security ขั้นพื้นฐานสำหรับผู้ใช้งาน Google Apps

Google Apps คือระบบการสื่อสารและทำงานร่วมกันสำหรับองค์กร ในรูปแบบ Software-as-a-Service นั่นคือ ผู้ให้บริการ (ในที่นี้คือ Google) จะบริหารจัดการระบบหลังบ้านให้ทั้งหมด องค์กรสามารถเข้าถึงและใช้งานระบบได้ทันที ซึ่งนั่นรวมถึงการบริหารจัดการให้ระบบมีความปลอดภัย ทั้งในแง่ของการป้องกันการเข้าถึงที่ไม่ได้รับอนุญาติ (Confidentiality) การเก็บและส่งข้อมูลที่ถูกต้อง (Integrity) และการพร้อมให้บริการได้ตลอดเวลา (Availability) หรือจำง่ายๆ ว่า C-I-A

แต่ไม่ว่าระบบจะแข็งแกร่งแค่ไหน จุดอ่อนหนึ่งที่จะยังคงอยู่เสมอนั่นก็คือ จุดอ่อนจากตัวผู้ใช้งานนั่นเอง ซึ่งบทความนี้จะแนะนำเกร็ดความรู้ต่างๆ ที่เกี่ยวข้องกับตัวผู้ใช้งาน เพื่อให้รู้เท่าทันภัยอันตรายในโลกออนไลน์ รู้จักระวังตัว และลดความเสี่ยงจากพฤติกรรมต่างๆ ที่ทำให้ข้อมูลตกอยู่ในอันตรายได้ ซึ่งเกร็ดความรู้เหล่านี้ เป็นเรื่องที่ทำความเข้าใจได้ง่ายๆ และใกล้ตัวมาก จึงจำเป็นที่ผู้ใช้งานควรจะรู้ไว้

Spoofed email สวมรอยผู้ส่งจดหมาย

สมัยนี้ คนน่าจะส่งจดหมายกันน้อยลง (โปสการ์ดอาจจะมีบ้าง ตามโอกาสพิเศษ) ใครที่ไม่เคยส่งจดหมายจะลองทำตามดูก็ได้ครับ คือเขียนจดหมายหาเพื่อน แต่ที่อยู่ผู้ส่งให้ระบุเป็นใครก็ได้ที่เพื่อนเรารู้จัก อาจจะเป็นพ่อแม่เพื่อน ญาติของเพื่อน หรือเพื่อนอีกคนในกลุ่มก็ได้ ประเด็นก็คือ ไม่ว่าคุณจะระบุผู้ส่งว่าเป็นใคร จดหมายฉบับนั้นจะถูกส่งถึงเพื่อนคุณ (ผู้รับ) ตามจ่าหน้าซอง

อีเมลก็เหมือนกันครับ ในการส่งอีเมล มันไม่ใช่เรื่องยากเลย ที่คนร้ายจะจ่าหน้าซองผู้ส่งเป็นคนอื่น เช่น เป็นกรรมการผู้จัดการใหญ่ หรือเป็นลูกค้า ส่วนเรื่องว่า คนร้ายต้องการอะไรนั้นก็ขึ้นอยู่กับเนื้อหาในอีเมล ว่าบอกให้เราทำอะไร แต่เป้าหมายของการปลอมจ่าหน้าซองนั้น ก็เพื่อเพิ่มเปอร์เซนต์ที่เราจะเปิดอีเมลฉบับนั้นนั่นเองครับ

หัวข้อนี้แค่ต้องการให้รู้ไว้ว่า วิธีการแบบนี้มันทำได้ไม่ยาก รู้ไว้จะได้ระวังตัวเวลาเจออีเมลจากคนรู้จัก ว่าอาจจะไม่ได้มาจากเจ้าตัวจริงๆ ก็ได้

Phishing site เวบปลอมที่เนียนเหมือนเวบจริง

การโจมตีเพื่อขโมยข้อมูลอีกรูปแบบหนึ่ง ที่ระบาดหนักขึ้นเรื่อยๆ เพราะมันใช้ได้ผลดี ไม่ใช่การเจาะช่องโหว่อะไรหรอกครับ แต่เป็นการขอข้อมูลเราแบบซึ่งๆ หน้า (ข้อมูลสำคัญๆ ทั้งหลาย เช่น username password ของบัญชีธนาคาร, บัญชี facebook, บัญชี Google ฯลฯ) และที่สำคัญก็คือมีคนให้ข้อมูลเหล่านั้นไปด้วย

