สวัสดีครับ พอช่วงนี้อาจจะวุ่น ๆ กันสักนิด เลยจะมาอัปเดตเรื่องเบา ๆ ที่ตลอดอาชีพการทำงานในสายงานทางด้านผู้ให้บริการและที่ปรึกษาทางด้านความปลอดภัย มีเรื่องที่อยากจะแนะนำให้ทุกท่านที่อาจจะเป็นบุคคลทั่ว ๆ ไปหรือแม้กระทั่งผู้สนใจในเรื่องราวต่าง ๆ ของสายไอทีให้ได้ระมัดระวัง และเพิ่มความปลอดภัยให้มากขึ้น เมื่อสิ่งที่รายล้อมตัวเรานั้นเกี่ยวข้องกับเทคโนโลยีกันมากมาย
โดยสิ่งที่จะพูดถึงก็จะออกแนวจุดอ่อน (Weakness) หรือช่องโหว่ (Vulnerability) ที่คนทั่ว ๆ ไปหรือแม้กระทั่งคนทำงานสายไอทีมักจะมองข้ามหรือไม่ได้สนใจ แต่ความเสี่ยง (Risk) นั้น ส่งผลกระทบ (Impact) ที่เกิดขึ้นนั้นนำมาสู่ความเสียหายในด้านอื่น ๆ ได้อย่างง่ายดายหรือใช้ประกอบร่วมความเสี่ยงในด้านอื่นหลาย ๆ อย่างรวมกัน ก่อให้เกิดผลกระทบก็ย่อมสามารถทำได้ ซึ่งก็จะพยายามแบ่งออกเป็นเรื่องย่อย ๆ เป็นส่วน ๆ ดังนี้ครับ
การตั้งค่า และใช้งานรหัสผ่าน (Password) ที่อ่อนแอ หรือเป็นค่าดั่งเดิม (Default Password)
การกำหนดหรือตั้งค่ารหัสผ่านที่อ่อนแอนั้น อธิบายแบบง่าย ๆ เลยก็จะเป็นแนวที่คาดเดา (Password Guessing) ได้โดยง่าย แล้วทีนี้อะไรล่ะที่คาดเดาได้โดยง่ายยกตัวอย่างก็ เช่น วันเกิด ชื่อตัวเอง ชื่อคนรัก ชื่อสัตว์เลี้ยง การกดแป้นพิมพ์เรียงๆ กัน และอาจจะรวมถึงคำที่เป็นรูปแบบที่ชัดเจน (Pattern) หรือแม้กระทั่งเป็นคำที่คนอื่นคิดได้ว่าคุณน่าจะต้องใช้มัน
ต่อมาก็จะเป็นรหัสผ่านที่เป็นค่าดั่งเดิม (Default Password) คิดภาพทั่ว ๆ ไปเลยก็เรามีอุปกรณ์อะไรสักอย่างโดยส่วนมากมักจะมีค่ารหัสผ่านเริ่มต้นไว้สำหรับทุก ๆ อุปกรณ์ เช่น admin/admin, root/admin, admin/password เป็นต้น ซึ่งอาจจะรวมถึงการใช้ค่าดั่งเดิมที่เขาแปะกันไว้บนอุปกรณ์แต่ละเครื่องต่าง ๆ กัน แต่มันก็จะมีวิธีในการคำนวณอยู่ อย่าคิดว่าแฮกเกอร์เขาจะไม่รู้นะ
ทั้งนี้รวมถึงการใช้งานรหัสผ่านที่ซ้ำกัน (Password Reused) ในหลาย ๆ ระบบอาจจะรวมถึงมีการเปลี่ยนแปลงแค่บางส่วนแต่ยังคง Pattern ไว้อยู่ด้วยเช่นกัน สำหรับเรื่องรหัสผ่านนั้นเป็นเรื่องที่เหมือนจะง่าย ๆ แต่หลายองค์กรก็พลาดกันมาเยอะแล้วเช่นกัน
วิธีการป้องกันก็ใช้งานรหัสผ่านที่ยากต่อการคาดเดา (ตั้งให้ยาว และมีความซับซ้อน ความจริงตั้งเป็นเพลงแล้วใส่หยอดอักขระกับตัวเลขเพื่อความซับซ้อนอีกนิดก็ไม่ผิด) และไม่ใช้ซ้ำกับที่อื่น รวมถึงรหัสผ่านเราไม่ต้องบอกให้ใครรู้
ทั้งนี้เราอาจจะพิจารณาการใช้งานพวกซอฟต์แวร์หรือบริการ Password Manager หรือตัวจัดการรหัสผ่านเอาก็ได้ แต่โดยส่วนตัวผู้เขียนเน้นซอฟต์แวร์แบบ Offline อย่าง keepass ในการช่วยตั้งค่ารหัสผ่านของแต่ละบริการและอีเมลต่าง ๆ และเก็บบันทึกเอาไว้ให้ จะได้ไม่ต้องจำรหัสผ่านใด ๆ ให้ยุ่งยาก และทั้งนี้ถ้าระบบที่เราใช้งานมีการตั้งค่าให้ใช้งาน 2 Factor Authentication ก็ควรเปิดไว้ซักหน่อยก็ดีนะ ทำให้ทุกอย่างมันยากขึ้นซักหน่อย
การแอบมองงขณะกดรหัสผ่าน หรือข้อมูลสำคัญ
