งงตั้งแต่เห็นข่าว มีของดีกว่าครบกว่าเป็นสากลมากกว่า มีคนใช้ทั้งโลก และโอเพ่นซอร์สแล้วจะไปเสียเงินให้กับซอฟต์แวร์ที่ไม่เปิดเผยซอร์สอีกทำไม สอดไส้อะไรบ้างก็ไม่มีทางรู้ แล้วใช้ได้ตลอดชีพนี่ชีพคนใช้หรือชีพบริษัท ทำไมไม่เรียนรู้จากความผิดพลาดของโปรแกรมแบบนี้ตั้งมากมายในอดีตซึ่งก็เจ๊งกันไปเยอะแล้ว ดูอย่าง Lotus Smart Suite หรือ Corel Word Perfect ที่แทบจะไม่มีใครใช้แล้ว โปรแกรมโอเพ่นซอร์สอย่าง OfficeTLE ต่อให้ตายไปก็มาเกิดใหม่ใน OpenOffice (จริงๆ TLE เกิดมาเพิ่อให้ตัวเองตายแล้วไปรวมร่างกับต้นน้ำอย่าง OpenOffice อยู่แล้ว) จากนั้นก็มี LibreOffice แยกออกมาและไปได้ไกลว่า OpenOffice อีก นี่คือข้อดีของการใช้ซอฟต์แวร์แบบโอเพ่นซอร์ส ที่มันยั่งยืนกว่าช่วงชีวิต (lifetime) ของบริษัทเอกชน นี่มันเป็นการตัดสินใจที่โง่หรือโง่มากๆ กันแน่

WPS เปิดตัวโปรแกรม Thai WPS Office สำหรับคนไทย ผลักดันเป็นโปรแกรมออฟฟิศแห่งชาติ

Posted by: cwt | กุมภาพันธ์ 28, 2017

Lazada โดน Hack ?

screenshot-from-2017-02-28-14-42-46Screenshot from 2017-02-28 15-10-08.png

รัฐบาลจะดักข้อมูล facebook เราได้อย่างไร


จากข้อความในร่าง พรบ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์

  • ขอข้อมูล เอกสาร หรือเรียกบุคคลมาให้การ
  • ส่งหนังสือสั่งหน่วยงานรัฐและเอกชน
  • ดักฟังข้อมูลทุกรูปแบบ ทั้งไปรษณีย์ปกติ ไปจนถึงเครื่องมือสื่อสาร

ทำให้ผมเกิดข้อสงสัยว่าแล้วรัฐบาลจะ "ดักฟังข้อมูล" facebook ของเราได้หรือไม่ เช่น login, password หรือดูว่าเราเป็นสมาชิกกลุ่มลับไหนบ้าง ก่อนอื่นต้องอธิบายให้ทราบก่อนว่า facebook นั้นให้บริการผ่านหน้าเว็บเพจที่เข้ารหัสทั้งหมด (HTTPS) โดยจะมีการเชื่อมต่อผ่าน SSL (Secure Sockets Layer) ซึ่งจะขออธิบายการขั้นตอนการทำงานของ HTTPS อย่างย่อๆ ดังนี้

How does HTTPS work: SSL explained
(รูปประกอบจาก http://www.powersolution.com/ssl-what-it-means-how-it-works-whereused/)

  1. เราใช้เบราเซอร์เปิดหน้าเว็บที่เป็น HTTPS เช่น https://www.facebook.com
  2. เบราเซอร์ของเราจะถามหา IP Address ซึ่งก็คือ "ที่อยู่ของเว็บ" จาก DNS
  3. DNS ตอบกลับมาว่า www.facebook.com นั้นอยู่ที่ IP Address ไหนบ้าง
  4. เบราเซอร์จะเชื่อมต่อไปยังเว็บเซอร์เวอร์ที่อยู่ที่ IP เหล่านั้นโดยการขอเชื่อมต่อด้วย SSL ผ่านช่องทางหมายเลข 443 ซึ่งจะต่างจากช่องทางปกติที่ไม่มีการเข้ารหัส (หมายเลข 80)
  5. เซอร์เวอร์จะส่งใบรับรอง SSL (SSL certificate) กลับมาให้เว็บเบราเซอร์ ซึ่งในขั้นตอนนี้เว็บเบราเซอร์จะตรวจสอบใบรับรองนั้นว่าถูกต้องและน่าเชื่อถือหรือไม่ โดยในเบราเซอร์นั้นจะมีข้อมูลของผู้ให้บริการออกใบรับรองที่น่าเชื่อถือ (trusted CA)
  6. เมื่อตรวจสอบแล้วการเชื่อมต่อที่มีการเข้ารหัสระหว่างเบราเซอร์กับเว็บเซอร์เวอร์ก็จะสมบูรณ์

