internet security

สวัสดีครับ ผมมีข่าวด่วนที่มีเนื้อหาไม่มากมานำเสนอเล็กน้อย ได้ขึ้นหน้า 1 หรือไม่ ไม่สำคัญ แต่ฝาก share ต่อด้วยนะครับ

ช่วงไม่กี่วันนี้ หลายคนคงได้พบว่าตัวเองเข้า website บางเว็บอยู่ดีๆ หน้าเว็บนั้นก็เปลี่ยนเป็นเว็บ forex-prices.com ซะงั้น (ยกตัวอย่างเช่นหน้านี้ครับ http://sourceforge.net/projects/hjt/ ) บางคนคงคิดว่า เครื่องคอมพิวเตอร์ของตัวเองโดน virus/malware เข้าให้ซะแล้ว แต่ความจริงแล้วมันแย่ยิ่งกว่านั้นมาก เราไปดูกันนะครับว่าเกิดอะไรขึ้น

เอาเข้าจริงๆ แล้ว ผมต้องขอสารภาพว่า ผมก็ไม่รู้รายละเอียดอย่างแท้จริงว่ามันเกิดขึ้นได้อย่างไรนะครับ แต่ผมจะเล่าเรื่องและแสดงหลักฐาน ซึ่งนำไปสู่ข้อสันนิษฐานท้ายสุดของผมนะครับ (ซึ่งสิ่งที่ผมรู้ก็ไม่ได้มีรายละเอียดอะไรมากมายนักหรอก)

ตอนนั้นมีคนตามผมไปดูคอมพิวเตอร์ของเธอ บอกว่ามีเว็บบางเว็บเข้าไม่ได้ บอกอาการมาแบบที่ผมใส่ไว้ข้างบนนั่นแหละครับ ผมคิดในใจว่าลงอีหรอบนี้มันต้องเป็น malware แหงแซะ และก็ไปเปิดคอมพิวเตอร์ดูแบบหวานหมู

แต่ช้าก่อน นั่นเป็นคอมพิวเตอร์ที่ผม format harddisk ลง OS ให้เองกับมือไปเมื่อ 5 วันก่อนนี้เอง ไม่มี software ถูก install เพิ่มเติม และจากการสอบถามก็ไม่มีข้อมูลว่ามีการรัน software น่าสงสัยในเครื่องคอมพิวเตอร์ แต่นั่นมันขัดกับข้อสังเกตเบื้องต้นที่ทำให้ผมเชื่อว่ามันเป็น malware คือ

  1. web เดียวกัน แต่เข้าด้วย iOS7/Android จะเข้าได้ตามปกติ
  2. computer/browser ตัวเดียวกัน แต่ดันเพี้ยนเข้า forex-prices แค่บางเว็บไซท์ (บางหน้า)

ผมตั้ง candidates ไว้ 3 กรณี

  1. malware
  2. โฆษณาบนเว็บไซท์เล่นตุกติก
  3. เว็บไซท์ถูก crack

ไอ้เจ้า malware นี้ ผมตรวจก่อนเพื่อนเลย ผมไปตรวจสอบ plugins ของ browser ว่ามีอะไรผิดปกติรึเปล่า ปรากฎว่าต่อให้ disable เรียบ worm ตัวนี้มันก็ยังทำงานได้ ผมจึงเชคอีกทีให้แน่ใจว่ามันเป็นเฉพาะ browser ตัวนี้รึเปล่า ผมลง browser ใหม่ +ลอง browser หลายๆ ยี่ห้อ ปรากฏว่าไม่หาย และเป็นเหมือนกันหมดทุกยี่ห้อ ผมจึงสรุปว่ามันทำงานแบบ system wide ผมจึงไปดูจุดที่สามารถส่งผลต่อทั้งระบบได้
คือ

  1. ตรวจว่าไม่มีการตั้งค่า proxy server
  2. ตั้ง DNS server ใหม่เป็น server ที่ผมแน่ใจว่าไม่มีปัญหา
  3. ตรวจ hosts file ว่าไม่มีการแก้ไขเพื่อ override DNS record
  4. ตรวจ network interface ว่าไม่มีการตั้งตัวใหม่มา tap การทำงาน (แบบ VPN)

ทุกอย่างที่ตรวจสอบไป เป็นปกติทั้งหมด ผมจึงสงสัยว่ามันอาจเป็น virus ที่ทำงาน cross browser ด้วยหลักการ sendkey (จำลองการกด keyboard) ผมตรวจสอบจุดนี้ด้วยและพบว่าไม่ใช่

ผมตรวจทั้งหมด (และยืนยันได้ในภายหลัง) ว่าไม่ใช่ malware (ยืนยันด้วยคอมพิวเตอร์เครื่องอื่นที่ผมแน่ใจว่าไม่มี malware) การตรวจสอบกินเวลานานกว่าที่คุณอ่านสิ่งที่ผมพิมพ์มากนะครับ เพราะผมต้องค่อยๆ นึก ค่อยๆ ลองความเป็นไปได้ต่างๆ ครับ

