โปรดระวัง เว็บ Firefox 7 ปลอม

การท่องอินเทอร์เน็ตดูเหมือนจะเป็นสิ่งจำเป็นที่ขาดไม่ได้ในชีวิตประจำวันของพวกเรา ด้วยข้อมูลที่มีอยู่มหาศาล การเชื่อมต่อที่ไร้ขีดจำกัด ยิ่งทำให้การท่องอินเทอร์เน็ตในปัจจุบันจึงต้องอาศัยโปรแกรมเว็บเบราเซอร์ที่ทรงประสิทธิภาพ ไม่ว่าจะเป็น IE, Firefox, Safari หรือ Chrome เองก็ตาม แต่เนื่องด้วยมีข่าวหลายกระแสที่ไม่ค่อยดีนักเกี่ยวกับโปรแกรมเบราเซอร์ที่ติดมากับระบบปฏิบัติการวินโดวส์อย่าง IE อีกทั้งผู้ที่ใช้ระบบปฏิบัติการลีนุกซ์หรือหลงใหลในมนต์เสน่ห์ของโอเพ่นซอร์สก็หันมาเลือกใช้โปรแกรม Firefox เป็นโปรแกรมเว็บเบราเซอร์พื้นฐาน ด้วยเหตุนี้จึงส่งผลให้โปรแกรม Firefox เป็นที่นิยมอย่างรวดเร็ว เมื่อเร็วๆ นี้ทาง Mozilla ได้ประกาศตัว Firefox เวอร์ชั่น 7 ซึ่งเป็นเวอร์ชั่นใหม่ล่าสุด และประกาศให้ดาวน์โหลดได้แล้วอยู่ในเว็บ https://www.mozilla.org/en-US/firefox/fx/ ดังรูปที่ 1

 รูปที่ 1 แสดงหน้าแรกของเว็บไซต์  firefox ของจริง

แต่บทความนี้ไม่ได้ต้องการโฆษณาให้ทุกคนไปดาวน์โหลด Firefox เวอร์ชั่น 7 แต่อย่างไร แต่บทความนี้ต้องการจะแจ้งเตือนให้ทุกคนระวังถึงเว็บไซต์ปลอมที่แอบอ้างชื่อของ Firefox เวอร์ชั่น 7 ผมได้อ่านเจอบทความหนึ่งเกี่ยวกับเรื่องนี้ก็เลยลองเริ่มทำตามดู โดยค้นหาในกูเกิลว่า "firefox7" และพบหน้าเว็บหนึ่งซึ่งมีชื่อว่า http://www.firefox7.org ดังรูปที่ 2 จากนั้นก็ลองคลิกที่ลิงค์เพื่อเข้าไปเยี่ยมชมเว็บไซต์ดังกล่าว ดังรูปที่ 3 ด้านซ้าย ซึ่งจะเห็นว่าหน้าเว็บดังกล่าวมีข้อความบอกให้กดเพื่อดาวน์โหลดโปรแกรม Firefox แต่หากลองคลิกต่อไปจะเป็นการเชื่อมต่อไปยังเว็บไซต์ของ Blogspot (เว็บสำหรับเขียนบล็อก) โดยมีชื่อเว็บว่า http://mozillas.blogspot.com ดังรูปที่ 3 ด้านขวา ซึ่งแน่นอนว่าชื่อผู้พัฒนาผิดอย่างเห็นได้ชัด เนื่องจากมีตัวอักษร "s" เกินมา และทำให้เดาต่อได้อีกว่าเว็บ www.firefox7.org นี้เป็นเว็บเลียนแบบจริงๆ

 

รูปที่ 2 แสดงผลการค้นหาด้วยกูเกิล

 

รูปที่ 3 แสดงการเข้าถึงเว็บ www.firefox7.org

การวิเคราะห์เพิ่มเติม มาลองดูรายละเอียดของเว็บไซต์นี้ เมื่อลองหาจาก Whois ก็จะพบข้อมูลของผู้จดทะเบียนใช้โดเมนนี้ คือนาย Xiaojuan Zhang จดทะเบียนเมื่อวันที่ 22 พฤษภาคม 2554 ดังรูปที่ 4 จากนั้นก็ลองหาข้อมูลของหน้าเว็บ www.firefox7.org ดู ก็พบว่าเซิร์ฟเวอร์นี้รันด้วย Apache บนระบบปฏิบัติการลีนุกซ์ มีหมายเลขไอพีแอดเดรสที่ 97.74.182.149 อัพเดตข้อมูลล่าสุดวันที่ 29 กันยายน 2554 ดังรูปที่ 5

รูปที่ 4 แสดงผลการค้นหาข้อมูลของเจ้าของเครื่อง 

รูปที่ 5 การค้นหาข้อมูลด้วยเว็บ Netcraft 

วัตถุประสงค์ของคนที่สร้างเว็บปลอมนี้เป็นอะไรนั้นยังคงเป็นปริศนาอยู่ เนื่องจากว่าตอนแรกผมคิดว่าเขาจะใช้เว็บนี้หลอกให้คนดาวน์โหลดไวรัสไป แต่เดชะบุญที่ยังไม่พบโค้ดหรือโปรแกรมที่เป็นอันตายให้ดาวน์โหลด ส่วนจะมาขโมยข้อมูลของเรานั้นก็เป็นอีกประเด็นที่นึกขึ้นมาหลังจากนั้น แต่ประเด็นนี้ก็น่าจะผ่านไปเนื่องจากไม่พบลิงค์หรือหน้าเว็บไซต์ที่จะหลอกให้เหยื่อไปกรอกข้อมูลส่วนตัวลงไป แต่จากบางแหล่งข้อมูลแจ้งว่าคนสร้างเว็บเลียนแบบนี้อาจต้องการทำให้เว็บไซต์ของเขามีผู้ค้นหาและเข้าชมมากขึ้นก็เป็นได้ อย่างไรก็ตามก็ยังเชื่อว่าผู้สร้างเว็บนี้ไม่ได้มีเจตนาร้ายแต่อย่างไรเนื่องจากชื่อที่ใช้ในการจดโดเมนนั้นก็มีข้อมูลการติดต่อทั้งหมด ไม่ว่าจะเป็นหมายเลขโทรศัพท์ อีเมล์ หรือข้อมูลอื่นๆ

