@FordAntiTrust

ข้อมูลส่วนบุคคลเป็นสิ่งที่ควรควบคุมการเผยแพร่

by

จากกรณีในกระทู้ กลโกงบัตรเครดิตรูปแบบใหม่เพื่อเอาเงินจากบัตรเครดิต เข้าสู่บัญชี E-Wallet ยี่ห้อหนึ่ง ส่วนที่น่าสนใจคือ ข้อมูลบุคคลของลูกค้าหลายๆ อย่าง เป็นข้อมูลที่หาได้ไม่ยากนักตาม social network ต่างๆ บางอย่างเป็นข้อมูลที่ลูกค้าเผยแพร่โดยไม่ตั้งใจ  ตัวอย่างเช่น

  • หมายเลขบัตรประจำตัวประชาชน (อยากโชว์บัตรหน้าบัตรใหม่ หรือหลุดจากการเผยแพร่ของหน่วยงานภาครัฐ และเอกชนต่างๆ)
  • วันเดือนปีเกิด (มาพร้อมๆ กับพวกชอบโชว์บัตรประจำตัวประชาชน หรือข้อมูลที่เผยแพร่ผ่าน social network หลายๆ บริการ)
  • ที่อยู่ตามภูมิลำเนา
  • ที่อยู่ในการจัดส่งเอกสารในบริการนั้นๆ (ใบแจ้งหนี้ที่มักไม่ได้ทำลายจนอ่านไม่ได้ก่อนทิ้ง)
  • หมายเลขบัตรเครดิต (ในกรณีของบริการบัตรเครดิต ในบิลแจ้งหนี้จะมีส่วนของบาร์โค้ดที่ผ่านหมายเลขบัตรเครดิตได้อยู่)
  • วงเงินที่ใช้ในบริการนั้นๆ (ในกรณีของบริการบัตรเครดิต หรือหมายเลขโทรศัพท์มือถือ ที่มักมาพร้อมๆ กับใบแจ้งหนี้เสมอ)
  • หมายเลขโทรศัพท์ที่ใช้ผูกกับบริการนั้นๆ 

จากทั้งหมดที่ว่ามา ควรควบคุมการใช้งานสำเนาบัตรประจำตัวประชาชนว่าเคยใช้และให้ใครไปบ้าง ส่วนใบแจ้งหนี้ควรทำลายใบแจ้งหนี้ที่ไม่ใช้แล้วทิ้งแบบอ่านไม่ออกไป (จะเผาหรือใช้เครื่องทำลายเอกสารก็ว่ากันไป) เพราะในนั้นมีข้อมูลสำคัญอยู่เสมอๆ ทั้งนี้ใบเสร็จรับเงินที่ใช้รหัสสมาชิก หรือพวกบิลบริการ delivery ก็มีที่อยู่ของเราอยู่ในนั้นพร้อมชื่อ ก็ควรทำลายทิ้งด้วยวิธีการเดียวกันเช่นกัน ตรงนี้ต้องอาศัยความใส่ใจพอสมควร เป็นไปได้เก็บบิลทุกอย่างมาทำลายทิ้งที่บ้านน่าจะปลอดภัยกว่าด้วยซ้ำ

เพราะการถูกโจมตีแบบนี้นั้น สามารถกระทำได้ผ่านข้อมูลส่วนบุคคลพื้นฐานที่เราได้เผยแพร่อย่างทั่วไป ซึ่งนำมาสู่การขโมยตัวตน เพราะในขั้นตอนการยืนยันตัวตนนั้น เราใช้ข้อมูลส่วนบุคคลเหล่านี้ในการทำหน้าที่แทนตัวบุคคลเพื่อยืนยันตัวตน และการโจมตีด้วยวิธีการนี้ไม่ต้องใช้ความชำนาญทางคอมพิวเตอร์มากนัก แต่ใช้การเก็บรวบรวมข้อมูลของผู้ที่เป็นเป้าหมายก็เพียงพอแล้ว

เมื่อข้อมูลพวกนี้เป็นสิ่งสำคัญ ควรใส่ใจต่อการเผยแพร่และควบคุมการเผยแพร่ผ่านช่องทางต่างๆ ให้ได้มากที่สุดเท่าที่จะทำได้ จะช่วยให้การขโมยตัวตนของเราเพื่อไปปลอมแปลงการทำธุรกรรมได้ยากขึ้น

