กรณี @PouYingluck ถูกแฮกให้ข้อคิดอย่างไร

ที่มา : Daily News Online  ฉบับวันที่ 7 ตุลาคม 2554

โดย : เกริก ภิรมย์โสภา

twitter hackผู้คนหลายคนต้องแปลกใจ เมื่อพบว่า ทวิตเตอร์ @PouYingluck มีการโพสต์ข้อความในเชิงลบต่อรัฐบาล โดยมีการกล่าวถึงการดำเนินนโยบายในเชิงไม่สร้างสรรค์ ซึ่งในท้ายที่สุดแล้ว ปริศนาก็ถูกเฉลยออกมาว่า ผู้โพสต์ไม่ใช่ท่านนายกฯ หรือทีมงาน จากข้อความสุดท้ายที่กล่าวในเชิงว่า “ท่านจะปกป้องประเทศได้อย่างไร หากแม้ Twitter account ของท่านเอง ยังไม่สามารถปกป้องได้”

เรื่องราวนี้ไม่ได้เป็นเฉพาะข่าวในประเทศไทยที่ทีมงานของท่านนายกฯ ต้องรีบแจ้งทางเฟซบุ๊ก y.shinawatra ให้ผู้ติดตามทราบ พร้อมกับปิดทวิตเตอร์ @PouYingluck เป็นการชั่วคราวเท่านั้น หากแต่ยังมีการกล่าวถึงทั่วไปในสำนักข่าวทั้งภายในและต่างประเทศอีกหลายแห่ง

ในฐานะผู้หนึ่งที่สนใจศึกษาด้านความมั่นคงของคอมพิวเตอร์ (Computer Security)ย่อมอดคิดไม่ได้ว่า แฮกเกอร์ทำอย่างไร

เราลองมาวิเคราะห์กันดูครับว่า การจะแฮกบัญชีทวิตเตอร์หรือเฟซบุ๊ก มีช่องทางใดที่เป็นไปได้บ้าง โดยในที่นี้ จะขอวิเคราะห์การแฮกที่พบบ่อย จากฝั่งของผู้ให้บริการ และฝั่งของผู้ใช้บริการ

ในการแฮกฝั่งผู้ให้บริการนั้น  มีความเป็นไปได้หลายแนวทาง แต่สองแนวทางที่มักพบคือ (1) การแฮกเข้าสู่ฐานข้อมูล (เช่น ผ่านช่องโหว่ SQL Injection) เพื่อขโมยรหัสผ่าน หรือ (2) การฝังรหัสเพื่อทำ XSS (Cross Site Scripting) ในหน้าที่ผู้ใช้บริการจะเข้าไปเปิด เพื่อทำการอ่านค่าสำคัญ (เช่น ค่า session cookies) จากเบราว์เซอร์ของผู้ใช้บริการเพื่อทำการขโมยสถานะ session ทั้งสองกรณีนี้ มักพบกับเว็บที่พัฒนา โดยผู้พัฒนาที่ขาดประสบการณ์ เพราะกรณีดังกล่าว เป็นช่องโหว่ของระบบ ซึ่งหากเป็นการแฮกในลักษณะนี้ แปลว่า แฮกเกอร์จะสามารถแฮกบัญชีผู้ใช้งานได้ในวงกว้าง ไม่เฉพาะเจาะจงกับบัญชีอันใดอันหนึ่ง อย่างไรก็ตาม ทั้งทวิตเตอร์และเฟซบุ๊กต่างก็มีทีมงานวิศวกรและนักพัฒนามืออาชีพซึ่งคอย ดูแลและแก้ปัญหาดังกล่าว ซึ่งกรณีนี้คงจะเกิดขึ้นได้ยากกับยักษ์ใหญ่อย่างทวิตเตอร์และเฟซบุ๊ก

อีกด้านหนึ่งคือ การแฮกจากทางฝั่งของผู้ใช้บริการ ซึ่งมีกรณีที่พบบ่อยคือ (1) การเจาะรหัสผ่าน ซึ่งอาจเกิดได้จากการที่ผู้ใช้งานใช้รหัสผ่าน (password) ที่ไม่มีความมั่นคงปลอดภัย เช่น รหัสผ่านสั้นไป เป็นคำที่มีในพจนานุกรม หรือ รหัสผ่านสามารถคาดเดาได้โดยบุคคลใกล้ชิด (ผู้ใช้งานหลายคนนิยมตั้งรหัสผ่านจาก วันเดือน ปี เกิด ชื่อสัตว์เลี้ยง ชื่อบุคคลใกล้ชิด ซึ่งคาดเดาได้ เป็นต้น) ในบางกรณี ยังพบว่า ผู้ใช้งานมักใช้รหัสผ่านเดียวกับหลายบริการ (เช่น รหัสผ่านสำหรับเข้าใช้บริการอีเมลเป็นอันเดียวกับรหัสผ่านเข้าใช้บริการ ทวิตเตอร์ เป็นต้น) ซึ่งแฮกเกอร์ที่สามารถแฮกการใช้งานจากบริการหนึ่งจะสามารถนำรหัสผ่านดัง กล่าวไปแฮกที่บริการอื่น ๆ ของผู้ใช้บริการได้

