ตู้ Service Vending ออก SIM ไม่มีขั้นตอนยืนยันตัวตนที่รัดกุม เบอร์มือถือที่แจ้งรับ OTP จาก internet banking มีความเสี่ยง

อัพเดทเพิ่มเติม 4/5/2016 19:25
1. ทาง blognone.com ได้ติดต่อสอบถามกับทาง AIS เพื่อแจ้งปัญหาแล้ว และมีจดหมายชี้แจ้งมาแล้วเช่นกัน
2. ผมได้รับการติดต่อจากทาง PR ของ AIS เป็นการส่วนตัวเพื่อแจ้งให้ทราบว่า ทาง AIS กำลังปรับปรุงขั้นตอนเหล่านี้ให้รัดกุมมากขึ้น

เมื่อวันเสาร์ผมเจอประเด็นน่าสนใจในงาน MiSS Day เรื่องขอ SIM card ใหม่จากตู้ Service Vending (ตู้ออก SIM card อัตโนมัติมีคนรีวิวไว้เผื่อนึกภาพไม่ออก) ของค่ายมือถือรายหนึ่ง (ในงานไม่ได้ระบุว่าค่ายไหน) แต่แน่นอน ผมจำค่ายดังกล่าวได้ เพราะโฆษณาไว้นานพอสมควร โดยระบุไว้ว่า เพียงแค่เสียบบัตรประชาชนก็ออก SIM card ใหม่ได้เลย ซึ่งทางวิทยากรมองว่า เป็นช่องโหว่ที่สามารถขโมยหมายเลขโทรศัพท์มือถือของเราได้ง่ายมากหากบัตรประชาชนผู้ใช้งานถูกขโมย หรือสูญหาย รวมไปถึงหากผู้ใช้งานเป็นเป้าหมายในในการแฮกระบบอื่นๆ ก็อาจเป็นช่องทางที่จดขโมยช่องทางรับ OTP ของบริการอย่าง internet banking หรือบริการ online ที่ใช้ความสามารถยืนยันตัวหลายหลายปัจจัย (2-factor authentication) ที่ใช้หมายเลขโทรศัพท์ดังกล่าวในการผูกระบบ OTP กับเบอร์มือถือนั้น ซึ่งถือเป็นสิ่งที่ซีเรียสมาก

โดยหลังจากเลิกงานนี้ในช่วงเย็น ผมได้ติดต่อกับทาง call center ค่ายมือถือดังกล่าว เพื่อทำเรื่องปิดช่องการออก SIM card จากช่องทางนั้น โดนแจ้งวัตถุประสงค์อย่างชัดเจนว่าขอไม่ให้ออก SIM card ใหม่กับช่องทางดังกล่าวด้วยเหตุผลข้างต้น และให้ออก SIM card กับพนักงานแทนเท่านั้น ซึ่งทาง call center แจ้งกลับมาว่า ไม่สามารถปิดการขอ SIM card ผ่านช่องทางดังกล่าวได้ 

เมื่อเป็นเช่นนั้น คำแนะนำในตอนนี้สำหรับทุกคนที่ใช้ค่ายมือถือดังกล่าวในการรับ OTP เพื่อทำธุรกรรมทางการเงิน หรือบริการออนไลน์ต่างๆ ควรเก็บบัตรประจำตัวประชาชนของท่านไว้ให้ดี เพราะบัตรประชาชนที่ใช้กับตู้ดังกล่าว ไม่ได้ใช้การยืนยันความเป็นเจ้าของบัตรผ่านรหัส PIN แบบเดียวกับบัตรเครดิตหรือบัตรเอทีเอ็ม ทำให้เพียงแค่มีบัตรประชาชนก็เพียงพอในการออก SIM card ได้ทันทีตามที่ได้กล่าวข้างต้น ซ้ำร้ายกว่านั้น การที่ไม่มีการยืนยันความเป็นเจ้าของบัตรผ่านรหัส PIN แม้ว่าจะมีการแจ้งหายกับทางเจ้าหน้าที่ตำรวจไว้ ก็ไม่มีระบบอายัดบัตรดังกล่าวที่สามารถทำให้บัตรที่สูญหายไปนั้น ระงับการใช้งานผ่านบัตรดังกล่าวได้แบบเดียวกับบัตรเครดิตหรือบัตรเอทีเอ็ม นั้นหมายความว่า ณ ตอนนี้เราไม่สามารถปิดการใช้งานบัตรที่สูญหาย และสามารถนำบัตรนั้นไปออก SIM card ได้แม้จะมีการแจ้งความหมายและออกบัตรใหม่ไปแล้วก็ตามที