จากขั้นตอนข้างต้นนั้นแทบจะไม่มีโอกาสที่บุคคลอื่นจะเข้ามาดักข้อมูลออกไปได้ เพราะการเข้ารหัสนั้นเป็นแบบ end-to-end หรือพูดง่ายๆ ก็คือมีแต่เพียงเว็บเบราเซอร์ที่เชื่อมต่อกับเว็บเซอร์เวอร์เท่านั้นที่จะถอดรหัสออกมาได้ เปรียบเสมือนเป็นท่อปิด และข้อมูลก็จะวิ่งอยู่ในท่อนั้น หากเราปิดเว็บเบราเซอร์ไปและเปิดใหม่ก็จะต้องเริ่มต้นขบวนการตั้งแต่ข้อ 1 ใหม่

อย่างไรก็ตามยังมีโอกาสที่จะมีการดักข้อมูลระหว่างกลางได้โดยขอให้ดูรูปต่อไปนี้

MiTM
(รูปประกอบจาก http://www.group1iam.com/index.php/top-products/iboss)

วิธีการนี้เรียกว่า man-in-the-middle (MiTM) โดยเมื่อย้อนกลับไปพิจารณาขั้นตอนการเชื่อมต่อ HTTPS 1-6 ข้อข้างต้น การทำ MiTM นั้นจะเริ่มต้นด้วย

  1. การปล่อยข้อมูล DNS ที่ผิดโดยชี้ IP Address ไปยังเครื่องเซอร์เวอร์ที่ใช้ดักข้อมูล (sniffer) แทนที่จะเป็น IP Address ของ www.facebook.com จริงๆ
  2. sniffer นี้จะส่งใบรับรอง SSL ที่สร้างขึ้นมาเองให้มีข้อมูลคล้ายคลึงกับใบรับรองจริงๆ
  3. โดยทั่วไปเว็บเบราเซอร์จะตรวจสอบได้ทันทีว่าเป็นใบรับรองปลอมที่สร้างจากผู้ให้บริการออกใบรับรองที่ไม่น่าเชื่อถือ (untrusted CA) แต่กระนั้นหากเรากดยอมรับ หรือเลือกให้เว็บเบราเซอร์ "เชื่อถือ" ใบรับรองนั้น เว็บเบราเซอร์จะสร้างการเชื่อมต่อ SSL ไปยัง sniffer โดยคิดว่าเป็น www.facebook.com จริงๆ
  4. sniffer จะสร้างท่อ SSL อีกเส้นหนึ่งไปยัง www.facebook.com เพื่อให้เรารู้สึกเหมือนว่าได้เชื่อมต่อกับ facebook จริงๆ
  5. แต่ในเมื่อท่อ SSL ไปสิ้นสุดที่ sniffer ดังนั้นข้อมูลทุกอย่างจึงได้ถูกถอดรหัสออกมาแล้ว และสามารถดักเอาอะไรก็ได้ ไม่ว่าจะเป็น login, password, post ที่ส่งเข้าไปยังกลุ่มลับ หรือแม้แต่ข้อความที่ใช้คุยกันกับเพื่อนแบบสองต่อสอง

เหตุการณ์ในข้อ 1. ที่ DNS จงใจปล่อยข้อมูลผิดนั้นได้เคยเกิดขึ้นมาแล้วในประเทศไทย โดยขอให้ดู status ของผมในวันที่ 28 พฤษภาคม 2557 ครับ (https://www.facebook.com/cwt114/posts/10152417386608189?pnref=story)

จะเห็นได้ว่าในข้อที่ 3 เราต้องกดยอมรับใบรับรองปลอมเอง ซึ่ง "อาจจะ" มีความปลอดภัยระดับหนึ่งแต่สำหรับคนที่เจออะไรก็กด Yes หรือ Accept ไว้ก่อนนั้นอันตรายมาก

ที่นี้มันเกี่ยวข้องอย่างไรกับ พรบ.ว่าด้วยการรักษาความมั่นคงปลอดภัยไซเบอร์ ผมจะลองสมมุติสถานการณ์ดังนี้ครับ

