IT Security 101 ภายในบ้าน สำหรับ IoT

ถือเป็นโน๊ตเล็ก ๆ ในการเริ่มต้นใช้งาน IoT ในบ้านสำหรับใครหลาย ๆ คนที่ห่วงเรื่อง IT Security หลังจากติดตั้ง IoT ในบ้านก็แล้วกัน อาจจะไม่ครอบคลุมทั้งหมด แต่คิดว่าหลัก ๆ น่าจะประมาณนี้ บางอย่างก็อาจจะเวอร์ไป ก็ดู ๆ ตาม ความเหมาะสม

  1. ปรับแต่ง router gateway ของบ้านให้แน่ใจว่าไม่มี port services ที่ไม่ต้องการเปิดรับ traffic จาก internet และถ้าเป็นไปได้ให้ปิดทั้งหมด
  2. ตั้งค่า username และ password ของ router gateway ที่ไม่ใช่ค่าเริ่มต้น และควรตั้งยากๆ หน่อย (แต่ก็อย่าลืมด้วยหล่ะ)
  3. Wi-Fi ในบ้านตั้งรหัสผ่านเข้าเป็น WPA2-AES เป็นอย่างน้อย และรหัสผ่านควรตั้งยาว แต่ยังพอจำได้
  4. เป็นไปได้หา managed switch แบ่ง VLAN ออกเป็นส่วน ๆ เช่น Home, IoT และ Guest เป็นต้น
  5. ทำ monitor traffic ของ IoT ที่ติดต่อกับ internet และ block การส่งข้อมูลออกในอุปกรณ์ที่ไม่ควรจะส่งข้อมูลออก internet ให้มันอยู่ใน VLAN นั้นเท่านั้นพอ หาก allow ให้ติดต่อ internet ก็เช็ค domain หรือ IP Address ก่อนติดต่อออกไป
  6. เป็นไปได้ให้แยก VLAN อุปกรณ์ที่คาดว่าจะมีความเสี่ยงเช่น NAS, NVR หรือ CCTV ไปไว้อีก VLAN ไม่ยุ่งเกี่ยวกับใครเลย เวลาเข้าให้ตั้งค่า policy ของ firewall ให้ allow เฉพาะ mac address หรือ IP Address ที่กำหนดเท่านั้นถึงจะเข้าไปดูได้
  7. ระบบ NAS, NVR หรือ CCTV ไม่ต่อ public internet ตรง ให้ VPN เข้าไปดูผ่าน Desktop หรือ Notebook ที่ทำตัวเป็น terminal เท่านั้น เพราะอุปกรณ์เหล่านี้สุ่มเสี่ยงถูกแฮก รวมไปถึงถูกควบคุมเป็น botnet ได้ง่ายมาก เพราะผู้ใช้งานมักไม่อัพเดทตัวซอฟต์แวร์ล่าสุด หรืออุปกรณ์สิ้นสุดการสนับสนุนจากผู้ผลิตแล้ว ทำให้มีช่องโหว่ใหม่ ๆ ตามมามีความเสี่ยงมากขึ้นไปอีก
  8. เป็นไปได้ ให้แยก Wi-Fi router สำหรับแขกที่มาบ้านอีกตัว ต่อเข้า port อีกช่องบน managed switch ที่กำหนด VLAN อย่างเฉพาะก่อนต่อเข้า router gateway หรือร่วมกับ network ภายในบ้าน และ block ไม่ให้ access ข้าม VLAN แต่เพื่อความสะดวก Guest อาจจะสามารถ Cast ขึ้น Chromecast ได้เมื่อจำเป็น
  9. ถ้าคิดว่าซีเรียสเข้าไปอีก กำหนดให้หากพบ mac address ที่ไม่ได้ลงทะเบียนก่อน จะไม่สามารถต่อ internet หรือเข้าถึง network ได้ด้วย

จากคำแนะนำเบื้องต้นข้างต้น ผมจะโฟกัสที่การเข้าถึงอุปกรณ์ทีอ่อนไหว และสุ่มเสี่ยงต่อความเป็นส่วนตัวอย่าง NAS, NVR หรือ CCTV เพราะหากถูกเข้าถึงโดยผู้ไม่หวังดี ย่อมให้เกิดความเสียหายได้อย่างมาก เรื่องนี้จึงเป็นสิ่งที่ต้องเริ่มใส่ใจให้มากขึ้น

เพราะใครจะไปคิดว่าแค่หลอดไฟมันจะต่อ WiFi และเชื่อมเข้า internet ได้มากขึ้น ฉะนั้นเรื่อง IT Security ภายในบ้านก็สำคัญ และควรเริ่มใส่ใจ

เมื่อข้อมูลบัตรเครดิตถูกขโมยไปใช้ทำอย่างไร

เมื่อหลายวันก่อน ถูกนำข้อมูลบัตรเครดิตไปซื้อสินค้า-บริการแปลก ๆ บน APPLE.COM จำนวน 2 ยอดในเวลา 2 นาที จำนวนเงิน 3,000 บาท แต่ยังโชคดีที่บัตรเครดิตดังกล่าว มีบริการแจ้งเตือนผ่านแอปว่ามีการซื้อสินค้า-บริการแทบจะทันที ทำให้เราทราบยอดหลังจากถูกใช้งานไปแล้วไม่นาน (หลักนาที)