อย่างไรก็ตามถึงแม้ว่าเว็บไซต์นี้จะไม่มีอันตรายใดๆก็ตาม นอกจากสร้างให้เกิดความสับสนและให้มีคนเข้าเยี่ยมชมเว็บของเขามากขึ้นเท่านั้น แต่หากมีผู้ประสงค์ร้ายบางคนใช้เทคนิคเดียวกันนี้สร้างเว็บโดยฝังโค้ดหรือโปรแกรมอันตรายไว้ ผู้ใช้ที่ไม่ระวังตัวก็อาจจะตกเป็นเหยื่อโดนหลอกให้ดาวน์โหลด หรือในขณะเดียวกันอาจจะโดนหลอกให้กรอกข้อมูลส่วนบุคคลผ่านหน้าเว็บไซต์หลอกลวงก็เป็นได้ ดังนั้นจะต้องใช้ความระมัดระวังชื่อของเว็บไซต์ให้มาก เพื่อไม่ให้ตกเป็นเหยื่อ 

รายละเอียดเพิ่มเติมที่ http://nakedsecurity.sophos.com/2011/09/28/not-the-real-firefox-7-website-be-wary-of-googles-search-results/

บ่นเรื่องไวรัสบนแมคและแนะนำโปรแกรมป้องกัน

ปัจจุบันแมคบุคเป็นที่นิยมอย่างมากในหมู่นักไอทีบ้านเรา เนื่องด้วยมันเท่ห์หรือไม่อย่างไร แต่ด้วยสมรรถนะ ความสามารถ และรูปร่างของมันสวยบาดใจจนทำให้เดินผ่าน iStudio ทีไรเป็นต้องแวะ ไปลูบๆคลำๆมันบ้าง พร้อมกับเอ่ยว่าอยากเป็นเจ้าของสักเครื่องในชีวิต (ฮ่าๆ) แต่ด้วยราคาของเจ้าแมคบุครวมอุปกรณ์จำเป็นทุกอย่าง ต่อประกัน ฯลฯ รวมๆแล้วเราก็จะเสียเงินซื้อโน้ตบุคสเปกไม่สูงมากในราคาครึ่งแสน (โอ้....ม่ายยยยย เอาเงินไปซื้อเครื่องโน้ตบุคปกติสเปกแรงๆได้ 2 เครื่องสบายๆ) แต่อย่างว่าแหล่ะครับ ต่อให้ซื้อมา 10 เครื่อง มันก็ไม่ใช่แมคอยู่ดี ฮ่าๆๆๆ ดังนั้นครึ่งแสนก็ครึ่งแสน เราก็ยังจะเลือกแมคอยู่ดี (ที่พูดมาทั้งหมดนี้ไม่ได้เกี่ยวอะไรกับเนื้อหาที่จะกล่าวต่อไปเลยนะครับ ฮ่าๆๆๆ)

อย่างที่ผมเคยเล่าในตอน "พบม้าโทรจันบนแมคโอเอส (Trojan:BASH/QHost.WB)" เมื่อวันที่ 17 สิงหาคมที่ผ่านมา ว่ามีม้าโทรจันถูกเขียนเพื่อคุกคามระบบปฏิบัติการแมคโอเอส และในบทความนั้นผมได้บ่นว่าถ้าเราไปที่ร้าน iStudio คนขายจะโฆษณาว่าใช้แมคแล้วไม่ต้องกังวลเรื่องไวรัส ผมเองก็เคยถูกคนขายโฆษณาเช่นนี้เหมือนกัน แต่วันนั้นผมได้กระซิบบอกพนักงานว่าที่จริงแล้วมันมีไวรัสแล้วนะ แต่มีไม่เยอะเท่าวินโดวส์ เนื่องจากแมคโอเอส (Mac OS X) มีรากฐานมาจากยูนิกส์ (Unix) ดังนั้นเลยไม่ค่อยมีไวรัส ไม่ใช่ไม่มีเลย เดี๋ยวมีคนติดไวรัสมาแล้วจะมาฟ้องสคบ.นะ (ผมก็แซวคนขายไปเรื่อย) หลังจากที่เริ่มมีโทรจันบนแมคออกมา พวกไวรัส หนอน สปายแวร์ และม้าโทรจันก็เริ่มทะยอยถูกส่งมาอวดโฉมให้ผู้ใช้แมคได้เสียวสันหลังเล่น ไม่ว่าจะเป็นถูกส่งมาในรูปแบบของโปรแกรมอัพเดตต่างๆ ที่เห็นตัวอย่างบ่อยๆเลย ก็คงจะเป็นหลอกว่าถ้าอยากดูวีดีโอนี้ก็ต้องติดตั้งโปรแกรมสำหรับช่วยดูวิดีโอ เช่น แฟลชเพลเยอร์ (Flash Player) หรือมาในรูปแบบของ ActiveX สำหรับแมค (ซึ่งทุกคนก็รู้อยู่แล้วว่า ActiveX มันเป็นของวินโดวส์) หรือแม้กระทั่งหลอกว่าเป็นโปรแกรม MacMovie สำหรับชมภาพยนต์เองก็ตาม ลองดูตามวีดีโอที่ผมแนบมาให้นะครับ

