ภายในงานสัมมนา Black Hat Asia 2021 ที่กำลังจัดอยู่ในขณะนี้ Troy Hunt ผู้ก่อตั้งเว็บ Have I Been Pwned ได้มาบรรยายในเซสชัน Keynote และแชร์สิ่งที่เขาได้เรียนรู้หลังจากเก็บรวบรวมข้อมูลที่รั่วไหลมากกว่า 11,000 ล้านรายการตลอด 8 ปีที่ผ่านมา ซึ่งสามารถสรุปได้ 6 บทเรียน ดังนี้
บทเรียนที่ 1: ภาพลักษณ์ของแฮ็กเกอร์
Hunt ระบุว่า แฮ็กเกอร์ถูกสร้างภาพให้มีความน่ากลัวในสายตาของบุคคลทั่วไป ไม่ว่าจะเป็นการใส่ฮูดสีดำเพื่อปกปิดหน้าตา ทำงานในที่มืดๆ ปฏิบัติการด้วยการพิมพ์ข้อความสีเขียวดูเหมือนรหัสบนฉากหลังสีดำ โดยเฉพาะเมื่อการเหตุการณ์ที่มีการสูญเสียมูลค่ามหาศาล หลายคนก็จินตนาการไปก่อนแล้วว่าจะต้องเป็นแฮ็กเกอร์มืออาชีพ มีรัฐบาลหนุนหลัง หรือเกี่ยวข้องกับการทหาร แต่อันที่จริงแล้ว เบื้องหลังของเหตุการณ์เหล่านั้นอาจเป็นเพียงเด็กหนุ่มที่ยังไม่บรรลุนิติภาวะก็เป็นได้
บทเรียนที่ 2: ข้อมูลอยู่ในรูปดิจิทัลมากกว่าที่คิด
แม้ว่าหลายๆ คนจะพยายามลด Digital Footprint บนโลกอินเทอร์เน็ตด้วยการหลีกเลี่ยงการกรอกข้อมูลลงบนเว็บไซต์หรือบริการต่างๆ แต่ด้วยการมาถึงของยุคดิจิทัล หลายองค์กรทั่วโลกได้ทำ Digitization ส่งผลให้ข้อมูลของเราที่เคยอยู่ในรูปเอกสาร ถูกแปลงเป็นข้อมูลดิจิทัลโดยที่เราไม่รู้ตัว ที่น่าเป็นห่วงคือข้อมูลเกี่ยวกับสุขภาพและพฤติกรรมทางเพศที่เราเคยกรอกเมื่อไปโรงพยาบาลหรือสภากาชาด
บทเรียนที่ 3: ข้อมูลที่รั่วไม่ได้มาจาก Dark Web เสมอไป
ข้อมูลที่ถูกขโมยหรือหลุดออกไป อาจจะไม่ได้อยู่แต่ใน Dark Web ซึ่งเป็นตลาดมืดของแฮ็กเกอร์ แต่อาจถูกอัปโหลดและแชร์โต้งๆ ผ่านทาง Facebook/Twitter ให้ทุกคนสามารถดาวน์โหลดได้ทันที กรณีแบบนี้เรียกว่าน่ากลัวว่ามาก เนื่องจากข้อมูลความลับทั้งหลายสามารถถูกเข้าถึงได้ง่ายกว่าที่คิด
บทเรียนที่ 4: ยกเลิกรหัสผ่านหมดอายุ
ตั้งแต่ยุค 60 แล้วที่รหัสผ่านเริ่มถูกใช้งาน จวบจนถึงปัจจุบัน คนส่วนใหญ่ยังมองรหัสผ่านเป็นเหมือนกำแพงที่คอยขัดขวางการใช้งานระบบคอมพิวเตอร์ ทำให้คนเหล่านั้นพยายามตั้งรหัสผ่านให้ง่ายที่สุด พิมพ์ได้สะดวกที่สุด เพื่อที่จะได้ผ่านเข้าไปใช้งานได้อย่างรวดเร็ว อย่างไรก็ตาม เมื่อต้องถูกบังคับจากองค์กรหรือบริการออนไลน์ให้ต้องสร้างรหัสผ่านที่มีความยาวและซับซ้อน ก็จะหาทางสร้างรหัสผ่านให้จำได้ง่าย เช่น “MySafeP@ssw0rd!” อย่างไรก็ตามรหัสผ่านดังกล่าวยังคงคาดเดาได้ง่าย (Predictable) เนื่องจากใช้คำศัพท์อังกฤษและการแทนที่ตัวอักษร รวมไปถึงต่อท้ายด้วยเครื่องหมาย “!” ซึ่งเป็นรูปแบบยอดนิยม