บริการ Backblaze B2 Cloud Storage พื้นที่เก็บไฟล์ราคาถูกสำหรับเก็บไฟล์จำนวนมากๆ พื้นที่เยอะๆ

by

เมื่อเดือนก่อนติดตั้ง Internet ใหม่ได้ download ความเร็ว 50Mbps และ upload ความเร็ว 10 Mbps ทำให้ความฝันที่จะอัพโหลดไฟล์ที่มีขนาดใหญ่ๆ ไปไว้บน Internet สามารถทำได้ง่ายและเร็วมากขึ้น ทำให้คิดว่าควรหาพื้นที่ backup ข้อมูลเพื่อเป็น DR สำหรับไฟล์ต่างๆ บน External HDD ที่มีอยู่ เลยหาบริการที่สามารถช่วยตอบโจทย์การ backup ดังกล่าวได้ในราคาที่ต่ำหรือพอๆ กับซื้อ External HDD มาทำ NAS + RAID ซึ่ง @lewcpe แนะนำ Backblaze ผมเลยศึกษาข้อมูลของบริการตัวนี้ดู

Backblaze

หลังจากใช้ Backblaze B2 Cloud Storage (ต่อไปเรียก B2) มาได้สักพัก ค่อนข้างประทับใจเลยทีเดียว โดยมันทำงานคล้ายๆ กับ AWS S3 หรือ Azure Storage แต่ราคาในการเก็บข้อมูลอยู่ที่ 0.005 usd/GB/mo หากเก็บข้อมูล 1TB ต่อเดือนจ่ายที่ 5.12 usd เท่านั้น ซึ่งราคานี้ยังไม่รวมพวก Transaction และ Download Bandwidth ที่หากเราจะ download ออกมา ก็จ่ายเงินเพิ่มไปทีหลัง ซึ่ง AWS S3 หรือ Azure Storag ก็เก็บในลักษณธนี้เช่นกัน แต่ B2 ให้ราคาที่ถูกกว่ามาก (คิดยิบย่อยน้อยกว่า AWS มาก) โดยมีรายงานรวมไปถึงตั้ง Caps & Alerts เพื่อป้องกันค่าใช้จ่ายเกินได้ด้วย ช่วยให้เราตรวจสอบได้ว่าเราจะต้องจ่ายเงินเท่าไหร่ได้ในแต่ละเดือน

โดยในส่วนของ Caps นั้น มีข้อมูลให้ทั้ง
1. Daily Storage Caps โดยเก็บไฟล์ฟรีที่ 10 GB
(ราคาหลังจากนั้น 0.005 usd/GB/mo)

2. Daily Download Bandwidth Caps ฟรีจำนวนข้อมูลดาวน์โหลดออกมา 1 GB ต่อวัน
(ราคาหลังจากนั้น 0.05 usd/GB)

3. Daily Class B Transactions Caps ฟรีดาวน์โหลด 2,500 Transactions แรก
(0.004 usd/10,000 transactions)

4. Daily Class C Transactions Caps ฟรีสร้างหรืออัพเดทไฟล์ 2,500 Transactions แรก
(0.004 usd/1,000 transactions)

ส่วน Daily Class A Transactions ฟรีอัพโหลดข้อมูลไม่จำกัดจำนวน Transactions (แต่พื้นที่เก็บข้อมูลตามข้อที่ 1.)

จากรายงานทั้งหมดด้านบน หากเรามานั่งคิดดีๆ โดยรวมถือว่าถูกที่สุดเท่าที่หาได้ และมีความน่าเชื่อถือสูงเช่นกัน หากเราคิดว่าเราจะหา HDD มานั่ง backup ข้อมูลเองและต้องแยกไฟล์ไว้หลายๆ จุด การใช้ B2 ก็ช่วยตอบโจทย์ได้มากกว่า ด้วย Backblaze Vaults ที่ทาง Backblaze บอกว่าทำ 17 data shards และ 3 parity shard ช่วยให้ป้องกันการเสียหายของข้อมูลจาก HDD failed ได้ดีกว่า ถึงขนาดกล้ารับประกัน 99.999999% annual durability ทีเดียว (เรื่องนี้ต้องดูกันยาวๆ)