นอกจากนี้ล่าสุดมีข่าวว่าค้นพบม้าโทรจันบนแมคอีกตัว ที่แฝงกายมาพร้อมกับไฟล์ PDF ชื่อ OSX/Revir.A ที่เป็นตัวอักษรจีน ซึ่งถ้าหลงเปิดไฟล์นี้ จะเป็นการดาวน์โหลดโทรจันอีกตัวที่ชื่อ OSX/Imuler.A มาฝังในเครื่องได้อีก

เห็นอย่างนี้แล้วยังจะเชื่อหรือไม่ครับว่าแมคโอเอสไม่มีไวรัส แล้วไวรัสแต่ละตัวที่เกิดขึ้นนั้นก็ยากต่อการสังเกต ดังนั้นทางที่ดีควรจะหาโปรแกรมป้องกันไวรัสแบบฟรีๆมาติดตั้งในเครื่องบ้างดีกว่า ผมจึงทำการค้นคว้าว่าจะมีโปรแกรมป้องกันไวรัสตัวไหนไหมที่จะให้ใช้ฟรีๆคู่กับเครื่องที่แสนแพง (อย่าให้ซื้ออีกเลย เพราะแค่นี้ก็ผ่อนกันหัวโตแล้ว) ซึงเท่าที่ผมดูนะครับ ส่วนใหญ่จะให้ใช้แค่ 30 วันเท่านั้น จนมาเจอของ Sophos ที่เขาให้ใช้ฟรีเลยครับ วิธีการติดตั้งก็ง่าย มีอัพเดตเยอะด้วยครับ สามารถดาวน์โหลดได้ฟรีที่ http://www.sophos.com/freemacav วิธีการติดตั้งก็เหมือนการติดตั้งโปรแกรมทั่วไปบนแมคโอเอสเลยครับ

สาวยาคูลท์ ความเสี่ยงชั้นสูงขององค์กร

หมายเหตุ บทความนี้ไม่ได้ต้องการทำลายชื่อเสียงหรือองค์กรใด เพียงแค่มีเจตนาจะยกประเด็นตัวอย่างใกล้ตัวเพื่อให้เกิดความตระหนักเท่านั้น หากบทความนี้ทำให้บุคคลหรือองค์กรใดเสียหาย ผมต้องขอกราบขออภัยมา ณ ที่นี้ด้วย และในบทความนี้ผู้เขียนได้เสนอแนะวิธีการป้องกันและแก้ไขความเสี่ยงนี้ด้วย

เมื่อวานนี้ผมได้มีโอกาสไปฟังสัมนา (นานๆทีจะได้เป็นผู้ฟัง) ในงาน "การประชุมชี้แจงและรับฟังความคิดเห็นเกี่ยวกับ (ร่าง)หลักเกณฑ์การประเมินระดับผลกระทบของธุรกรรมทางอิเล็กทรอนิกส์" ที่จัดโดยกระทรวงเทคโนโลยีสารสนเทศและการสื่อสาร คณะกรรมการธุรกรรมอิเล็กทรอนิกส์ และคณะอนุกรรมการความมั่นคงปลอดภัย มีเซสชั่นตอนเช้าที่ดร.ยรรยง เต็งอำนวย อาจารย์จากภาควิชาวิศวกรรมคอมพิวเตอร์ จุฬาลงกรณ์มหาวิทยาลัย (เป็นอ.ที่ปรึกษาของผมตอนเรียนป.โทด้วย) ท่านได้พูดถึงเรื่องหนึ่งซึ่งมันใกล้ตัวเรามาก และผมจึงอยากจะหยิบยกเรื่องราวของอ.ที่บรรยายในงานนี้มาเป็นอุทาหรณ์สำหรับผู้อ่านทุกท่าน อ.ยรรยงได้กล่าวถึงจุดอ่อนของระบบ ระบบในองค์กรเรามีมากมาย เราจำเป็นจะต้องป้องกันทุกจุด หากมีจุดใดจุดหนึ่งรั่วก็จะส่งผลเสียหายต่อองค์กรได้เลย เหมือนกับโซ่ที่ใช้ล่ามช้าง หรือไดโนเสาร์ (มุขของอ.ที่เล่นในงาน) หากมีข้อใดข้อหนึ่งอ่อนหรือเชื่อมกันไม่สนิท ดังรูปที่ 1 ก็อาจจะทำให้โซ่ขาดได้เมื่อช้างหรือไดโนเสาร์ดึง ดังนั้นองค์กรของเราก็เช่นกัน ต่อให้องค์กรสั่งซื้อโปรแกรมป้องกันไวรัส 3,000 ชุด ซื้อไฟร์วอลล์ตัวละ3ล้าน แต่คนในองค์กรยังใช้รหัสผ่านห่วยๆ (เดาง่าย เช่น 1234 password หรือ qwerty เป็นต้น) เหล่าแฮกเกอร์หรือผู้ร้ายก็สามารถสร้างความเสียหายให้แก่องค์กรของเราได้

รูปที่ 1 โซ่ที่มีจุดอ่อน 

เครดิตภาพจาก http://englishpecah.blogspot.com/ 

อีกตัวอย่างก็เรื่องของการอนุญาตให้บุคคลภายนอกเข้ามาในองค์กรของเราได้โดยไม่มีการตรวจสอบอย่างดี อ.ยรรยงก็ได้ยกตัวอย่างของบุคคลที่สามารถเข้าออกทุกห้องในองค์กรของเราได้โดยที่รปภ.ไม่ยืนยันตัวตนเลย  นั่นก็คือ สาวยาคูลท์ นั่นเอง สาวยาคูลท์เป็นบุคคลที่สามารถเข้าออกตึกและสำนักงานที่ไม่ได้มีระบบป้องกันที่รอบคอบ เพราะหน้าที่ของเธอคือการส่งยาคูลท์ให้ถึงมือลูกค้าที่อาจจะเป็น ผอ.ฝ่าย หัวหน้างาน ที่มีห้องทำงานส่วนตัว หรือแม้กระทั่งพนักงานทั่วไปเองก็ตาม

