เมื่อหลายสัปดาห์ก่อน มีข่าวประเด็นที่ว่า มีผู้ได้รับพัสดุที่คาดว่าน่าจะมาจากธนาคารไทยพาณิชย์ เป็น Powerbank ผู้เสียหายเกิดสงสัยจึงสอบถามกับญาติที่ทำงานธนาคาร และได้รับข้อมูลว่า ห้ามเสียบ ห้ามทำอะไรเด็ดขาดเลยนะ เพราะเป็นของ Call Center ถ้าเราเสียบชาร์จมันจะดูดเงินโดยทันที สำหรับกรณีดังกล่าวทางธนาคารไทยพาณิชย์ได้ออกมาชี้แจงผ่านเฟซบุ๊กแล้วว่ามันไม่เป็นความจริง โดยมีใจความว่า
“ตามที่มีข้อความเผยแพร่ในโลกออนไลน์ว่า พาวเวอร์แบงก์จาก SCB สามารถดูดเงินไปเข้าบัญชีมิจฉาชีพได้นั้น ธนาคารขอชี้แจงว่า ข้อความดังกล่าวไม่เป็นความจริง และยังไม่เคยมีกรณีลูกค้าถูกดูดเงินจากการใช้พาวเวอร์แบงก์ตามข้อความดังกล่าวแต่อย่างใด จึงขอเรียนชี้แจงเพื่อให้ลูกค้าและสาธารณชนได้ทราบ เพื่อจะได้ไม่ตื่นตระหนกกับข้อความดังกล่าว”
แต่วันนี้อยากจะมาเล่าในมุมของนักคอมพิวเตอร์ว่า มันเป็นไปได้หรือไม่ที่เมื่อเราเสียบอุปกรณ์บางอย่างเข้าไป จะทำให้สามารถโดนดูดเงินออกจากบัญชีได้ หรือจริง ๆ มันเป็นเพียงเรื่องจินตนาการเท่านั้น
การเสียบอุปกรณ์ = ทางเข้าของ Hacker ชั้นเยี่ยม
การที่เราจะโจมตีเหยื่อ มันไม่ใช่ว่าอยู่ดี ๆ เราสามารถส่งโทรจิตไปโจมตีเขาได้ทันที ไม่ใช่เสกตะปูเข้าท้องใคร เราจะต้องมีทางเข้าต่าง ๆ เช่น การเข้าผ่านระบบเครือข่าย หรือระบบการเชื่อมต่อแบบไร้สายต่าง ๆ แต่ทางเข้าที่เครื่องป้องกันตัวเองต่ำสุดคือการเข้าผ่านการเสียบอุปกรณ์บางอย่างเข้าไป
อาจจะเกิดคำถามว่า ทำไมช่องทางนี้สามารถเข้าถึงได้ง่าย ในขณะที่ช่องทางอื่นเข้าได้ยากกว่า เหตุผลนี้เราต้องเข้าใจกันก่อนว่า การรักษาความปลอดภัย เราไม่ได้พูดถึงแค่การตั้งระบบรักษาความปลอดภัยบนคอมพิวเตอร์ อย่าง การวางระบบ Firewall ต่าง ๆ เท่านั้น แต่ยังมีการวางระบบรักษาความปลอดภัยเชิงกายภาพ (Physical Security) อีกด้วย นั่นเป็นเหตุที่ทำให้ การเข้าไปใน Data Center แต่ละครั้งไม่ใช่เรื่องง่าย ต้องผ่านพี่ ๆ รปภ. มากมาย ผ่านระบบการยืนยันตัวตนหลายชั้น จนนึกว่าเป็นตู้เซฟธนาคารไปซะแล้ว ทำให้การที่เราจะโจมตีแบบกายภาพมันทำได้ยากกว่า
