดูดเงินออกจากธนาคารหมดเลย จากในมุมเราที่ออกแบบ Firewall ฟังครั้งแรกคือ เชี้ย Fantasy Fanta น้ำส้ม สัส ๆ เลย อ่านข่าวแต่ละอันแล้ว นึกว่าอ่านนิยาย ทำไมมันดูง่ายอะไรขนาดนั้น ระบบที่ใช้ไม่ปลอดภัยจริง ๆ เหรอ แล้วเราจะป้องกันตัวเองได้อย่างไร วันนี้เราเอาเรื่องนี้มาเล่ากัน
TLDR แบบสั้น ๆ ตรงๆ; อีสายบ้านั่นมีจริง แต่ราคาสูงกว่าสายปกติ ทุกวันนี้สายเส้นละไม่กี่บาทพวกแกยังไม่ซื้อกันเลย ถ้าเขาจะเอาสายมาหลอกขายแก เขาเอาเวลา กับ เงินไปหลอกคนอื่นที่เงินเยอะ หรือมีอะไรดีมากกว่ามั้ย.... สั้น ๆ คือ แก ไม่ได้ รวย โอเค๊
USB ดูดเงินออกจากธนาคารได้จริงดิ ?
เอาแบบนี้ก่อนนะ ในความเป็นจริง ก็ต้องบอกว่า จะบ้าเหรอ !!! USB อะไรมันเก่งขนาดนั้น แต่ถามว่า ด้วยวิธีการหลาย ๆ อย่าง เช่น การทำ Screen Recording หรือก็คือ การอัดหน้าจอ หรือจะเป็น การทำ Keylogger สำหรับการดูดข้อมูลที่เราพิมพ์เข้าไป และอาจจะมีพวก การเข้าถึงข้อมูลต่าง ๆ ที่อยู่ในเครื่อง เช่น พวก Note และ ข้อมูลจากใน App ต่าง ๆ ได้
หลังจากได้ข้อมูลจากกระบวนการเหล่านี้แล้ว เขาก็จะเอาไปเข้าถึงบัญชีของเรา เพื่อทำการ ขโมยเงิน หรือ การขโมยตัวตน (Identity Theft) อะไรก็ว่ากันไป เราเคยเขียนเรื่องพวกนี้ไว้แล้ว ลองกลับไปย้อนอ่านกันได้
ดังนั้น ในความเป็นจริง USB บ้านั่น มันไม่ได้เก่งขนาดนั้น แต่มันอาศัยกระบวนการ และ เทคนิคอื่น ๆ ร่วม ในการที่จะทำให้มันเกิดขึ้นจริงได้
แล้วระบบของเราไม่ปลอดภัยเหรอ ถึงป้องกันไม่ได้ ?
ไปที่คำถามที่น่าสนใจมาก ๆ ว่า ทำไมระบบถึงปล่อยให้ข้อมูลเหล่านี้มันหลุดออกไปได้ละ แปลว่า มันไม่ปลอดภัยงี้เหรอ หรือหนักเลยคือ บอกว่า Android มันเป็น Open-Source มันจะไม่ปลอดภัย สั้น ๆ ของคำถามนี้คือ ไม่จริง
พวกระบบปฏิบัติการที่เราใช้งานกันในปัจจุบัน มีการออกแบบ และ การ Implement พวก Security Measure หลาย ๆ อย่างลงไปเยอะมาก ประกอบกับ มีการ Contribute ของ Programmer เยอะมาก ๆ เพื่อการแก้ไขข้อบกพร่อง ทำให้สามารถแก้ไขได้ค่อนข้างไวมาก ๆ (บางตัวเรา กำลังคุยหลัก ชั่วโมง เท่านั้นเอง) ทำให้เมื่อค้นพบช่องโหว่ ก็สามารถทำการแก้ไข และ ปล่อยอัพเดทให้กับผู้ใช้อย่างรวดเร็ว
ตัวอย่างของวิธีการที่นำมาใช้ในระบบสมัยใหม่ ๆ หน่อย เช่น Permission หรือที่เรามักจะเจอกันเวลาเราจะทำอะไรบางอย่างกับระบบ มันจะเด้งขึ้นมาขออนุญาติเราเสมอ หรือกระทั่ง ถ้า App มันอยากจะใช้งาน Hardware อะไร เช่น กล้อง ระบบมันจะไม่ยอมให้ App เข้าถึงกล้องตรง ๆ แต่มันจะถามเราก่อนว่า เราจะให้ App ตัวนี้เข้าถึงหรือไม่ ตัวอย่างด้านบนเป็นของฝั่ง iOS ที่ขอใช้พิกัดจาก GPS แม้มันจะเป็น App จาก Apple เองมันก็ต้องยังต้องขอ