รูปที่ 2 เครื่องแต่งกายพนักงานส่งยาคูลท์ 

เครดิตภาพประกอบ http://www.pocketonline.net/g2engine/d/68349-1/yakulggirl.jpg 

หลายๆคนคงสงสัยใช่มั้ยครับว่าแล้วยังไง ทำไมคนส่งยาคูลท์ถึงเป็นความเสี่ยงชั้นสูง ก็เนื่องด้วยทุกคนไว้วางใจสาวยาคูลท์ที่มาส่งยาคูลท์และเก็บเงินเรา ด้วยชุดแต่งกายที่มีเอกลักษณ์เฉพาะตัว และต้องมีกระเป๋าใส่ขวดยาคูลท์มาด้วย แต่ลองมองให้ลึกกว่านี้นะครับ ลองคิดดูว่าถ้าหากมีโจรปลอมตัวเป็นสาวยาคูลท์หรือโจรจ้างสาวยาคูลท์ให้แสร้งทำทีว่าเอายาคูลท์มาส่งให้ผอ.ฝ่ายของเราในองค์กร แล้วเข้าไปในห้องผอ.ฝ่ายได้โดยที่องค์กรของเราไม่ทำการตรวจสอบว่าคนๆนี้เป็นพนักงานของบริษัทยาคูลท์จริงๆหรือไม่ หรือไม่ตรวจสอบว่าเขาเป็นใคร มีเจตนาไม่ดีหรือไม่ ถ้าหากโจรในคราบสาวยาคูลท์คนนี้เข้าไปในห้องของผอ.ได้แล้ว เขาก็อาจจะหาทางขโมยเอกสาร ข้อมูลลับ หรือสื่อบันทึกข้อมูล เช่น ไดร์ฟ USB หรือแม้กระทั่งแผ่นซีดีและดีวีดี เป็นต้น เอาของใส่กระเป๋ายาคูลท์ (ดังรูปที่ 3) แล้วเดินออกจากตึกไปได้อย่างสบายใจ เพราะรปภ.เองของหลายๆหน่วยงานไม่ได้ตรวจสิ่งของที่อยู่ในกระเป๋านั้นเอง หรือนอกจากนี้ก็อาจจะไม่ได้มาขโมยเป็นสิ่งของ แต่เป็นข้อมูลไม่ว่าจะเป็นการแอบอ่านจดหมายและเอกสารที่ทิ้งไว้บนโต๊ะ อีเมล์หรือหน้าจอเครื่องคอมพิวเตอร์ที่เปิดทิ้งไว้ หรือการแอบดักฟังการสนทนาของเรากับผู้อื่นอีกด้วย

 รูปที่ 3 กระเป๋ายาคูลท์ 

เครดิตภาพประกอบ http://www.tarad2home.com/upload/post/1/14/143/1438/143812072010083936.jpg

อย่างไรก็ตามหลายๆองค์กรที่มีความตระหนักในเรื่องนี้ ก็ได้มีมาตรการป้องกันโดยการเอนุญาตให้สาวยาคูลท์ฝากไว้ที่รปภ.เท่านั้น แล้วให้พนักงานที่สั่งซื้อลงมาเอาไปเอง ผมคิดว่าเป็นวิธีการแก้ไขปัญหาที่ตรงจุดและง่ายที่สุด อีกทั้งสาวยาคูลท์คงจะดีใจที่ไม่ต้องเดินไปหาตามห้องให้เหนื่อยและเสียเวลาอีกด้วย


นอกจากนี้อีกความเสี่ยงที่ผมคิดมาตลอดเลยว่าถ้าผมอยากจะขโมยของหรือข้อมูลความลับ ผมจะขอปลอมตัวเองเป็นแม่บ้าน (เนื่องจากผมเป็นผู้ชายอ้วนๆคนนึง เป็นแม่บ้านคงดูน่ากลัวมาก ขอเป็นช่างไฟฟ้า ช่างซ่อมอาคาร ฯลฯ) แล้วผมจะเข้าไปตรวจระบบไฟฟ้าในห้องต่างๆ เดินเข้าเดินออกห้องนั้นห้องนี้ และก็ทำสิ่งเดียวกับที่ตัวอย่างสาวยาคูลท์ทำ นั่นคือการขโมยของ ขโมยข้อมูลต่างๆในองค์กร หรือนอกจากนี้จะเข้าต่อสายดักฟังโทรศัพท์ของผู้บริหาร หรือแม้กระทั่งแอบต่อ Access Point ทิ้งไว้หลังตู้ในห้องผู้บริหาร ทำให้ผมสามารถเชื่อมต่อเน็ตเวิร์กเข้าสู่องค์กรได้จากข้างนอกตึกได้อีกด้วย

ฝากไว้นะครับ ลองหันมามองในองค์กรเราดูบ้างนะครับว่ามีความเสี่ยงเหล่านี้บ้างหรือไม่ ลองๆช่วยกันป้องกันนะครับ หรือเสนอแนะได้ในเฟซบุคด้านบนนะครับ

มาตรวจสุขภาพของ HTTPS อย่างง่ายๆ

Secure Socket Layer (SSL) เป็นการเข้ารหัสของโปรโตคอล Hyper Text Transfer Protocol หรือรู้จักกันในนามของ HTTP วิธีการสังเกตว่าเว็บใดใช้ SSL ก็ให้ดูที่ชื่อเว็บด้านบนของเว็บเบราเซอร์ที่กำลังใช้งานอยู่ว่าเป็น HTTPS หรือไม่