Distributing Data Across 20 Storage Pods

ตัวบริการเป็นลักษณะพื้นที่เก็บเฉยๆ ไม่มี client ช่วย sync ข้อมูลให้แต่อย่างใด แต่เปิด API เพื่อให้เขียนโปรแกรมสำหรับอัพโหลดเข้าไปแทน ผมเลยใช้วิธีอัพโหลดไฟล์เข้าไปผ่านโปรแกรมชื่อ Cyberduck ซึ่งทำงานคล้ายๆ กับ FTP ในการโยนไฟล์เข้า Server โดยทั่วไป โดยจากการใช้งานผ่าน Cyberduck และเก็บไฟล์บน B2 สิ่งที่ต้องทำคือการใส่ไฟล์เยอะๆ เป็นจำนวนมาก ทำให้เราเสียค่า Class C Transactions เยอะ เพราะมันคิดตามจำนวนไฟล์ที่สร้างขึ้น จึงต้องใช้การ zip ไฟล์ก่อน แล้วส่งไฟล์เข้าไปเป็นก้อนใหญ่ๆ แทน เพื่อประหยัด Class C Transactions

B2 Cloud Storage

มีข้อดีมากมาย ก็มีข้อเสียที่ควรใส่ใจคือ Backblaze ไม่ encrypt ไฟล์ที่จัดเก็บให้เรา (แต่การส่งข้อมูลยัง encrypt ผ่าน https) ฉะนั้น ไฟล์อะไรที่สำคัญ ควร encrypt ก่อนส่งเข้าไปเก็บที่นั้นเสมอ

การกำหนดการเข้าถึงไฟล์นั้นเป็นแบบแบ่ง Bucket เอาแทน และ permission อีกเพียง Public และ Private ฉะนั้นตอนเริ่มตั้งค่าต้องเซ็ตให้ดีๆ ว่าอันไหน Public อันไหน Private

จากทั้งหมดที่ว่ามา ตอนนี้ก็เลยสามารถใช้ HDD ที่มีอยู่ในการเก็บข้อมูลเพียง copy เดียว แล้วโยนไฟล์ที่ต้องการ Backup ชุดข้อมูลดังกล่าวไปใส่ใน Backblaze แทนซึ่งตอบโจทย์ทั้ง Backup และ DR ไปในตัว

multi-factor authentication ด้วย OTP ก็ไม่ได้ปลอดภัย 100% หากโดน intercept หมายเลขโทรศัพท์มือถือ

by

บริการต่างๆ ที่ให้เปิด multi-factor authentication มีจุดที่สำคัญที่มักจะให้เราจดจำ และตั้งค่าเพิ่มเติม นั้นคือ backup code และหมายเลขโทรศัพท์มือถือสำหรับรับ reset password หากตัว authenticator ใช้งานไม่ได้

แน่นอน backup code ซ่อนและเก็บได้ ตรงนี้น่าจะพออุ่นใจบ้างหากเก็บไว้ในที่ที่ลับมากๆ ส่วนหมายเลขโทรศัพท์มือถือนั้นแตกต่าง เพราะอาจโดน intercept ตัวเบอร์โทรศัพท์นั้นๆ แล้วนำ code ที่ได้จาก OTP ไปใช้งาน

ซึ่งเมื่อเร็วๆ นี้นักเคลื่อนไหวทางการเมืองถูก hack บัญชี Telegram โดยเกิดจากถูก intercept หมายเลขโทรศัพท์ เพื่อรับรหัส OTP สำหรับเข้าใช้งาน account แอพ Telegram ของเค้า ซึ่งเป็นสิ่งที่เกิดขึ้นได้จริงแล้ว

เพราะโดยปรกติ Telegram ไม่มีการให้ตั้งรหัสผ่านในครั้งแรก แต่ใช้การส่งรหัส OTP เพื่อยืนยันการใช้งานผ่านหมายเลขโทรศัพท์มือถือที่ลงทะเบียนไว้ อ้างอิง Is Telegram Really Safe for Activists Under Threat? These Two Russians Aren’t So Sure.