อ้างอิง

เปิดใช้ความสามารถ Letter Sealing ในแอพ LINE บน iOS เพื่อเข้ารหัสข้อความจากปลายทางถึงปลายทาง ช่วยป้องกันการดักอ่านข้อมูล

จากข่าว LINE เปิดฟีเจอร์ Letter Sealing เข้ารหัสแบบ End-to-End แล้ว เป็นความพยายามเพิ่มความเป็นส่วนตัวของการคุยกันของลูกค้าจากทาง LINE ซึ่งในขณะนี้สามารถเข้ารหัสข้อความแบบคุยกัน 1 ต่อ 1 หรือแชร์ตำแหน่งระหว่างกันได้แล้ว โดยเป็นการเข้ารหัสข้อความจากปลายทางถึงปลายทาง (End-To-End, E2EE) ช่วยป้องกันการดักอ่านข้อมูล หรือการเปิดอ่านข้อความจากฝั่งผู้ให้บริการเอง โดยข้อความที่คุยกันจะอ่านได้เพียงเครื่องที่ส่ง และเครื่องที่รับข้อความเพียงเท่านั้น

สำหรับคนที่ใช้ iOS ความสามารถนี้ต้องมาเปิดเอง ซึ่งการเปิดใช้งานก็ไม่ได้ยากอะไร

1. ไปที่ Settings ของแอพ LINE

2. ไปที่ Chats & Voice Calls

2015-10-13 16.07.10c 2015-10-13 16.07.05

3. ทำการเปิดการใช้งาน Letter Sealing ผ่านตัวเลือก

โดยจะมีข้อความเตือนว่า ข้อความพรีวิวที่ Notification จะไม่สามารถแสดงผลได้ ซึ่งก็เข้าใจได้ในเชิงความเป็นส่วนตัวในการใช้งาน

เพียงเท่านี้ก็เรียบร้อยแล้ว ….

2015-10-13 16.06.50 2015-10-13 16.07.17

Find my iPhone ไม่ต้องใช้ Two-step verification สำหรับเข้าใช้งานบน iCloud.com แม้จะเปิดใช้งาน Two-step verification ใน Apple ID

แม้เราจะเปิด Two-step verification ใน Apple ID แล้ว แต่ยังมีความสามารถหนึ่งที่ชื่อ Find my iPhone ที่สามารถเข้าถึงได้ทันทีโดยไม่ต้อง verify ผ่าน Two-step verification ได้ ทำให้เข้าไปดูว่าเครื่องที่ใช้กับ account นั้นอยู่ที่ไหน (Locate) ใช้เล่นเสียง (Play Sound), เข้าโหมดแจ้งหาย (Lost Mode) และแม้แต่ลบข้อมูล (Erase iPhone) ได้

ส่วนตัวมองว่าเป็นช่องว่างที่สำคัญ (อาจจะตั้งใจ) ที่อาจทำให้ผู้ไม่หวังดีสามารถเข้าถึงผ่านการเดารหัสผ่าน และเข้ามา “ลบข้อมูลใน iPhone” ของเราได้ทันที (ส่วนการติดตามว่าอยู่ที่ไหนนี่อีกเรื่องนึง แต่ถือว่าไม่ปลอดภัยเหมือนกัน)

ซึ่งแตกต่างจากค่ายอื่นๆ ที่ใช้อีเมล หมายเลขโทรศัพท์สำรอง รวมไปถึง recovery code ในการเข้าใช้งานแทน verification code ที่จะส่งมาให้กับ trusted device ที่อาจจะทำหายไปแทน ซึ่งดูแล้วไม่รัดกุมเท่าไหร่นัก

โดยคำแนะนำตอนนี้คือ ตั้งรหัสผ่าน Apple ID ให้แข็งแรงเข้าไว้ (ยากต่อการเดา) และเปลี่ยนบ่อยๆ เพื่อป้องกันเหตุจากการที่ผู้ไม่ประสงค์ดีใช้ความสามารถดังกล่าวในทางที่ผิด

หมายเหตุ ไม่รู้ว่าหาไม่เจอ หรือว่ามันเป็นแบบนี้อยู่แล้วนะ คือผมพยายามหาที่เปิดใช้ Two-step verification ในส่วนของ Find my iPhone แต่หาไม่เจอ ใครทราบเม้นไว้ก็ได้ครับ