หรือในฝั่งของ Android เอง มันก็จะ List มาเลยว่า App ตัวนี้ มันต้องการ Permission อะไรบ้าง ถ้าเราไม่ให้ โดยทั่ว ๆ ไป App มันก็จะเข้าถึงไม่ได้เลย
ดังนั้น ส่วนใหญ่แล้ว เราต้องบอกเลยว่า มันเกิดจาก ผู้ใช้งานเอง เท่าที่เราเจอมาหลาย ๆ เคส เราพบว่า ผู้ใช้มักจะไม่อ่านสิ่งที่อยู่บนหน้าจอให้ละเอียดจริง ๆ กด Next, Allow และ Install กันอย่างเดียวเลย ถ้าเราเรียนเข้าไปมันจะแบ่งออกเป็น 2 ประเภทด้วยกันคือ Skill-Based Error และ Decision-Based Error คือ ความผิดพลาดที่เกิดจากความสามารถของผู้ใช้เอง และ ความผิดพลาดที่เกิดจากการตัดสินใจพลาดของผู้ใช้ ซึ่ง Security Measure หลาย ๆ ตัวที่ออกมา ส่วนนึง ก็ออกมาเพื่อแก้ปัญหาพวกนี้ด้วยเช่นกัน เช่น Permission ที่เราพูดถึงก่อนหน้า ก็เป็นอีกตัวอย่าง
แต่ที่เราบอกว่า ระบบมันค่อนข้าง ปลอดภัย ไม่ได้บอกว่า เราจะไม่โดนเลยนะ แต่แค่บอกว่า พวกช่องโหว่ ที่เรา ค้นพบแล้ว ส่วนใหญ่จะถูกแก้ออกหมดแล้วละ แต่มันก็จะมีช่องโหว่ที่เรายังไม่ค้นพบด้วยเช่นกัน ซึ่ง Hacker อาจจะเจอก่อน แล้วเก็บไปขายเป็น Zero-Day ก็ว่ากันไป
แล้วเราจะทำอย่างไรถึงจะปลอดภัย "ที่สุด" จากการโจมตี
คำตอบสั้น ๆ คือ มี และ ไม่มี คือมันมีวิธีป้องกันบางส่วน แต่ไม่มีแบบ 100% แน่นอน อันนี้เราต้องเข้าใจตรงกันก่อนนะ การทำงานของพวกเรา มันก็เหมือนกับ แมวจับหนู หนูมันก็หาวิธีใหม่ไปได้เรื่อย ๆ เราที่เป็นแมวก็ต้องหาวิธีการจัดการกับหนูไปเรื่อย ๆ ไม่มีวันจบเช่นกัน แต่เราสามารถทำสิ่งที่เราทำได้ เพื่อหลีกเลี่ยงให้ได้มากที่สุดละกัน
สิ่งแรก คือ การอ่าน และ ตั้งสติ ก่อนกดทุกครั้ง ความพลาดที่เราเจอเยอะมาก ๆ จากเคสที่เกิดขึ้นคือ การกดพลาด โดยเฉพาะจาก การตัดสินใจ ที่ผิดพลาด คือ อาจจะมีความรู้บ้างนะว่า อะไรควรกด หรือไม่ควร แต่อาจจะไม่ได้อ่านให้ละเอียด แล้วกดให้ไปเฉย เรายกตัวอย่างง่าย ๆ ที่คนมักจะมองข้ามไป เช่น ในพวก Phishing Mail ส่งมาบอกว่า Amazon Prime เรากำลังจะโดนระงับ เพราะเราไม่ได้จ่ายเงิน แล้วมี Link ให้เราเข้าไปจ่ายเงิน การที่เราไม่อ่านให้ละเอียด และไม่ตั้งสติ เราก็คือ เห้ยยย เกิดอะไรขึ้นวะ ทำไมมันตัดเงินไม่ได้เหรอ หรือยังไง ทั้งที่จริง ๆ แล้ว เราอาจจะไม่มี Account ของ Amazon Prime ด้วยซ้ำ แน่นอนว่าความขาดสติของเราก็กดเข้าไปในลิงค์ที่ส่งมาในอีเมล์ แล้วพาไปหน้าที่ Hacker สร้างไว้หลอก เพื่อให้เรากรอกข้อมูลทางการเงิน ก็เรียบร้อยโรงเรียนโจรไปสิครับ เขาก็แค่เอาข้อมูลที่เรากรอกนี่แหละไปซื้อของได้ตรง ๆ แบบชิว ๆ เลย