HTTPS นิยมนำมาใช้กับเว็บที่ให้บริการซื้อขายหรือทำธุรกรรมออนไลน์ ไม่ว่าจะเป็นเว็บไซต์ของธนาคาร สถาบันการเงิน หรือแม้กระทั้งร้านค้าออนไลน์ต่างๆ เนื่องจากไม่ใช้วิธีการเข้ารหัสข้อมูลของลูกค้าแล้ว จะทำให้ลูกค้าไม่เชื่อถือ รู้สึกถึงความเสี่ยงที่อาจเกิดขึ้น และอาจจะส่งผลให้ลูกค้าไม่กล้าที่จะทำธุรกรรมต่างๆในเว็บของเราได้ ดังนั้นจึงไม่น่าแปลกใจเลยว่าทำไมแฮกเกอร์จึงพยายามโจมตี HTTPS

ถ้าหากส่งข้อมูลด้วย HTTP ธรรมดา แล้วลองดักจับแพ็กเก็ตที่ถูกส่งออกจากเว็บเบราเซอร์ของเราแล้วจะพบว่าข้อมูลที่ถูกส่งนั้นจะเป็นตัวอักษรที่ไม่ได้เข้ารหัสไว้ (Plain Text) ซึ่งหากเรากรอกข้อมูลส่วนตัว ไม่ว่าจะเป็นรหัสบัตรเครดิต รหัสผ่านต่างๆ ก็จะทำให้แฮกเกอร์สามารถอ่านข้อมูลเหล่านี้ได้อย่างง่ายดาย แต่ถ้าหากส่งข้อมูลด้วย HTTPS จะเป็นการเข้ารหัสข้อมูลก่อนที่จะส่งออกจากหน้าเว็บเบราเซอร์ ทำให้ถึงแฮกเกอร์มาดักข้อมูลของเราไป ก็ยังเปิดไม่ได้อยู่ดี อย่างไรก็ตามก็ต้องขึ้นอยู่ระดับการปรับแต่งค่าต่างๆของเซิร์ฟเวอร์ให้มีความปลอดภัยด้วย ซึ่งในบทความนี้ผู้เขียนจะมาแนะนำเว็บไซต์สำหรับตรวจสอบความแข็งแรงของโปรโตคอล HTTPS ที่ใช้อยู่ในเว็บไซต์ของเราด้วย เพื่อไม่ให้ลูกค้าของเราตกเป็นเหยื่อ และเว็บไซต์ของเราจะได้มีระดับความปลอดภัยสูงขึ้น ส่งผลให้ความน่าเชื่อถือของเรา และลูกค้าของเราเพิ่มขึ้นอีกด้วย

เว็บไซต์ https://www.ssllabs.com/ssldb/index.html ของ Qualys SSL Labs ให้บริการตรวจสอบหาจุดอ่อนของ HTTPS ของเว็บต่างๆโดยไม่คิดค่าใช้จ่าย และวิธีการตรวจสอบก็ทำได้อย่างง่าย เพียงกรอกชื่อเว็บไซต์ที่ต้องการจะตรวจสอบ  จากนั้นก็กดปุ่ม "Submit" เพื่อยืนยันการตรวจสอบ ดังรูปที่ 1 แล้วก็นั่งรอผลไม่เกิน 5 นาที

 รูปที่ 1 แสดงหน้าของเว็บไซต์ https://www.ssllabs.com/ssldb/index.html

จากนั้นหากเว็บไซต์ดังกล่าวมีเซิร์ฟเวอร์หลายเครื่อง โปรแกรมดังกล่าวจะแจ้งรายการเซิร์ฟเวอร์ออกมา เพื่อให้ผู้ใช้สามารถเลือกเซิร์ฟเวอร์ที่เราต้องการจะดูได้ จากในรูปที่ 2 ผู้เขียนได้ลองให้ตรวจ SSL ของเว็บ Facebook.com จะเห็นว่าจะมีรายละเอียดของเซิร์ฟเวอร์หลายเครื่องด้วยกัน ทำให้เราสามารถเห็นภาพรวมของเซิร์ฟเวอร์ที่เราดูแลต่างๆ ว่ามีเครื่องเซิร์ฟเวอร์ดังบ้างอาจจะเป็นจุดอ่อนของระบบ เพื่อให้ผู้ดูแลต้องทำการตรวจสอบเพิ่ม และปรับปรุงระบบด้วยต่อไป และที่สำคัญคือสามารถดูผลการประเมินว่าเว็บเซิร์ฟเวอร์ของเรานั้นมี HTTPS ที่ปลอดภัยอยู่ในระดับใด

รูปที่ 2 แสดงผลการตรวจสอบ SSL แล้วมีเครื่องเซิร์ฟเวอร์หลายเครื่อง

หากเราเลือกดูรายละเอียดเพิ่มเติม ที่ผลจากรูปที่ 2  เมื่อเลือกที่รายงานผลการตรวจสอบสัก 1  ฉบับ ก็จะเห็นรายละเอียดต่างๆ ดังรูปที่ 3

 

รูปที่ 3 แสดงรายละเอียดผลการตรวจสอบจุดอ่อนของ HTTPS 

ถ้าหากเว็บผู้ให้บริการได้รับการประเมินอยู่ในระดับสูง แล้วจะส่งผลต่อความเชื่อมั่นของเราที่เป็นลูกค้าอย่างมาก อย่างไรก็ตามถึงแม้ว่าทางผู้ให้บริการนั้นจะเตรียมระบบที่มีความปลอดภัยสูงอยู่แล้ว ก็ยังไม่เพียงพอ ดังนั้นเราที่เป็นลูกค้าก็จะเป็นจะต้องดูแลความปลอดภัยของเครื่องคอมพิวเตอร์และอุปกรณ์เชื่อมต่ออินเทอร์เน็ตของเราด้วย เช่นการป้องกันไวรัสคอมพิวเตอร์ การอัพเดตโปรแกรมต่างๆ การมีความตระหนักก่อนที่หลงเชื่อเว็บไซต์ที่อาจจะถูกปลอมแปลงมา เป็นต้น  