นอกจากนี้ เมื่อต้องเจอกับข้อกำหนดที่ต้องเปลี่ยนรหัสผ่านใหม่ทุก 90 วัน หลายคนมักต่อท้ายด้วยตัวเลขเป็นซีรี่ย์ เช่น “MySafeP@ssw0rd1!”, “MySafeP@ssw0rd2!”, “MySafeP@ssw0rd3!”, … ไปเรื่อยๆ ซึ่งเป็นการสร้างรูปแบบที่แฮ็กเกอร์สามารถคาดเดาได้ง่าย ที่น่ากลัวคือหลายคนยังแก้ปัญหาเรื่องการจำรหัสผ่านยากๆ ไม่ได้ด้วยการแปะรหัสผ่านไว้บนหน้าจอของตนเอง Hunt แนะนำว่าให้ยึดการสร้างรหัสผ่านตามคำแนะนำของ NIST และ NCSC คือ ไม่ต้องเน้นความยาก แต่เน้นความยาว และให้เปลี่ยนรหัสผ่านใหม่เมื่อพบว่า (อาจ) ถูกแฮ็กเท่านั้น
บทเรียนที่ 5: หยุดสร้างความสับสนในบริการของตนเอง
Hunt ระบุว่า เราถูกสอนให้ตรวจสอบลิงค์ URL ให้ดีก่อนคลิก เพื่อที่จะได้ไม่เป็นเหยื่อของการโจมตีแบบ Phishing อย่างไรก็ตาม เขาพบว่าหลายแคมเปญส่งเสริมการตลาดของหลายๆ องค์กร กลับสร้างความสับสนให้แก่ลูกค้าที่ใช้งานซะเอง เนื่องจากแทนที่จะใช้ URL ภายใต้โดเมนของตน กลับใช้วิธีการ Redirect บางอย่างที่ดูเหมือนจะเป็นการโจมตีแบบ Phishing แต่สุดท้ายกลายเป็นบริการที่ถูกต้องขององค์กร เมื่อลูกค้าเจอประสบการณ์แบบนี้หลายครั้งเข้า อาจทำให้ไม่สามารถแยกแยะการโจมตี Phishing กับบริการของจริงได้อีกต่อไป และอาจตกเป็นเหยื่อของแฮ็กเกอร์ได้ในอนาคต
บทเรียนที่ 6: เสริมความมั่นคงปลอดภัยให้ API
เราอยู่ในยุคดิจิทัลที่หลายๆ บริการมีการเชื่อมต่อกันผ่านทาง API เพื่อสร้างเป็น Ecosystem ที่สะดวกสบายให้กับลูกค้าที่ใช้งาน อย่างไรก็ตาม Hunt พบว่า API ของหลายๆ บริการถูกออกแบบมาโดยไม่ได้คำนึงถึงความมั่นคงปลอดภัย ส่งผลให้อาจเกิดเหตุข้อมูลส่วนบุคคลรั่วไหลหรือการส่งข้อมูลปลอมซึ่งในกรณีที่เลวร้ายที่สุดอาจส่งผลกระทบต่อชีวิตและทรัพย์สินได้
Have I Been Pwned เป็นฐานข้อมูลออนไลน์ที่รวบรวมข้อมูลล็อกอินที่ถูกแฮ็ก ช่วยให้ผู้ใช้สามารถตรวจสอบได้ว่า ข้อมูลล็อกอินของตน เช่น อีเมลและรหัสผ่าน ที่ใช้กับบริการอะไรถูกโจมตีและนำออกมาเผยแพร่สู่สาธารณะแล้วบ้าง Have I Been Pwned เริ่มเก็บรวบรวมข้อมูลและให้บริการตั้งแต่ปี 2013 ปัจจุบันมีข้อมูลล็อกอินที่หลุดสู่สาธารณะรวมกว่า 11,000 ล้านรายการ เมื่อครั้งที่มัลแวร์ Emotet ถูกจัดการในเดือนมกราคมที่ผ่านมา FBI ได้ทำการตรวจสอบอีเมลที่หลุดออกไป พบว่ามีข้อมูลอยู่ใน Have I Been Pwned แล้วมากถึง 39%
——————————————————————————————————————————————————
ที่มา : TechTalkThai / วันที่เผยแพร่ 7 พ.ค.2564
Link : https://www.techtalkthai.com/bhasia-2021-6-lessons-learned-from-11-billion-breached-records/