หรืออีกตัวอย่างที่ชัด ๆ เลยคือ สมมุติว่า มันมีอีเมล์จาก ธนาคารมา เป็น Link ให้เราโหลด App เพื่อติดตั้ง และใช้เข้า Internet Banking ถ้าเราอ่านคร่าว ๆ ก็คือ เออ สะดวกดีเนอะ กดเข้าไป และ ติดตั้งเลยค่าาา ถ้าเป็นของจริงก็ดีไป แต่ก็.... นะ ส่วนใหญ่ก็ไม่รอดทั้งนั้น แต่ระบบส่วนใหญ่เดี๋ยวนี้มันจะไม่ยอมให้เราติดตั้ง App นอก Store ของตัวเอง แน่นอนว่า ในคู่มือ มันก็จะให้เราไปปลดระบบตรงนี้ออกไป อ๋าาาาาาาา นั่นหนึ่งดอกแล้วนะ
แผนของพี่คือทำให้ชีงง เข้าไปอีก ถ้าเราดูที่ชื่อผู้สร้าง เขียนว่า K-Plus และชื่อผู้พัฒนาเขียนว่า Kasikornbank PCL ทุกคนคิดว่ายังไง มันดูจริงมั้ย มองผ่าน ๆ เราว่าถ้าไม่สังเกต ก็คือ ไม่รู้เลยนะว่า นั่นอะ ของปลอมไปเลย เพราะชื่อจริง ๆ มันคือ K PLUS เป็นตัวใหญ่หมด และไม่มี Dash คั่นด้วย กับชื่อนักพัฒนา ต้องเป็น Kasikornbank PCL นะ ดูที่ ตัว o ของที่เอามาหลอกมันเป็นเลข 0 นะ บางที Font มันก็หลอกตาเราได้ ถ้าเราไม่สังเกต เรียกว่าเป็นมุขตื้น ๆ โง่ ๆ ที่หลอกคนได้เยอะมาก ๆ จริง ๆ ทำให้พวกนี้เขาไม่ต้องไปปลอมพวก Certificate อะไรเลย เขาก็สร้างอันใหม่ เสมือนว่า ทีมเราชื่อนี้จริง ๆ ก็จบแล้ว เพราะชื่อมันไม่ซ้ำกันนิ
ทำให้นำไปสู่ข้อต่อไป คือ เวลาเราจะติดตั้ง App อะไรก็ตาม แนะนำให้ติดตั้งจาก Store ของระบบเราเท่านั้น เช่น iOS ก็ผ่าน App Store และ Android ผ่าน Play Store เท่านั้น เพราะระบบ Store พวกนี้ มันมีการกรองอยู่แล้วในระดับหนึ่งเลย อาจจะมีเล็ด ๆ บ้างแต่โดยรวมแล้ว ถือว่า มั่นใจได้มากกว่า การติดตั้ง Application จากภายนอกเยอะมาก ๆ ข้อดีอีกอย่างของ Store คือ เราสามารถเช็คอ้อม ๆ ได้จาก พวกจำนวนพวก Rating ต่าง ๆ ส่วนนึงคือจำนวน อาจจะมีเยอะมาก ๆ โดยเฉพาะ App ที่เราใช้กันเยอะ ๆ พวกธนาคารอะไรพวกนั้น แต่ถ้าสิ่งที่มัน Comment มันมาซ้ำ ๆ กัน แปลก ๆ เราว่าไม่น่าใช่ละ อาจจะติดต่อกับเจ้าของ App ผ่านช่องทางที่มั่นใจเพื่อเช็คอีกทีได้