อยู่อย่างปลอดภัยด้วยซอฟต์แวร์เสรี

ด้วยเมื่อวันเสาร์ที่ 17 กันยายน 2554 ผมได้มีรับเชิญไปบรรยายในงาน Software Freedom Day 2011 เรื่องอยู่อย่างปลอดภัยด้วยซอฟต์แวร์เสรี และในงานได้มีการบันทึกวีดีโอไว้ด้วย จึงนำมาฝากกันครับ

ส่วนวีดีโออื่นๆอยู่ที่ http://www.softwarefreedomday.in.th/video.html 

รายละเอียดบรรยากาศภายในงานครับ http://www.it24hrs.com/2011/opensource-sfd2011-software-freedom/ 

ภาพหมู เอ๊ย ภาพหมู่ ของผู้เข้าร่วมสัมนา ถ่ายตอนเลิกงานแล้ว บางคนก็กลับไปก่อน เพราะอยู่กันถึง 6 โมงเย็นเลยทีเดียวครับ

 ภาพบรรยากาศขณะผมบรรยาย

 

ของชำร่วยวิทยากรครับ แหะๆ ได้มาตัวนึงด้วย

ไฮไลท์ของงานนี้ คือสองหนุ่มชื่อ ของขวัญ และโดม ทำสปาเก็ตตี้ให้ทานกันในงานด้วยครับ แซ่บบบบบบ ฮ่าๆๆ ผมซัดไป 3 จานเลยครับ ขอบอกว่าเนียนมาก

 

 

แล้วพบกันใหม่ปีหน้านะครับกับงาน Software Freedom Day (ติดตามได้จากเว็บ http://www.softwarefreedomday.in.th)

ไขปริศนา อีเมล์ลับส่วนตัวบนเฟซบุค

ในเวลานี้คงไม่มีใครกล้าปฏิเสธถึงกระแสความนิยมของเฟซบุค ว่ากระแสตอบรับมากเพียงใด แต่จะมีใครที่ให้ความสนใจกับการรักษาความปลอดภัยของข้อมูลตัวเองบนเฟซบุค นักวิชาการหลายคนมักจะออกมาพูดถึงการรักษาข้อมูลส่วนตัว บอกให้หน่วยงานราชการต่างๆต้องทำนู่นทำนี่เพื่อให้ข้อมูลส่วนบุคคลของลูกค้าและพนักงานปลอดภัย แต่ทราบหรือไม่ว่าอาจจะเป็นตัวเราเองที่เปิดเผยข้อมูลดังกล่าว

วันนี้ผมจะมาเล่าถึงความสามารถอย่างหนึ่งที่น่าสนใจในการโพสท์ข้อความหรือรูปบนเฟซบุคที่ผมเชื่อว่าพวกเราอาจจะไม่เคยรู้ด้วยซ้ำว่าเฟซบุคอนุญาตให้ทำอย่างนี้ได้ วิธีการโพสท์ข้อความหรือรูปบนเฟซบุคนั้นสามารถทำได้ด้วยกันหลากหลายวิธี เช่นโพสท์ผ่านทางเว็บไซต์ หรือแอพพลิเคชั่นบนสมาร์ทโฟน แต่มีอีกวิธีหนึ่งคือการส่งเมล์เพื่อทำการโพสท์ข้อความหรือรูปได้ หลายคนคงสงสัยแล้วใช่ไหมครับว่าทำได้อย่างไร และความน่ากลัวของการใช้งานนี้อยู่ที่ไหน ในบทความนี้จะกล่าวถึงวิธีการใช้งาน ภัยที่อาจจะเกิดขึ้น รวมถึงวิธีการป้องกันเพื่อไม่ให้ตกเป็นเหยื่อ

ทำความรู้จักกับอีเมล์ลับส่วนตัวบนเฟซบุค
เฟซบุคได้สร้างอีเมล์ลับส่วนตัวให้แก่ผู้ใช้งานทุกคน (ทางเฟซบุคเรียกว่า อีเมล์อัพโหลดส่วนบุคคล) ซึ่งอีเมล์นี้เราจะไม่สามารถใช้รับส่งเมล์เหมือนปกติได้ แต่อีเมล์นี้จะถูกนำมาใช้ในการโพสท์ข้อความหรือภาพถ่ายต่างๆ ซึ่งสามารถดูได้จากเว็บ http://www.facebook.com/mobile/ โดยที่ผู้ใช้จะต้องล็อกอิน (Log in) บัญชีเฟซบุคก่อน แล้วจะพบหัวข้อที่ว่า "อัพโหลดผ่านอีเมล์" ภายใต้หัวข้อนี้เองจะปรากฏอีเมล์ลับส่วนตัวของเรา ซึ่งจากรูปที่ 1 อีเมล์ลับส่วนตัวคือ mario586pretty@m.facebook.com

รูปที่ 1 แสดงหน้าเว็บสำหรับดูข้อมูลอีเมล์ลับส่วนตัวของเรา

จากนั้นเราลองส่งอีเมล์ไปยังอีเมล์ดังกล่าวด้วยหัวเรื่องว่า "Test upload via email" ดังรูปที่ 2 ส่วนข้อความนั้นถ้าหากเราแนบไฟล์รูปไปด้วยก็จะเป็นการอัพโหลดรูปไปบนหน้าวอลล์ของเราบนเฟซบุค ซึ่งผลการส่งอีเมล์นั้นจะปรากฏข้อความหัวเรื่องที่เราส่งอีเมล์ ดังรูปที่ 3