ทางแก้ที่ Telegram แนะนำ ณ ตอนนี้คือตั้งรหัสผ่านเพิ่มเข้ามาช่วยในการยืนยันตัวตน (ในเมนูของ Telegram มีให้ตั้ง) ทางแก้ไขนี้รวมไปถึง คำแนะนำที่ว่า ควรสื่อสารด้วย secret chat (end-to-end encryption) และตรวจสอบ fingerprints (encryption key) ของคนที่กำลังคุยด้วยเสมอ

จากเหตุการณ์ของ Telegram นี้ ก็กลับมาดูที่ประเทศไทยของเรา การออกซิมการ์ดใหม่ผ่านช่องทางที่มีการตรวจสอบไม่รัดกุม อาจจะเป็นช่องทางที่การใช้งาน multi-factor authentication ด้วย OTP นั้นมีจุดโหว่ และสร้างความไม่มั่นใจต่อหมายเลขโทรศัพท์ที่จะใช้งานควบคู่กับ multi-factor authentication ว่าจะอยู่รอดปลอดภัยได้มากแค่ไหน ตรงนี้เป็นสิ่งที่ผู้ให้บริการต้องตระหนักและช่วยเหลือผู้ใช้งานให้ได้รับความปลอดภัยสูงสุด

ปิดการ auto update และ automatic restart ใน Windows 10

by

หลายๆ คนคงเคยมีประสบการณ์เลวร้ายของระบบ auto update ของ Windows 10 มาไม่มากก็น้อย ทั้งแบบที่อยู่ๆ ก็ดาวน์โหลดไฟล์ระหว่างกำลังโหลดไฟล์งานสำคัญ ทำให้อินเตอร์เน็ตทำงานช้า หรือติดตั้งให้เองซะเฉยๆ ไม่ยอมบอกเรา แต่ที่เลวร้ายกว่าคือ ดาวน์โหลดแล้ว ติดตั้งให้เราแล้ว แถมยังมาสั่งปิด-เปิดเครื่องให้เองในคืนวันที่กำลังรันงานสำคัญข้ามคืน ทำให้งานสำคัญนั้นเสียหายใช้งานไม่ได้ แถมทั้งหมดนี้ปัญหาแก้ไขได้เพียงแค่บรรเทาคือสั่งยกเลิกได้ ณ ขณะที่เราอยู่หน้าเครื่องเท่านั้น (ถ้านอนอยู่ก็กดยกเลิกไม่ทัน) เพราะ Windows 10 ทำตัวเป็นคุณพ่อรู้ดี หากผู้ใช้ไม่ยอมปิด-เปิดเครื่องตามเวลาที่มันคิดว่าดี มันก็สั่งปิด-เปิดเครื่องไปซะเฉยๆ แบบนั้น (แถมไม่มีตัวเลือกปิดในหน้าที่เข้าถึงได้ง่ายแบบถาวรด้วย)

วันนี้เรามีคำตอบ เป็นทางการแก้ไขที่ได้ผลที่สุดเท่าที่หามาได้ผ่านช่องทางลึกลับซักหน่อย (เพราะซ่อนไว้ซะลึกเลย) ซึ่งส่วนตัวใช้วิธีการนี้แล้วได้ผล

1. เลือกปุ่ม start menu แล้วพิมพ์ group แล้วเลือกที่ Edit group policy

2016-05-10_112853

2. จะได้หน้าต่าง Local Group Policy Editor ให้เลือกตามลำดับดังนี้

  • Computer Configuration
  • Administrative Templates
  • Windows Components
  • Windows Update

2016-05-10_111814

3. ที่ Windows Update ในส่วนของ Setting ให้เลือกที่ Configure Automatic Updates

2016-05-10_112002

4. ในส่วนของ Configure automatic updating มีตัวเลือกให้ 4 ตัว ก็เลือกได้ตามใจชอบ (ส่วนตัวผมเลือกหมายเลข 3)

2016-05-10_112514

5. เมื่อแก้ไขครบตามที่ตัวเองพอใจก็กด OK ออกมา แล้วทำการ ปิด-เปิดเครื่องใหม่สักครั้ง

6. เมื่อลองเข้ามาที่ Settings > Update & Security > Windows Update > Advanced options จะเจอข้อความดังภาพด้านล่าง แสดงว่าการตั้งค่าที่ Local Group Policy Editor ใช้งานได้แล้ว