ต่อไปที่ อย่าปิดระบบรักษาความปลอดภัย ถ้าไม่จำเป็น อันนี้เป็นอีกจุดที่เราเจอกันเยอะมาก ๆ โดยเฉพาะใน Android ที่มันมีตัวเลือกให้เราเปิดปิดอะไรได้หลายอย่างเกินไป เช่น การอนุญาตให้ติดตั้ง App จากภายนอก Store ได้ หรือถ้าเป็น Laptop หรือ Desktop เราจะชอบปิดพวก Firewall และ Antivirus บนเครื่อง เพราะมันชอบไปกวนโปรแกรมนั่นนี่ที่เราใช้งาน แต่กลับกัน มันก็ทำให้ด่านหน้าที่คอยป้องกันเรา หายไปในพริบตา เปิดประตูเมืองกันง่าย ๆ เลย
นำไปสู่ข้อต่อไปคือ หมั่น Update Software อย่างสม่ำเสมอ เพราะช่องโหว่ใหม่ ๆ มันเจอกันทุกวันจริง ๆ นักพัฒนาก็มีการ Patch แก้ไข ปล่อยออกมาเป็น Update ดังนั้น การ Update ส่วนนึงอาจจะมี Feature ใหม่อะไรไปอันนั้นไม่พูดถึง แต่ส่วนสำคัญคือ มันปิดช่องโหว่ที่จะเข้ามานี่แหละ ถ้าเรา Update อย่างสม่ำเสมอ คนที่โจมตีเราก็ไม่สามารถใช้ช่องโหว่เก่า ๆ ที่ปิดไปแล้วมาใช้กับเราได้อีก ลดโอกาสไปได้เยอะมาก ๆ (เพราะพวก Zero-Day แพงมาก ๆ ถ้าซื้อมาใช้กับพวกเราโดยเฉพาะนี่ โหดนะ เราต้องเป็นอะไรที่สำคัญมาก ๆ)
และข้อสุดท้าย เอาให้เข้ากับสถานการณ์วันนี้คือ ใช้อุปกรณ์เสริมของแท้ ที่มาจากผู้ผลิต หรือ ใช้จากผู้ผลิตที่เราไว้ใจได้ และซื้อจากร้านที่มั่นใจด้วยนะ เช่นของฝั่ง Apple เอง เราก็อาจจะสั่งจาก Apple Online Store หรือเดินเข้าไปซื้อจาก Apple Store โดยตรง (Icon Siam และ Central World) หรือ เราอาจจะซื้อจากร้านที่ได้รับการแต่งตั้งอย่างเป็นทางการเช่นพวก iStudio อะไรพวกนั้นก็ได้เหมือนกัน ฝั่ง Android เอง ก็อาจจะไปซื้อจากพวกร้าน Gadget ต่าง ๆ เยอะมาก ๆ เลยทีเดียว ยอมจ่ายในราคาที่อาจจะแพงกว่าสายโง่ ๆ ทั่วไป ได้เรื่องของความปลอดภัย ทั้งความปลอดภัยทางไฟฟ้า และ ทางข้อมูลของเราเองอีก ยังไม่นับว่าอายุการใช้งานอาจจะดีกว่าของโง่ ๆ ไม่มีมาตรฐานก็ได้นะ
สรุป
การขโมยเงินที่เกิดขึ้นถามว่า จากเครื่องมือที่มี ณ ปัจจุบันนี้ ทำได้จริงมั้ย ก็ต้องบอกว่า จริง แต่มันไม่ได้อยู่ ๆ เสียบ USB แล้วจะทำได้เลย มันอาศัย เรา ที่เป็นผู้ใช้นี่แหละ ทำให้มันผ่านเข้ามาได้ ดังนั้น ถ้าเรามีการระมัดระวังตัวเรา ABC Always-be-careful เราก็จะปลอดภัยมากขึ้นจาก 5 Tips ง่าย ๆ ที่เราเล่ากันในวันนี้ คือ อ่านและตั้งสติให้ดีก่อนกด, อย่าติดตั้ง App จากภายนอก Store, อย่าปิดระบบรักษาความปลอดภัยในเครื่อง, Update Software อย่าสม่ำเสมอ และ ใช้อุปกรณ์เสริมของแท้ ก็น่าจะเพียงพอกับการป้องกันภัยส่วนใหญ่ได้หมดแล้วละ สำคัญมาก ๆ คือ ข้อแรก อย่าพึ่งตกใจ ใจเย็น ๆ อ่านก่อน มันไม่ไปไหนหรอก