2015-09-26_231445

ปิดความสามารถที่ทำตัวเสมือน keylogger ใน Windows 10 ที่จะส่งข้อมูลให้ Microsoft

ซอฟต์แวร์ในปัจจุบันมักมีการส่งข้อมูลพฤติกรรมการใช้งานของลูกค้ากลับไปยังผู้ผลิต เพื่อปรับปรุงตัวซอฟต์แวร์ และสร้างประสบการณ์ที่ดีในรุ่นถัดไปจนเป็นเรื่องปรกติ และใน Windows 10 นั้น มีการเก็บข้อมูลพฤติกรรมบางอย่างที่สุ่มเสี่ยงต่อการเก็บข้อมูลสำคัญ เช่น รหัสผ่าน หมายเลขบัตรเครดิต หรือข้อมูลธุรกรรมทางการเงินที่สำคัญ ซึ่งดักจับผ่านการพิมพ์บนคีย์บอร์ด (keylogger) แล้วนำส่งไปที่ Microsoft ซึ่งยังไม่มีรายงานว่าการเก็บข้อมูลที่พิมพ์ไปนั้น มีอะไร เก็บรักษาอย่างไร ปลอดภัยและไว้ใจได้แค่ไหน

สิ่งที่คลุมเครือ และไม่ชัดเจนแบบนี้ ในฐานะลูกค้าคนหนึ่งจึงคิดว่าควรปิดมันเสียจะดีกว่า

ขั้นตอนมีดังนี้

1. ไปที่ Start menu เลือก Settings

image

2. เลือกหัวข้อ Privacy

image

3. ในหัวข้อ General ที่ตัวเลือก Send Microsoft info about how I write to help us improve typing and writeing in the future ให้เลือกเป็น Off

2015-09-09_211214

4. ที่หัวข้อ Speech, inking, & typing ให้กดปุ่ม Stop Getting to know me เพื่อปิดการรับข้อมูลของ Cortana

2015-09-09_211247

ขั้นตอนไม่ได้ยุ่งยากซับซ้อนแต่อย่างใด โดยส่วนตัวแล้วแนะนำให้ปิดครับ

DNSSEC และ DANE ช่วยป้องกันการโดน Pharming และป้องกันการออก Certficate ปลอมหรือซ้ำซ้อน

การทำ DNSSEC ช่วยป้องกันการโดน Pharming (หรือเรียก DNS spoofing หรือ DNS cache poisoning) เพราะเป็นการ signed ตัว DNS Server ที่ใช้งานคู่กับ domain name ที่จดกับผู้รับจด domain เวลาตรวจสอบคำตอบที่ Resolver จะเช็คว่ามาจาก Name server ตัวจริงหรือไม่ ช่วยให้การได้รับ IP ส่งให้ client มีความถูกต้องเสมอ (ทดสอบแบบง่ายๆ คือแก้ไขไฟล์ hosts บนเครื่องให้วิ่งไปอีกเครื่องหนึ่งที่มีข้อมูลเหมือนกันทุกประกาศ ทำตัวเหมือนโดน trojan มาเปลี่ยนบนเครื่องให้ไปเครื่องปลอมเพื่อหลอกเอาข้อมูล)

image 

image

image

image

 

สำหรับการทำ DANE ป้องกันการถูก fake certificate หรือเจอ Certification Authority ออกใบ certificate ซ้ำซ้อน เพราะเราจะเอา fingerprint ของ certificate ใส่ลงใน TLSA record บน DNS Server ทำให้ตอนตัว browser เรียกเว็บ จะมีการตรวจสอบว่า certificate ที่ได้มา มี fingerprint ตรงกับที่อยู่ใน TLSA record หรือไม่

image 

image

 

ซึ่งทั้งสองอย่างยังไม่ค่อยเจอเว็บทั่วไปทำสักเท่าไหร่ และ browser ทั้ง 3 อันดับแรก ถ้าไม่ลง plugins ก็ยังตรวจสอบไม่ได้ครับ แต่เชื่อว่าอีกสักพักคงทยอยค่อยๆ ปรับกันมาแล้ว และเว็บในไทยที่เท่าที่เจอยังไม่ค่อยมีใครทำขนาด Google, Facebook, Micorosft ยังไม่ทำเลย

การทำให้เว็บรองรับ DNSSEC และ DANE ช่วยเพิ่มระบบในการป้องกันการที่ผู้ใช้งานเข้าใช้บริการของเว็บต่างๆ ได้ปลอดภัยมากขึ้นจากการทำ Man-in-The-Middle attacks ได้

วิดีโออธิบายการทำงานของ DNSSEC และ DANE

Tutorial on DANE and DNSSEC

ตัวอย่างเว็บที่ implement DNSSEC หรือ DANE

อ้างอิง