หรืออีกวิธีคือ การแอบติดเนียนเข้าไปกับพี่ ๆ พนักงานที่สามารถเข้าถึงเครื่องได้ เหมือนกับที่ Stuxnet ทำ โดยการห้อยตัวเองไปอยู่กับเครื่องจำนวนมาก ๆ แล้วหวังว่าสักเครื่องที่ติดจะเป็น พนักงานซ่อมบำรุงที่ต้องเสียบคอมพิวเตอร์ตัวเองเข้ากับ PLC ของเครื่องปั่น ซึ่งเราจะเห็นว่ามันทำได้ยากกว่าการที่เราโจมตีผ่านเครือข่ายมาก ๆ นั่นเป็นเหตุว่าทำไมกลไกการป้องกันการเสียบอุปกรณ์นั้นถึงไม่แข็งแกร่งเท่ากับวิธีการอื่น ๆ อย่าง การโจมตีผ่านเครือข่าย แต่ไม่ได้แปลว่าการป้องกันสำหรับการเสียบมันจะไม่ปลอดภัย เผลอ ๆ เป็นวิธีการโจมตีที่เข้าถึงยากที่สุดแล้วก็ว่าได้ เพียงเพราะการโจมตีเชิงกายภาพนั้นทำได้ยากกว่านั่นเอง
เมื่อเราเสียบอุปกรณ์เข้าไปในเครื่องคอมพิวเตอร์ ตัวอุปกรณ์กับเครื่องคอมพิวเตอร์ของเรามันจะพยายามคุยกัน อาจจะเป็นการถามง่าย ๆ ว่า แกเป็นใคร จับชั้นมาทำไม ไม่ใช่ละ ! แต่มันจะคุยกันเพื่อแลกเปลี่ยนข้อมูลกัน ซึ่งบางครั้งอุปกรณ์อาจจะบอกว่า นี่นะ ถ้าอยากคุยกับชั้นรู้เรื่อง นายต้องเอาคำสั่งนี้ไปทำงานก่อนนะ ซึ่งชุดคำสั่งนั้นอาจจะทำให้ผู้โจมตีสามารถเข้าควบคุมเครื่องของเราได้ นำไปสู่การเข้าควบคุม App ธนาคารของเรา และโอนเงินออกจากบัญชีของเราไปได้ นั่นคือวิธีการที่มักจะโดนกันก่อนหน้านี้
คอมพิวเตอร์เรามีกลไกการป้องกันอย่างไร ?
อ่านมาแล้ว อาจจะมองว่า โหววว ทำไมมันน่ากลัวมากขนาดนี้ แต่ด้วยความที่คนเจอกันเยอะมาก ๆ นักคอมพิวเตอร์ก็มีการออกแบบกลไกบางอย่างมาเพื่อป้องกันเรื่องพวกนี้ได้ด้วยเช่นกัน
หากเป็นในระดับ Server หรือ Data Center จริง ๆ ส่วนใหญ่แล้วการออกแบบของเครื่องเขาจะไม่มี USB บริเวณหน้าเครื่องอะไรทั้งนั้น หรือไม่ก็จะเอาวัสดุบางอย่างเช่นฝาเครื่องมาปิดเอาไว้ นอกจากนั้นเครื่องพวกนี้ที่อยู่ในตู้ มันจะมีการล๊อคด้วยกลไกต่าง ๆ เช่น กุญแจ หรือพวกระบบ Access Control ต่าง ๆ เพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตทำการเสียบเพื่อทำอะไรบางอย่างกับอุปกรณ์ได้เลย เรียกว่าเป็นการเอาการรักษาความปลอดภัยเชิงกายภาพมาครอบลงไปตรง ๆ หรือกระทั่งตัวเครื่องเอง บางที่เขาจะตั้งค่าไม่ให้เราเสียบ USB อะไรเข้าไปเลย เป็นการป้องกันอีกชั้น ดังนั้น ส่วนใหญ่แล้ว การที่ลักลอบเข้าไปใน Data Center แล้วเสียบอุปกรณ์อะไรบางอย่างเข้าไปแล้วเข้าถึงระบบได้ มันไม่ง่ายขนาดนั้นนะ
แต่สำหรับอุปกรณ์ที่เราใช้งานกันตามบ้าน หรือโทรศัพท์มือถือของเรา ก็มีกลไกในการป้องกันเช่นกัน ตั้งแต่การที่ระบบจะขออนุญาตกับเราเมื่อเราเสียบ หรือติดตั้งอุปกรณ์บางอย่างเข้าไป โดยเฉพาะในระบบรุ่นใหม่ ๆ มันจะแค่ปล่อยไฟ หากเราตอบว่า ตกลง มันถึงค่อยจะเปิดให้อุปกรณ์สามารถส่งผ่านข้อมูลได้ นอกจากนั้น ระบบรุ่นใหม่ ๆ นั้นยังมีระบบ Access Permission หรือระบบที่หากโปรแกรม หรือ Application ใด ๆ จะเข้าถึงที่อยู่ในระบบ หรือข้อมูลส่วนตัวของเรา มันจะถามเราก่อนเสมอ