2016-05-10_112243

ตู้ Service Vending ออก SIM ไม่มีขั้นตอนยืนยันตัวตนที่รัดกุม เบอร์มือถือที่แจ้งรับ OTP จาก internet banking มีความเสี่ยง

by

อัพเดทเพิ่มเติม 4/5/2016 19:25
1. ทาง blognone.com ได้ติดต่อสอบถามกับทาง AIS เพื่อแจ้งปัญหาแล้ว และมีจดหมายชี้แจ้งมาแล้วเช่นกัน
2. ผมได้รับการติดต่อจากทาง PR ของ AIS เป็นการส่วนตัวเพื่อแจ้งให้ทราบว่า ทาง AIS กำลังปรับปรุงขั้นตอนเหล่านี้ให้รัดกุมมากขึ้น

เมื่อวันเสาร์ผมเจอประเด็นน่าสนใจในงาน MiSS Day เรื่องขอ SIM card ใหม่จากตู้ Service Vending (ตู้ออก SIM card อัตโนมัติมีคนรีวิวไว้เผื่อนึกภาพไม่ออก) ของค่ายมือถือรายหนึ่ง (ในงานไม่ได้ระบุว่าค่ายไหน) แต่แน่นอน ผมจำค่ายดังกล่าวได้ เพราะโฆษณาไว้นานพอสมควร โดยระบุไว้ว่า เพียงแค่เสียบบัตรประชาชนก็ออก SIM card ใหม่ได้เลย ซึ่งทางวิทยากรมองว่า เป็นช่องโหว่ที่สามารถขโมยหมายเลขโทรศัพท์มือถือของเราได้ง่ายมากหากบัตรประชาชนผู้ใช้งานถูกขโมย หรือสูญหาย รวมไปถึงหากผู้ใช้งานเป็นเป้าหมายในในการแฮกระบบอื่นๆ ก็อาจเป็นช่องทางที่จดขโมยช่องทางรับ OTP ของบริการอย่าง internet banking หรือบริการ online ที่ใช้ความสามารถยืนยันตัวหลายหลายปัจจัย (2-factor authentication) ที่ใช้หมายเลขโทรศัพท์ดังกล่าวในการผูกระบบ OTP กับเบอร์มือถือนั้น ซึ่งถือเป็นสิ่งที่ซีเรียสมาก

โดยหลังจากเลิกงานนี้ในช่วงเย็น ผมได้ติดต่อกับทาง call center ค่ายมือถือดังกล่าว เพื่อทำเรื่องปิดช่องการออก SIM card จากช่องทางนั้น โดนแจ้งวัตถุประสงค์อย่างชัดเจนว่าขอไม่ให้ออก SIM card ใหม่กับช่องทางดังกล่าวด้วยเหตุผลข้างต้น และให้ออก SIM card กับพนักงานแทนเท่านั้น ซึ่งทาง call center แจ้งกลับมาว่า ไม่สามารถปิดการขอ SIM card ผ่านช่องทางดังกล่าวได้ 

เมื่อเป็นเช่นนั้น คำแนะนำในตอนนี้สำหรับทุกคนที่ใช้ค่ายมือถือดังกล่าวในการรับ OTP เพื่อทำธุรกรรมทางการเงิน หรือบริการออนไลน์ต่างๆ ควรเก็บบัตรประจำตัวประชาชนของท่านไว้ให้ดี เพราะบัตรประชาชนที่ใช้กับตู้ดังกล่าว ไม่ได้ใช้การยืนยันความเป็นเจ้าของบัตรผ่านรหัส PIN แบบเดียวกับบัตรเครดิตหรือบัตรเอทีเอ็ม ทำให้เพียงแค่มีบัตรประชาชนก็เพียงพอในการออก SIM card ได้ทันทีตามที่ได้กล่าวข้างต้น ซ้ำร้ายกว่านั้น การที่ไม่มีการยืนยันความเป็นเจ้าของบัตรผ่านรหัส PIN แม้ว่าจะมีการแจ้งหายกับทางเจ้าหน้าที่ตำรวจไว้ ก็ไม่มีระบบอายัดบัตรดังกล่าวที่สามารถทำให้บัตรที่สูญหายไปนั้น ระงับการใช้งานผ่านบัตรดังกล่าวได้แบบเดียวกับบัตรเครดิตหรือบัตรเอทีเอ็ม นั้นหมายความว่า ณ ตอนนี้เราไม่สามารถปิดการใช้งานบัตรที่สูญหาย และสามารถนำบัตรนั้นไปออก SIM card ได้แม้จะมีการแจ้งความหมายและออกบัตรใหม่ไปแล้วก็ตามที

อ้างอิง