วิธีการก็คือ คนร้ายจะทำเวบขึ้นมาเลียนแบบเวบต้นฉบับ (เรียกว่า phishing) แบบแยกไม่ออกเลยทีเดียว และหาทางหลอกล่าให้คนเข้ามาที่หน้าเวบดังกล่าว เมื่อมีคนหลงเข้ามาและคิดว่าเป็นเวบจริง ก็จะใส่ข้อมูลจริงเข้าไป ซึ่งหารู้ไม่ว่า ข้อมูลเหล่านั้นไปอยู่ในมือคนร้ายเรียบร้อยแล้ว ไม่ต้องรอนานหรอกครับ ข้อมูลสำคัญๆ ใน account นั้นจะถูกล้วงไปอย่างง่ายดายและรวดเร็ว โดยได้รับความร่วมมือจากตัวคุณเอง!

หน้า login ที่เหมือน facebook ถ้าใครใส่ข้อมูลเข้าไป ก็จะโดนขโมยข้อมูลทันที
ภาพจาก: yakimanetworking

คุณไม่ใช่ผู้โชคดี แต่คุณคือผู้ถูกเลือก

คนร้ายจะใช้ spoofed mail และ phishing site แบบหวังผล นั่นก็คือ คุณไม่ใช่แค่คนโชคดีคนหนึ่งที่ได้รับอีเมลปลอม หรือ เวบปลอม แค่คุณคือเป้าหมายที่คนร้ายเจาะจงไว้แล้ว เพราะการโจมตีจะมาในรูปแบบที่แนบเนียนมาก ทั้งชื่อผู้ส่งที่คุณติดต่อเป็นประจำ หรือเวบ phishing ที่ไม่ได้ปลอมมั่วๆ แต่จะเป็นเวบที่คุณเองใช้บริการเป็นประจำ หรือเนื้อหาในอีเมลที่จะสอดคล้องกับการสวมรอย เช่น หากคนร้ายระบุเรื่องการโอนเงิน มักจะสวมรอยเป็นฝ่ายการเงิน ผู้บริหาร หรือ supplier

พฤติกรรมการดูแลและใช้ password ที่ไม่ปลอดภัย

password คือกุญแจดอกแรก (หลายๆ ครั้งเป็นกุญแจดอกเดียว) สำหรับเข้าถึงข้อมูล 
อย่างแรกที่ควรหลีกเลี่ยงก็คือ การใช้ password ซ้ำๆ กันในหลายๆ account เช่น password ของ อีเมลที่ทำงาน, อีเมลส่วนตัว, LinkedIn, Dropbox, Facebook, Google, Yahoo ฯลฯ เป็น password ชุดเดียวกัน ความเสี่ยงก็คือ หากระบบใดระบบหนึ่งโดนเจาะและขโมยข้อมูล password ไปได้ account ที่เหลือจะตกอยู่ในอันตรายทันที ลองดูตัวอย่างข่าวข้อมูล password หลุดดูนะครับ
ใครที่ใช้ password ชุดเดียว หลายๆ service รีบไปเปลี่ยนเลยนะครับ เดี๋ยวนี้เลย! เปลี่ยนเสร็จแล้วค่อยมาอ่านต่อ

ต่อมาคือการตั้ง password ที่ง่ายเกินไป เช่น เป็นคำศัพท์ทั่วไป หรือเป็นข้อมูลทั่วๆ ไป พวกวันเกิด เลขที่บ้าน ทะเบียนรถ ผมว่าอันนี้ทุกคนรู้อยู่แล้ว แต่จะทำหรือเปล่านั้นอีกเรื่องหนึ่ง เพราะส่วนใหญ่แล้วเรามักจะมาคิด password กันตอนที่ต้องสมัครใช้บริการ ถ้าสมัครไปแล้วก็ไม่เป็นไรครับ แต่ผมอยากให้ใช้เวลามาคิดหา password แบบจริงจังอีกครั้ง (เทคนิคการคิด password มีหลายแบบมาก ลองหาข้อมูลดู ไม่ยากครับ) เมื่อได้ password ที่ดีพอแล้ว ค่อยไปเปลี่ยนจาก password ที่คิดไว้ง่ายๆ ตอนสมัครใช้งาน ก็ยังไม่สายครับ