 รูปที่ 2 แสดงการส่งอีเมล์ไปยังอีเมล์ลับส่วนตัวเพื่อการโพสท์ข้อความบนเฟซบุค

รูปที่ 3 แสดงผลการโพสท์ข้อความบนหน้าวอลล์ผ่านทางอีเมล์

การโพสท์ข้อความผ่านทางอีเมล์นี้ที่สามารถทำให้ผู้ใช้งานอัพโหลดภาพหรือโพสท์ข้อความบนหน้าวอลล์ของผู้ใช้งานได้อย่างสะดวกและง่ายดาย แต่ถ้าหากสังเกตให้ดีกระบวนการโพสท์ข้อความนี้สามารถทำได้โดยไม่ต้องอาศัยรหัสผ่านของเจ้าของบัญชีเฟซบุคเลย

ภัยคุกคามที่อาจเกิดขึ้น

จากการทดสอบเบื้องต้นทำให้ทราบว่า เพียงแค่ทราบอีเมล์ลับส่วนตัวก็สามารถโพสท์ข้อความบนหน้าวอลล์ของเฟซบุคได้โดยไม่ต้องทำการล็อกอินก่อนเลย ดังนั้นเหล่าแฮกเกอร์ที่ตั้งใจจะแอบอ้างเป็นใครสักคนก็ไม่จำเป็นต้องขโมยชื่อบัญชีและรหัสผ่านของเหยื่อแล้ว เพียงแค่หาวิธีการหลอกล่อให้เหยื่อให้อีเมล์ลับส่วนตัวของเหยื่อเอง ซึ่งที่ผ่านมาก็มีหลายกรณี ตัวอย่างเช่น กรณีที่มีข้อความบอกว่าเฟซบุคจะแจกเสื้อเนื่องด้วยวันครบรอบ 7 ปีการถือกำเนิดของเฟซบุค (อ่านรายละเอียดเพิ่มเติม http://foh9.blogspot.com/2011/09/blog-post.html) อาจจะใช้วิธีการโทรศัพท์มาหลอกถามเหยื่อก็ได้ แฮกเกอร์อาจจะขโมยอีเมล์ลับส่วนตัวในเครื่องคอมพิวเตอร์สาธารณะที่เหยื่อล็อกอินเข้าบัญชีเฟซบุคแล้วลืมล็อกเอ้าท์ (Log out) นอกจากนี้แฮกเกอร์อาจมาขอยืมโทรศัพท์สมาร์ทโฟนของเหยื่อ แล้วแอบดูอีเมล์ลับส่วนตัวหากเหยื่อล็อกอินเฟซบุคผ่านสมาร์ทโฟนต่างๆ ได้อีกด้วย 

เห็นไหมครับว่าวิธีการที่จะได้อีเมล์ลับส่วนตัวของเรามานั้นไม่ยากเลย สามารถทำได้ โดยอาศัยความประมาทของเหยื่อและสร้างสถานการณ์สิ่งล่อใจต่างๆ เพื่อให้เหยื่อหลงกลและเผยข้อมูลอีเมล์ลับส่วนตัวออกมา

วิธีการป้องกันตัวเอง

1. ห้ามเปิดเผยอีเมล์ลับส่วนตัวโดยเด็ดขาด ไม่ว่าจะด้วยสาเหตุใดก็ตาม
2. ล็อกหน้าจอของเครื่องคอมพิวเตอร์ส่วนตัว เมื่อต้องลุกจากหน้าจอไป เพื่อป้องกันคนอื่นแอบเปิดดูข้อมูลในเครื่องคอมพิวเตอร์
3. หากมีคนมาขอยืมเครื่องคอมพิวเตอร์หรือแม้กระทั่งโทรศัพท์มือถือ สมาร์ทโฟน จะต้องยืนยันก่อนว่าผู้ยืมนั้นเป็นใคร เชื่อถือได้หรือไม่ และหากจำเป็นจะต้องให้ยืม ก็ต้องล็อกเอ้าท์ออกจากเฟซบุคทุกครั้ง
4. เปลี่ยนอีเมล์ลับส่วนตัวบ่อยๆ โดยการเข้าเว็บ http://www.facebook.com/mobile แล้วเลือก "ค้นหาเพิ่มเติม" (จากรูปที่ 1) จากนั้นปรากฏหน้าคำเตือนเรื่องของอีเมล์ลับส่วนตัวนี้ ดังรูปที่ 4 ให้เลือก "เปลี่ยนอีเมล์สำหรับอัพโหลดใหม่" ที่บรรทัดสุดท้าย จากนั้นจะปรากฏไดอะล็อกยืนยันการแก้ไขอีเมล์อัพโหลดส่วนบุคคล ดังรูปที่ 5 ให้กดปุ่ม "Reset" เท่านี้ก็จะปรากฏอีเมล์ลับส่วนตัวใหม่ที่หน้าแรก

 รูปที่ 4 แสดงหน้าเพื่อที่จะทำการเปลี่ยนอีเมล์ลับส่วนตัว

 

รูปที่ 5 แสดงการยืนยันการเปลี่ยนอีเมล์ลับส่วนตัว

แจ้งเตือน การล่อลวงล้วงอีเมล์ลับบนเฟซบุค

การล่อลวงบนเฟซบุคที่น่าต้องให้ความสนใจเป็นพิเศษนั้น คนร้ายใช้เทคนิคล่อหลอกว่าเฟซบุค (Facebook) จะแจกเสื้อยืดให้ในโอกาสครบรอบปีที่ 7 ของการกำเนิดของเฟซบุค และในหน้าหลอกลวงนี้ยังมีตัวเลขที่บอกว่ายังมีเสื้อเหลืออยู่อีกมากกว่า 1.9 ล้านตัว เพื่อสร้างความน่าเชื่อถือ และยังเป็นการทำให้เหยื่อเกิดความโลภอีกด้วย (ดังรูปที่ 1)