ตรงตัวตามนั้นเลย ทั้งนี้เรื่องมารยาทก็พูดกันลำบาก แต่ก็ให้ระวังตนเองเอาไว้ว่าจะกรอกข้อมูลสำคัญอะไรอย่างให้คนอื่นรู้เลย รวมถึงแม้ว่าเราจะยืนกรอกคนเดียวอยู่ก็จริงแต่อย่าลืมไปว่าสมัยนี้กล้องวงจรปิดเยอะแยะไปหมดใครที่สามารถเข้าถึงในส่วนนั้นได้ก็น่าจะเห็นอะไรไปเยอะ เราเองก็มีหน้าที่ดูแลตนเองให้เหมาะสมแต่ละสถานที่
วิธีป้องกันก็พยายามป้องกันข้อมูลของตนเองให้ดี เอามือมาป้อง หรือแอบๆ หน่อย คนรอบข้างก็ควรเข้าใจกันด้วยว่าเขากำลังจะกรอกข้อมูลสำคัญก็เลี่ยงหนีหน่อยเพื่อความไม่ลำบากใจซึ่งกันและกัน
ติดตั้งโปรแกรมที่ไม่น่าเชื่อถือ หรือโปรแกรม Crack หรือแม้กระทั่งโปรแกรม/สคริปต์โกงเกม
โดยมีโอกาสอย่างมากที่เขาจะฝังคำสั่งอันตรายลงมาด้วย (อาจจะไม่ใช่ทุกอัน เพราะบางการทำงานมันสุ่มเสี่ยงที่อาจจะก่อให้เกิดความไม่ปลอดภัยได้ โปรแกรมป้องกันอย่าง Anti-Virus หรือโปรแกรมป้องกันอื่น ๆ ก็จะมีการแจ้งเตือนได้) แล้วคำสั่งอันตรายมันคืออะไร ยกตัวอย่างง่ายก็ เช่น เขาสามารถเข้าถึงข้อมูลการใช้งานบนคอมพิวเตอร์/มือถือได้ สามารถเข้าถึงการพิมพ์ การเก็บข้อมูล การใช้งานต่าง ๆ ของเราได้ หรือแม้กระทั่งใช้เครื่องของเราไปแฮกคนอื่นอีกทีแล้วทีนี้เราจะปฏิเสธกันได้ยากหน่อยเพราะหลักฐานมันชี้มาที่เครื่องเราว่าเราเป็นคนทำ ทั้งนี้อาจจะรวมถึงการยินยอมใช้งานโปรแกรมที่เป็นเวอร์ชันเก่า ๆ ด้วยเช่นกัน เพราะมีโอกาศที่จะเปิดให้มีช่องโหว่แบบเนียน ๆ บนเครื่อง
วิธีการป้องกันก็อย่าติดตั้งโปรแกรมที่ไม่น่าเชื่อถือหรือโปรแกรมอะไรแปลก ๆ อันไหนไม่ได้ใช้ก็ถอนการติดตั้งทิ้งเสีย ทั้งนี้การติดตั้ง Anti-Virus ก็ไม่ได้แย่อะไร ถึงแม้มีโอกาสที่แฮกเกอร์จะหลบหลีกได้ก็ตามแต่ก็ทำให้เขาทำงานได้ยากขึ้น และอีกอย่างที่ถ้าเป็นการโจมตีแบบหว่านแหหน่อย ผู้โจมตีที่ไม่ได้มีทักษะอะไรมากเขาก็คงไม่ได้มาใช้เทคนิคที่ยากที่จะหลุดพ้นจากโปรแกรมเหล่านั้นเท่าไหร่นัก และอย่างน้อยที่สุดอาจจะมีการแจ้งเตือนอะไรบางอย่างให้เราฉุกคิดระวังตัวได้บ้าง (อ่านการแจ้งเตือนกันด้วยล่ะ ไม่ใช่กดปิดหน้าอย่างเดียว ฮ่าๆๆๆ)
บัญชีการใช้งาน (Account) ของใครของมันอย่าไปแบ่งใคร
แต่ละบัญชีการใช้งาน เช่น Username และ Password ของพนักงานแต่ละคน เป็นสิ่งที่ใช้ในยืนยันตนในแต่ละการใช้งานบนระบบว่าใครเป็นใคร ทำอะไรได้อย่าง เพราะฉะนั้นถ้าผู้อื่นนำบัญชีของเราไปใช้งานผิดประเภทหรือเอาไปใช้ทำอะไรไม่ดีเราเองก็จะไม่สามารถที่จะปฏิเสธความรับผิดชอบ (Non-Repudiation) ได้อย่างชัดเจน เพราะสิ่งที่ใช้ยืนยันตนของเราบนระบบได้ปรากฏในระบบประวัติการใช้งานและการกระทำต่าง ๆ ของระบบและองค์กร หรืออีกกรณีที่เพื่อนของเราเอาบัญชีของเราไปให้กับผู้อื่นหรือเก็บไว้ไม่ดีพอทำให้ผู้อื่นล่วงรู้นำไปใช้กระทำผิดต่าง ๆ ได้
วิธีป้องกันก็จบได้ที่บัญชีของเราเราก็ใช้คนเดียวเท่านั้นเอง
หวังว่าบทความนี้จะช่วยเพิ่มความปลอดภัยในชีวิตประจำวันของคุณผู้อ่านได้ไม่มากก็น้อยนะครับ ทั้งนี้ถ้าหากสนใจบริการทางด้านตรวจสอบความปลอดภัยของระบบสารสนเทศในองค์กรก็สามารถติดต่อได้ที่เพจดาต้าฟาร์ม หรือท่านใดสนใจจะร่วมงานกันทางดาต้าฟาร์มเองก็เปิดรับสำหรับทุก Level ทั้ง Entry level ไปจนถึงผู้มีประสบการณ์มีบ้างแล้วหรือผ่านการทำงานในระดับ Senior ก็สามารถติดต่อมาได้ที่เพจดาต้าฟาร์มเช่นเดียวกันครับบบ