ตัวอย่างเช่น iOS เอง เมื่อเรามีการเสียบอุปกรณ์เข้าไปมันจะมีการถามก่อนว่า เราอนุญาตให้อุปกรณ์นี้มีการเชื่อมต่อหรือไม่ และเมื่อเราอนุญาตแล้ว และ App นั้น ๆ ก็จะเข้าถึงข้อมูลหรือเข้าควบคุมเครื่องของเรา ไม่ว่าจะเป็นการกระทำอะไรที่สุ่มเสี่ยง มันจะต้องผ่านการถามสิทธิ์จากเราก่อนเสม
ในเคสก่อนหน้านี้ที่เกิดขึ้น ส่วนใหญ่ระบบมีการถามก่อนแล้วว่าจะอนุญาติให้ App เข้าถึงได้หรือไม่ และแน่นอนว่า ตอบว่า ใช่ มันก็เลยกลายเป็นว่าปล่อยให้เข้าถึงเฉยเลย ดังนั้น เราในฐานะผู้ใช้ ติดตั้ง App จากแหล่งที่เชื่อถือได้ และเมื่อเครื่องมันเตือนอะไร โปรดอ่านมันให้ดีก่อน หากอะไรที่เราไม่แน่ใจ ก็อย่าพึ่งไปให้สิทธิการเข้าถึงกับมันจะดีที่สุด
มีอะไรที่เข้าควบคุมเครื่องโดยไม่ขออนุญาตได้หรือไม่
แน่นอนว่า บนโลกของคอมพิวเตอร์มันไม่มีการป้องกันได้ 100% ทำให้มันมีการโจมตีบางอย่างที่ ทำให้เข้าควบคุม หรือล้วงข้อมูลของเครื่องโดยไม่ได้รับอนุญาตได้ เช่น Pegasus รุ่นหนึ่งที่สามารถเข้าถึงพวกไมโครโฟนและพิกัดที่อยู่จากโทรศัพท์ของเรา โดยที่เราไม่รู้เรื่อง ไม่ได้ให้อนุญาตมันเลยด้วยซ้ำ
แต่ต้องยอมรับว่าช่องโหว่ที่อนุญาติให้ผู้โจมตีสามารถทำแบบนั้นได้ มันเอาไปทำอะไรได้เยอะมาก ถ้าคนที่เจอเป็นนักวิจัยทางด้านความปลอดภัย เขาก็อาจจะส่งช่องโหว่นี้ให้กับนักพัฒนาเพื่อจัดการแก้ไข และออกมาเป็น Software Update แต่กลับกัน ถ้าคนที่พบเป็นคนร้าย เขาก็อาจจะเอาช่องโหว่นี้ไปโจมตี หรือเอาไปขายในตลาดมืด ซึ่งช่องโหว่ที่อันตรายระดับนี้ ราคาที่ขายกันบอกเลยว่าไม่ถูกแน่นอน ดังนั้นสบายใจได้ว่าโอกาสที่เขาจะเอาช่องโหว่มูลค่าขนาดนี้มาใช้กับเราที่เป็นคนธรรมดามันน้อยมาก ๆ
AUTHOR
I believe in technology and sharing, as they enable us with a better world via several clicks. Especially, programming is one of the most powerful tools which inspire people to make their dreams come true. I want to share, publicise and innovate new technology so as to change our world in the way we could hardly imagine.
Graphic Designer