รูปที่ 1 แสดงข้อความหลอกลวงว่าเฟซบุคแจกเสื้อ

จากนั้นหากเหยื่อหลงเชื่อและต้องการที่ได้รับเสื้อดังกล่าวจะต้องทำการยืนยันว่าเป็นผู้ใช้งานเฟซบุคจริงๆ โดยการกดปุ่ม Click Here แล้วจะปรากฏหน้าดังรูปที่ 2 เพื่อบอกให้เหยื่อปฏิบัติตามเพื่อเป็นการลงทะเบียนรับเสื้อ

รูปที่ 2 แสดงหน้าคำสั่งหลอกให้เหยื่อปฏิบัติตามเพื่อลงทะเบียนรับเสื้อ

กระบวนการคร่าวๆที่ปรากฏอยู่ในรูปที่ 2 คือ ให้เข้าเว็บ Facebook Mobile แล้วให้หาข้อมูลอีเมล์แอดเดรสที่ปรากฏอยู่ในหน้านั้น จากนั้นให้กรอกลงไปในช่องด้านล่างของรูปที่ 2



แน่นอนครับว่าเหยื่อก็ยังคงหวังที่จะได้เสื้อยืดฟรี แถมยังมีแบบสำรวจให้เหยื่อกรอกเพิ่มอีกด้วย ดังรูปที่ 3

รูปที่ 3 แสดงภาพแบบสำรวจที่แฮกเกอร์ต้องการเก็บข้อมูลของเหยื่อเพิ่ม

สุดท้ายจนแล้วจนเล่า เหยื่อก็ไม่มีวันที่จะได้รับเสื้อยืดอย่างแน่นอน แต่ทราบกันหรือไม่ครับว่าข้อมูลอีเมล์ที่เราสูญเสียไปนั่นทำให้เหล่าแฮกเกอร์สามารถมาโพสท์ข้อความบนหน้าเฟซบุคของเราได้โดยไม่ต้องทำการเข้าสู่ระบบก่อน ดังนั้นอีเมล์นี้จึงมีสำคัญอย่างมาก หากเราสูญเสียให้คนอื่นไปแล้วก็อาจจะทำให้เกิดความเสียตามมาได้อีกด้วย

ทีนี้หลายๆคนคงสงสัยว่าอีเมล์ที่ปรากฏอยู่เว็บของ Facebook Mobile มีความสำคัญอย่างไร และอีกอย่างนั่นก็ไม่ใช่อีเมล์ของเราด้วย แล้วแฮกเกอร์ต้องการไปทำอะไร ต่อจากนี้ผมจะทดสอบและเฉลยให้ฟังในบทความถัดไปนะครับ

อ้างอิง
http://nakedsecurity.sophos.com/2011/09/08/facebook-birthday-t-shirt-scam-steals-secret-mobile-email-addresses/

ถุงยางอนามัยป้องกันไดร์ฟ USB

วันนี้วันศุกร์แห่งชาติ ผมเองก็เลยหาเรื่องเบาๆ สนุกๆ แปลกๆมานำเสนอบ้าง วันนี้ผมไปเจอบทความหนึ่งเขาพูดถึงไวรัสบนไดร์ฟ USB ทำให้ผมนึกถึงไปว่าบ้านเราก็มีโปรแกรมชื่อ CPE17 Autorun Killer ที่คอยสแกนไดร์ฟ USB ที่มาต่อกับเครื่องคอมพิวเตอร์ของเราว่ามีไวรัสหรือไม่ หรือไดร์ฟ USB บางรุ่นก็มีโปรแกรมสแกนและป้องกันไม่ให้ไวรัสมาบันทึกตัวเองใส่อีกมากมายเลยครับ ซึ่งแน่นอนครับว่าการป้องกันข้างต้นนั้นใช้ซอฟต์แวร์ในการป้องกัน ผมจึงทำการต่อไปอีกว่ามีฮาร์ดแวร์อะไรบ้างไหมสำหรับช่วยป้องกันไวรัสไม่ให้มาติดในไดร์ฟ USB ของเรา ผลก็คือผมพบผลงานสินค้าที่มีลักษณะดังกล่าวด้วย อิอิ

ฮาร์ดแวร์ที่ว่านี้คือถุงยางอนามัยป้องกันไดร์ฟ USB แนวคิดของผู้พัฒนานั้นก็คงล้อเลียนถุงยางอนามัยทั่วไปที่ใช้ป้องกันเชื้อไวรัส HIV และมีช่องต่อไดร์ฟ USB อีกด้วย เท่าที่ผมทำการค้นหาดูแล้วผมไปเจอภาพตัวอย่างของสินค้านี้มาให้ได้ชมกันดังนี้ โดยประกอบไปด้วย 2 ยี่ห้อ

1. ยี่ห้อนี้ออกแบบโดย Eugene Filatov
   
   
   
2. ออกแบบโดย Ko Yang

อย่างไรก็ตามสิ่งที่สำคัญที่สุดไม่ใช่เทคโนโลยีที่จะนำมาใช้ในการป้องกันไดร์ฟ USB หากแต่ต้องเป็นตัวเราเท่านั้นที่จะปกป้องไวรัสที่จะพยายามมาฝังตัวของเราหรือไม่ ดังนั้นก่อนจะใช้ไดร์ฟ USB ของใครก็ควรจะสแกนด้วยโปรแกรมป้องกันไวรัสที่ถูกติดตั้งอยู่ในเครื่องคอมพิวเตอร์ของเราก่อน และที่สำคัญคือห้ามเชื่อใจไดร์ฟของเพื่อนหรือบุคคลที่เราไม่รู้จักด้วย

อ้างอิง
http://www.yankodesign.com/2009/01/07/condom-protects-you-from-viruses/
http://design-fetish.blogspot.com/2011/03/condom-usb-flash-drive.html