กรณีสืบเนื่องที่เป็นได้เช่นกัน คือ รหัสผ่านอีเมลที่เกี่ยวข้องกับบริการ ไม่มีความปลอดภัย แม้รหัสผ่านทวิตเตอร์ หรือ เฟซบุ๊ก จะมีความปลอดภัยมากเท่าใดก็ไม่มีประโยชน์ เพราะ ทวิตเตอร์ (รวมถึง เฟซบุ๊ก) จะมีกลไกให้ผู้ใช้สามารถขอรีเซตรหัสผ่าน โดยอาศัยอีเมลที่อ้างอิงไว้ตั้งแต่ขอเปิดใช้บริการ ซึ่งกรณีนี้หากรหัสผ่านอีเมลโดนแฮกแล้ว ผู้ร้ายก็จะสามารถเข้าถึงบริการที่มีอีเมลดังกล่าวอ้างอิงอยู่ได้ไม่ยากด้วย กลไกการขอรีเซตรหัสผ่านทางอีเมล

กรณีที่ซับซ้อนยิ่งขึ้นอีกทางคือ (2) การดักขโมย session (session hijacking) ในการดักขโมยนั้น แฮกเกอร์จะต้องอยู่บนเครือข่ายที่เป็นทางผ่านระหว่างผู้ใช้บริการและผู้ให้ บริการ ซึ่งบ่อยครั้งมักจะเกิดจากคนภายในหน่วยงานที่อยู่บนเครือข่ายเดียวกัน หลักการง่าย ๆ คือการดักข้อมูลที่รับส่งระหว่างผู้ใช้บริการและ
ผู้ให้บริการ แล้วนำข้อมูลที่ใช้ในการระบุตัวตน มาใช้เพื่อปลอมตัวเป็นผู้ใช้ ซึ่งในกรณีนี้ผู้ให้บริการมักช่วยป้องกันโดยการให้ผู้ใช้เปิดใช้บริการผ่าน HTTPS ซึ่งจะมีการเข้ารหัสข้อมูลทุกอย่างระหว่างผู้ใช้และผู้ให้บริการ ทำให้ดักขโมยได้ยาก ซึ่งทวิตเตอร์จะให้ผู้ใช้เป็นผู้ตั้งค่าดังกล่าวเอง ส่วนเฟซบุ๊กจะบังคับให้ใช้ HTTPS อัตโนมัติ (ยกเว้นกรณีเปิดโปรแกรมเสริม เช่น เกมฟาร์มวิลล์ ซึ่งต้องมีการทำให้ความมั่นคงลดต่ำลงเพื่อให้สามารถใช้งานได้)

อย่างไรก็ตามระบบป้องกันดังกล่าวมักถูกปิดไปในกรณีที่เป็นการใช้งานผ่าน อุปกรณ์พกพา (โทรศัพท์มือถือ) เพื่อลดความต้องการด้านพลังงานและเครือข่าย และแนวทางสุดท้ายคือ (3) ปัญหาสปายแวร์ (spyware) ในเครื่องผู้ใช้เอง ซึ่งกรณีนี้คือเครื่องผู้ใช้บริการถูกผู้ร้ายเจาะระบบและฝังสปายแวร์ไว้ โดยเจ้าสปายแวร์จะเข้าไปอ่านข้อมูลในเครื่องผู้ใช้บริการแล้วส่งไปให้ แฮกเกอร์ กรณีนี้เป็นปัญหาที่เกิดจากระบบความปลอดภัยของเครื่องคอมพิวเตอร์ส่วนบุคคล มากกว่าปัญหาของการบริการทวิตเตอร์หรือเฟซบุ๊ก และ แฮกเกอร์มักจะได้ข้อมูลอย่างอื่นที่สำคัญกว่าไปด้วย

สุดท้ายนี้ ขอฝากข้อคิดไว้ให้ผู้อ่านทุกท่าน ตรวจสอบดูแลรหัสผ่านของตัวเองทุกรหัสให้มีความปลอดภัย เลือกใช้งานการสื่อสารแบบปลอดภัย (HTTPS) บนบริการ ต่าง ๆ รวมถึงหมั่นตรวจสอบ อัพเดตโปรแกรมป้องกันไวรัสที่เครื่องคอมพิวเตอร์อย่างสม่ำเสมอ เพื่อไม่ให้แฮกเกอร์สามารถเข้ามาทำร้ายเราได้อย่างง่ายดาย.

ผศ.ดร.เกริก ภิรมย์โสภา
ภาควิชาวิศวกรรมคอมพิวเตอร์
คณะวิศวกรรมศาสตร์
จุฬาลงกรณ์มหาวิทยาลัย

Leave a Reply

Your email address will not be published. Required fields are marked *

Connect with Facebook

*

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>