เนื่องจากพรบ. นี้ให้อำนาจในการดักฟังข้อมูลทุกรูปแบบ ดังนั้นอาจจะเป็นไปได้ว่าต่อไปมือถือแทบเล็ต หรือคอมพิวเตอร์สำเร็จรูปจะต้องถูกบังคับให้ติดตั้งใบรับรองปลอมที่ว่า และตั้งค่าให้ "เชื่อถือ" ไว้ก่อนจึงจะสามารถนำมาวางจำหน่ายในประเทศได้ ไม่อย่างนั้นจะถือว่าผิด พรบ. ดังกล่าว ซึ่งนั่นจะทำให้พวกเราเกือบทุกคนตกอยู่ในความเสี่ยงที่จะถูกดักข้อมูลได้โดยไม่รู้ตัวเลยครับ

ขอย้ำอีกทีว่านี่เป็นเพียงสถานการณ์สมมุติครับ

ในการใช้งานและบริการต่างๆ ในระบบคอมพิวเตอร์นั้นจำเป็นต้องมีการยืนยันตัวตนโดยใช้รหัสประจำตัวหรืออีเมลประกอบกับรหัสผ่าน หรือที่เรียกทับศัพท์ว่าพาสเวิร์ด (password) ซึ่งรหัสผ่านในบริการต่างๆ มักจะบังคับให้เรากรอกอย่างน้อย 8 ตัวอักษรและมีอักขระพิเศษอยู่ด้วยเช่นตัวแอทไซน์ (@) หรือเครื่องหมายตกใจ (!) เพื่อที่จะทำให้การเดาเพื่อค้นหารหัสผ่านจากผู้ไม่หวังดีนั้นทำได้ยากขึ้น แต่เนื่องจากหน่วยประมวลผลในคอมพิวเตอร์นั้นเร็วขึ้นอย่างก้าวกระโดดทุกวันจึงทำให้การถอดรหัสผ่านที่ยาวเพียง 8 ตัวอักษรนั้นสามารถทำได้อย่างรวดเร็วภายในเวลาไม่กี่วันจนถึงเสี้ยววินาทีหากรหัสผ่านนั้นเป็นรหัสยอดนิยมเช่น “iloveyou”

แนวคิดใหม่ในการยืนยันตัวตนจึงเปลี่ยนมาสู่วลีผ่านหรือ passphrase เช่นการใช้วลีจากหนังสือที่เราชื่นชอบและจำได้ง่ายโดยมีความยาวสี่ห้าคำขึ้นไปโดยจะมีการเปลี่ยนตัวอักษรบางตัวในประโยคนั้นให้เป็นอักขระพิเศษเช่นการเปลี่ยนตัวเอ (a) ให้เป็นแอทไซน์ (@) หรือตัวไอ (i) ให้เป็นเครื่องหมายตกใจ (!) รวมถึงการใช้อักษรตัวใหญ่และตัวเล็กประกอบกัน ตัวอย่างเช่นการใช้วลีจากภาพยนต์สตาร์วอร์ที่ว่า “may the force be with you” มาใช้โดยไม่ต้องเว้นวรรค จะทำให้ต้องใช้เวลาในการเดาสุ่มมากกว่าหนึ่งแสนล้านปีเลยทีเดียว ซึ่งถ้ามีการเปลี่ยนตัวอักษรบางตัวให้เป็นอัขระพิเศษด้วยก็จะยิ่งทำให้ใช้เวลานานขึ้นไปอีก

ถึงแม้ว่าวลีผ่านจะทำให้การเดาสุ่มยากขึ้นแต่ก็ควรจะเปลี่ยนวลีผ่านในแต่ละบริการทุกๆ 3 เดือน และในแต่ละบริการก็ไม่ควรใช้วลีผ่านเดียวกันนั่นก็เพราะถ้าหากมีใครล่วงรู้วลีผ่านของเราในบริการหนึงเขาก็จะสามารถเข้าสู่บริการอื่นๆ ได้ด้วย

เพื่อนๆ สามารถทดสอบความยากของวลีผ่านได้ที่เว็บไซต์ https://howsecureismypassword.net

Posted by: cwt | พฤษภาคม 22, 2013

เปรียบเทียบ SDHC class 10 กับ 4

วันนี้ซื้อ SDHC class 10 เอามาใช้กับ Raspberry Pi และนี่คือการเขียน image ลงการ์ด

SDHC class 10

kobayashimaru:tmp cwt$ pv -tpreb rpfr-f18-final.img |dd of=/dev/rdisk2 bs=64m
2.93GiB 0:04:30 [11.1MiB/s] [==================================================>] 100%
0+48000 records in
0+48000 records out
3145728000 bytes transferred in 270.492852 secs (11629616 bytes/sec)