พอผมเห็นยอดที่ไม่ได้ใช้งานโผล่มา ก็หงุดหงิดปนงง ๆ เพราะเป็นคนใช้งานบัตรเครดิตอย่างระมัดระวังอย่างมาก ทั้งปิดบัตรเลข CVV ด้วยการติดสติ๊กเกอร์ void หรือปิดบังเดือน-ปี หมดอายุของบัตรอย่างดี แต่เอาหล่ะ โดนเข้าให้แล้วก็ต้องแก้ปัญหา

เริ่มด้วยโทรหา Call Center ของบัตรเครดิตยี่ห้อนั้น เพื่อทำแจ้งอายัดบัตร ออกบัตรใหม่ เจ้าหน้าที่แจ้งขั้นตอน และส่งเอกสารเพื่อยกเลิกยอดการใช้งานดังกล่าวทันที คือวางสายแล้วไม่เกิน 5 นาที เอกสาร PDF มาถึงอีเมลที่แจ้งกับธนาคารผู้ออกบัตรไว้ พอได้เอกสารดังกล่าว พิมพ์ และกรอกข้อมูลตามเอกสาร แสกนส่งอีเมลที่ระบุในเอกสาร ซึ่งรอ 3 วันทำการ

หลังจากขั้นตอนเอกสารกับธนาคารจบ ก็เข้า Apple support ซึ่งเป็นผู้ตัดยอดเงินดังกล่าว (ถ้าเป็นบริษัทอื่น ๆ ลองหาช่องทางอีกที) โดย Apple มีบริการ support แบบจองคิวแล้วให้ Apple ติดต่อกลับทางโทรศัพท์ ซึ่งผมทำเรื่องจองคิว พอตามนัดหมายที่นัดไว้ Apple ก็โทรศัพท์มา ปลายสายเป็นพนักงานคนไทยพูดสาย ก็แจ้งข้อมูลต่าง ๆ เพื่อตรวจสอบยอดเงิน พร้อมเวลาทำธุรกรรมเพื่อให้หวังให้ทาง Apple ทำการยกเลิกธุรกรรม และไม่เรียกเก็บธุรกรรมดังกล่าว ซึ่ง Apple ตรวจสอบยอดว่ามียอดนี้อยู่จริง และทำการ verify บัญชีว่าเรามี Apple ID และเราไม่ได้ใช้บัตรดังกล่าวในระบบของ Apple ผ่าน Apple ID ใด ๆ ก่อนหน้านี้ โดยจากการตรวจสอบทั้งหมด Apple ก็ทำการยกเลิกธุรกรรม โดยทาง Apple แจ้งว่าภายใน 48 ชั่วโมงยอดเงินที่ตัดไปควรจะกลับเข้าบัตรตามเดิม แต่อย่างไรก็ตามแนะนำให้ตรวจสอบกับทางธนาคารเจ้าของบัตรอีกครั้ง

หลังจากทำเรื่องทั้งต้นทาง และปลายทางแล้วสัก 2 วันทำการ ทางผมก็ได้ SMS แจ้งจากธนาคารผู้ออกบัตรว่าเอกสารเข้าสู่ขั้นตอนตรวจสอบเอกสารแล้ว

หลังจากวันที่โดนขโมยข้อมูลบัตรไปใช้งาน 4 วัน ทางธนาคารโทรมาแจ้งว่าทาง Apple คืนยอดเงินกลับมา และทางธนาคารยืนยันยอด เราสามารถตรวจสอบผ่านแอปของธนาคารได้ว่ายอดเงินกลับเข้าบัตรแล้ว พร้อมทั้งแจ้งบัตรใหม่ได้ถูกส่งออกมาแล้วและให้รอรับบัตรใหม่

ทั้งหมดเป็นขั้นตอนในการแก้ไขปัญหาหลังจากข้อมูลบัตรเครดิตถูกขโมยนำไปใช้ ยิ่งรู้เร็วยิ่งแก้ไขได้เร็ว แนะนำว่าพบเจอยอดแปลก ๆ ให้รีบแจ้งธนาคารอย่าปล่อยไว้พ้นวัน ถ้าทำภายในวันที่ถูกขโมยใช้งานได้จะดีมาก การขอคืนจะง่ายและรวดเร็วมาก

โดยจากทั้งหมดที่กล่าวมา ผมค่อนข้างโชคดีที่โดนกับบัตรเครดิตที่มีแอปแจ้งเตือนแทบจะทันทีที่มีการตัดเงินเข้ามาในบัตร ทำให้แก้ไขปํญหาได้เร็ว ถ้าไปเจอบัตรบางใบที่กว่าจะรู้ตัวยอดก็เรียกเก็บเข้าบัตรแล้ว 3-4 วันหลังจากโดน หรือซวยหนักกว่านั้นคือจัดยอดเงินระหว่างเดือนไปแล้ว ไม่รู้จะเรื่องยาวกว่านี้ไหม