อีกพฤติกรรมยอดฮิต ก็คือการจด password ไว้ตามที่ต่างๆ ทั้งเป็นกระดาษบนโต๊ะ หรือเป็นไฟล์โล่งโจ้งใน desktop ก็ตาม ผมเข้าใจว่าปัญหามันเกิดจากว่าเรามี account เยอะเกินไป จะมานั่งจำทุก account ก็ไม่ไหว (ก็เพิ่งบอกไปเองว่าไม่ควรใช้ password ซ้ำกัน) ก็เลยต้องหาตัวช่วยจำ ซึ่งจริงๆ ตัวช่วยจำมันก็มีเยอะครับ เป็นโปรแกรมจัดการ password ที่หาใช้ได้ทั่วไป น่าจะช่วยเพิ่มความปลอดภัยได้อีกนิด เพราะถ้ายังใช้วิธีแบบเดิมๆ มันช่วยจำได้ดีจริงครับ แต่ไม่ได้ช่วยเราคนเดียว ช่วยให้คนอื่นเห็น password เราได้ง่ายๆ ด้วย

โลกสวยด้วยมือเรา

สำหรับคนที่ใช้ Gmail (ไม่ว่าจะ consumer หรือ corporate) เมื่อคุณเจออีเมล spam หรืออีเมล phishing ให้กดปุ่ม Report spam, Report phishing ได้เลยครับ ปุ่มอยู่หน้าเดียวกับที่คุณเปิดอีเมลอ่านนั่นแหละ

การ report ไปยังระบบ นอกจากจะเป็นการปกป้องตัวเองแล้ว ยังเป็นการช่วยเหลือสังคมด้วย (จริงๆ) เพราะข้อมูลที่เรา report ไป จะช่วยให้ระบบเรียนรู้และป้องกันการโจมตีรูปแบบเดียวกันนี้ให้คนอื่นๆ ได้ด้วย ในทางกลับกัน หากคนอื่นเจอก่อนและกด report เราก็จะได้รับการคุ้มครองด้วยเช่นกัน ถ้าทุกคนช่วยกันคนละไม้คนละมือ โดยรวมแล้วทุกคนก็จะปลอดภัยกันมากขึ้นครับ (#โลกสวย)

ปุ่ม Report spam/phishing อยู่ข้างๆ ลูกศร Reply ถ้าเจอก็กด report ได้ทันที

ตรวจสุขภาพ account ด้วยตัวเองง่ายๆ

การตรวจสุขภาพประจำปี (ควรตรวจทุก 6 เดือน) ทำให้เราตรวจพบสิ่งผิดปกติตั้งแต่เนิ่นๆ และหาทางแก้ไขได้ทัน ก่อนจะเกิดเรื่องใหญ่ วิธีคิดแบบนี้นำมาใช้กับการดูแล account ได้เหมือนกัน

Google ได้เตรียมเครื่องมือให้เราตรวจสุขภาพ account ของเราไว้แล้ว แค่ทำตามนี้
  1. ไปที่ https://myaccount.google.com/
  2. หาหัวข้อ Security Checkup
  3. กด GET STARTED
และทำไปตามขั้นตอนด้วยความใส่ใจ (ไม่ใช่เอาแต่กด next ๆๆ ให้มันจบๆ ไป) เพียงเท่านี้เราก็จะสามารถลดความเสี่ยง เท่าที่จะลดได้ไปแล้ว
รายละเอียดขอไม่พูดถึงนะคับ ลองทำกันเองได้เลย แนะนำให้ทำตามรอบเวลา แล้วแต่สะดวก ไม่ใช่ทำครั้งเดียวทิ้งนะครับ ต้องกลับมาทำเรื่อยๆ ถ้าใครกลัวลืม ก็ทำพร้อมกับการตรวจสุขภาพประจำปี หรือการขูดหินปูนประจำปี ก็ได้ครับ :D