SDHC class 4

kobayashimaru:tmp cwt$ pv -tpreb rpfr-f18-final.img |dd of=/dev/rdisk2 bs=64m
2.93GiB 0:10:26 [4.79MiB/s] [==================================================>] 100%
0+48000 records in
0+48000 records out
3145728000 bytes transferred in 627.033449 secs (5016842 bytes/sec)

อันแรก class 10 คิดความเร็วถ้วนๆ ก็เขียนได้ 11MB/s (เมกกะไบต์ต่อวินาที)
อันที่สอง class 4 คิดความเร็วถ้วนๆ อีกเช่นกันได้ 5MB/s (เมกกะไบต์ต่อวินาที)

ตัดสินใจเลือกกันไม่ยากเลยใช่ไหม

Posted by: cwt | พฤษภาคม 21, 2013

Google Apps ไม่ฟรี หนีซบ Microsoft

Google Apps คืออะไร

บริการ Google Apps คือการนำเอา domain อื่นๆ ที่ไม่ใช่ของ Google มาใช้ทรัพยากรทั้งหลายของ Google เช่น Gmail, Youtube, Google Drive โดยจะได้ใช้ email เป็นของตัวเอง เช่น cwt@bashell.com ที่ผมใช้อยู่ก็อยู่บน Google Apps เช่นกันซึ่งเหมาะสำหรับบริษัทเล็กๆ ที่มี email ให้พนักงานใช้ไม่เกิน 10 email (ช่วงแรกๆ เคยขอใช้ได้ถึง 50 email)

เมื่อ ประมาณต้นปีนี้ (2013) ทาง Google ก็ได้ประกาศยกเลิกบริการ Gooogle Apps Standard Edition (ฟรี) แล้ว โดยผู้ที่จะสมัครใช้ใหม่จะต้องสมัคร Google Apps for Business เท่านั้น ยกเว้นโรงเรียน หรือสถานศึกษาจะสามารถสมัครใช้บริการ Google Apps for Education ได้ฟรีต่อไป

จริงๆ แล้วช่วงแรกๆ ที่ผมได้ข่าวการเปิดตัว Google Apps นั้น ผมก็ได้ยินว่าค่ายคู่แข่งอย่าง Microsoft ก็มีบริการทำนองนี้ด้วยเช่นกัน แต่เนื่องจากว่าในตอนนั้นบริการทางฝั่ง Microsoft ไม่ค่อยจะโดนใจผมเท่าไหร่ จึงไม่ได้สนใจทดลองใช้ แต่เมื่อทาง Google ปิดบริการแบบฟรีผมเลยกลับมามองทางฝั่ง Microsoft อีกครั้ง

สมัครใช้บริการของ Microsoft

บริการลักษณะเช่นนี้ของ Microsoft คือ Windows Live Admin Center โดยเข้าที่ http://www.domains.live.com/ และ login ด้วย Microsoft Account ของตัวเอง นั่นคือemail ที่ใช้กับ hotmail หรือ outlook.com จากนั้นเราจะสามารถ add domain ที่เราเป็นเจ้าของได้ โดยในขั้นตอนการสมัครนั้นจะต้องมีการแก้ไขค่า DNS เพื่อยืนยันว่าเราเป็นเจ้าของ domain นั้นจริงๆ โดยบนจอจะบอกขั้นตอนที่ต้องทำอย่างชัดเจน

เมื่อสมัครเสร็จ แล้วเราจะสามารถ login เข้า outlook.com ด้วย email ใหม่ บน domain ของเราเองได้ ซึ่งก็จะได้ใช้บริการต่างๆ ของ Microsoft เหมือนกับ Microsoft Account ปกติทุกอย่าง โดย email account นั้นสามารถใช้ได้ถึง 50 email เท่ากับ Google Apps ในสมัยแรกๆ เลยทีเดียว บริการ SkyDrive ที่เป็นลักษณะเดียวกับ Google Drive  แต่ให้เนื้อที่ 7GB ซึ่งมากกว่า Google Apps ที่ให้เพียง 5GB และรองรับการสร้างเอกสารออฟฟิศ online ทั้ง Word, Excel, PowerPoint และ OneNote

สรุป

บริการ ทั้งหมดนี้น่าจะเพียงพอต่อความต้องการของบริษัทขนาดเล็กที่ไม่ต้องลงทุนอะไร มาก เพียงแค่จด domain เป็นของตัวเองเท่านั้น ขั้นตอนการสมัครก็ไม่ยุ่งยากเกินไป แต่ถ้าบริษัทไหนต้องการให้ผมช่วยดำเนินการขั้นตอนต่างๆ เหล่านี้ได้ก็ติดต่อมาได้นะครับที่ cwt@bashell.com (แอบขายของ)

หมวดหมู่