Google เตรียม Security Checkup ไว้ให้แล้วนะ เข้ามาใช้กันด้วย

แค่ reset password อย่าคิดว่าจะรอด

ใครที่เคยเจอเหตุการณ์ที่ "สงสัย" ว่า account ตัวเองจะโดนขโมยเข้ามาแอบใช้งาน ก็เลยเปลี่ยน password ทันทีและยิ้มในใจว่า "เรานี่เก่งจริงๆ ไหวตัวทันและแก้ไขได้อย่างรวดเร็ว ไอ้โจรมันคงเงิบอยู่แน่ๆ" จริงๆ แล้วเราอาจจะต้องมาเงิบเองทีหลังครับ เพราะว่าก่อนหน้าที่เราจะเปลี่ยน password โจรคนนั้นอาจจะเข้าไปตั้งค่าต่างๆ ใน account ของเราเพื่อให้ดึงข้อมูลออกไปได้ หรือฝังข้อความอันตรายบางอย่าง ซึ่งมันจะยังคงอยู่ แม้ว่าเราจะเปลี่ยน password ไปแล้วก็ตาม ตัวอย่างการตั้งค่าที่ควรตรวจสอบเมื่อสงสัยในความปลอดภัย เช่น
  • เปิดสิทธิ์ให้ app 3rd party แปลกๆ เข้ามาใช้งานข้อมูลใน account
  • เปิดสิทธิ์ calendar, เอกสารต่างๆ และ Google Sites
  • แอบใส่ member แปลกๆ เข้าไปใน group (กรณีที่ account นั้น ได้สิทธิ์จัดการ member ของ group)
  • แอบใส่ข้อความอันตรายใน signature ของอีเมล
  • แอบใส่ข้อความอันตรายในการตอบอัตโนมัติ (vacation responder) ของอีเมล
  • แอบเพิ่มชื่อผู้ส่ง (send mail as) จาก account นั้นๆ
  • แอบสร้าง forwarding address, แอบตั้ง forward อีเมลทุกฉบับ
  • แอบสร้าง filter เพื่อ forward อีเมล
  • แอบสร้าง mail delegation
  • แอบเปิดใช้ Application-specific passwords
  • ฯลฯ

พฤติกรรมที่ทำให้ account เราปลอดภัยมากขึ้น

สุดท้ายแล้ว ผู้ใช้งานควรจะเพิ่มความระมัดระวังในการใช้งาน online service ให้มากขึ้น นอกจากจะช่วยให้ตัวเองอยู่รอดปลอดภัยแล้ว เราจะไม่เป็นพาหะในการโจมตีผู้อื่นต่อด้วย เพราะหลายๆ ครั้ง ที่ account ที่ถูกเข้าถึงนั้น คนร้ายจะสามารถเข้าถึง contact ทั้งหมด และโจมตีต่อเนื่อง สร้างผลกระทบในวงที่กว้างขึ้น ไปเรื่อยๆ สิ่งที่พอจะทำได้คือ พฤติกรรมเหล่านี้ครับ
  • การเข้าใช้ online service ทุกอย่าง ควรเข้าจากช่องทางที่เราไว้ใจได้ เช่น พิมพ์ URL เอง หรือกดจาก bookmark ที่เราเป็นคนสร้างขึ้นมาเอง หลีกเลี่ยงการใช้ service ที่เข้าจากการกด link ในอีเมล หรือในเวบอื่นๆ
  • ก่อน login หรือเริ่มใช้บริการ สังเกตุ URL สักนิด ถ้า URL ดูแปลกๆ ก็ไม่ควรใช้งานต่อ
  • คอยตรวจสุขภาพของ account ตนเองอยู่เสมอๆ
  • เปิดใช้งาน 2-step verification (ช่วยได้มากก)
  • สำหรับคนที่ใช้ Gmail ถ้ามีไฟล์แนบมา ก็เปิด preview เพื่อดูข้อมูลได้เลย ถ้าไม่จำเป็นต้องใช้ไฟล์นั้น ก็ไม่ต้อง download ลงมาที่เครื่อง
ความรู้เรื่องความปลอดภัยนั้น ต้องคอย update ตัวเองอยู่เสมอ เพราะสิ่งที่วันนี้เคยปลอดภัย อาจจะไม่ปลอดภัยแล้วในอนาคต เพราะเทคโนโลยีทำให้ทุกอย่างง่ายขึ้น เร็วขึ้น รวมถึงการโจมตีของคนร้ายก็ด้วย
---

ความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

การเรียกใช้งาน Google Apps Script

ลดเวลาการเรียก API ใน Apps Script ด้วย fecthAll

ออกแบบระบบให้คุยข้าม module กันได้ ด้วย Pub/Sub