ผมคิดว่าถึงเวลาตรวจสอบว่าเว็บไซท์ผิดปกติรึเปล่าแล้ว ซึ่งอาจเป็น โฆษณาบนเว็บไซท์เล่นตุกติก หรือ เว็บไซท์ถูก crack ก็ได้ แต่ว่าบังเอิญระหว่างตรวจสอบ malware ผมไปเข้า sourceforge มาน่ะสิ (หน้านี้นี่เอง http://sourceforge.net/projects/hjt/ ) บุคคลเบื้องหลัง sorceforge เป็น hacker กันหลายคนครับ มันไม่ใช่เว็บไซท์ที่ crack กันได้ง่ายๆ เลย ผมเลยตัด choice ไปพุ่งเป้าที่ โฆษณาบนเว็บไซท์เล่นตุกติก

การตรวจสอบก็คือ ผมไป debug code บน website โดยเฉพาะส่วนที่เกี่ยวกับโฆษณา ว่าอะไรมันทำให้เว็บไซท์เปลี่ยนหน้าไปได้ และแล้วผมก็อึ้งเป็นไก่ตาแตก ผมไม่เจอกลไกอะไรที่ทำให้เว็บไซท์เปลี่ยนหน้าไปเลยครับ อยู่ดีๆ มันก็เปลี่ยนหน้าเองเฉยๆ สิ่งที่ผมเห็นอย่างเดียวคือ ก่อนจะเกิดการเปลี่ยนหน้า มี connection error เกิดขึ้นเป็นจำนวนมาก (คือไม่ได้มากขนาดนั้นนะครับ เอาเป็นว่าหลายแล้วกันครับ)

การ debug นี้ทำที่ application layer (layer 7) ล้วนๆ ครับ สรุปว่ามองไม่เห็นอะไรเลย อึ้งนานนะครับไม่ใช่แป๊บๆ อึ้งเป็นวัน รู้สึกเหมือนกำลังดูมายากลอะไรบางอย่างที่ดูกี่ทีเราก็บอกไม่ได้ว่าเขาทำได้ยังไง (ตรงนี้ผมอาจจะสะเพร่ามองข้ามจุดสำคัญไปนะครับ แต่ถ้าเป็นกรณีนี้ code มันต้องซ่อนดีมากๆ เลย)

แน่นอนว่าผมตันทุกอย่างแล้ว ผมหันไปพึ่ง side-channel analysis ผมหาข้อมูลเกี่ยวกับ forex-prices พบว่าเป็นของพวก ทำ SEO ปั่นยอดเพื่อขาย domain ครับ

OK ผมรู้จุดประสงค์ของคนทำแล้ว แต่ผมสงสัยว่าทำไมไม่มี hacker สักคนโผล่มาบอกว่าไอ้ domain นี้มันมีอะไรแปลกๆ เป็นไปได้หรือเปล่าว่ามันจะมีผลแค่ในวงแคบๆ โดยเฉพาะในพื้นที่ที่มี hacker เก่งๆ น้อยคน

มาถึงตรงนี้ผมมีข้อมูลนอกจากที่เขียนไว้ข้างบนคือ combination ที่ผมแน่ใจว่าจะทำให้เห็นผลการทำงานของ worm ตัวดังกล่าว คือ "Windows", "Google Chrome", และ "certain websites" ครับ
และระหว่าง debug code ผมรู้ว่า worm ตัวนี้ใช้ URL Shortener ของ Google พอถึงตรงนี้ระหว่างผมทำ side-channel analysis ข้อมูลนั้นก็มีประโยชน์ขึ้นมา เพราะ Google ไม่ปิดสถิติการใช้งานของ URL Shortener สิ่งที่ผมเห็นคุณก็สามารถมองเห็นได้
โดย คุณ login เข้า gmail แล้วไปดูหน้าสถิตินี้
http://goo.gl/#analytics/goo.gl/voNi7T/all_time
(ต้องเข้าสองครั้งหลังจาก login gmail ครับถึงจะเห็นข้อมูล)

สิ่งที่คุณเห็น มันก็คือสถิติการแพร่ระบาดของ worm ตัวนี้นี่เอง (โอวแม้เจ้า อะไรมันจะเป็น worm ที่ใจดีขนาดนี้ อีนี่แถมสถิติของตัวเองมาให้ hacker ดูด้วย) จริงๆ แล้วเจ้าของ worm ทำเอาไว้ดูเองนะครับ
ข้อมูลที่น่าสนใจคือ worm ตัวนี้เกิดขึ้นอย่างเร็วในวันที่ 20 กันยายน นี่เอง (ซึ่งผมเดาเอาว่ามันคือวันที่ 20 นี่แหละ) อีกประเด็นคือ ประเทศที่เป็นแหล่งระบาดหนักของ worm ตัวนี้คือ ... เดาสิครับ ใช่แล้ว ประเทศไทย แล้วทำไมต้องประเทศไทยล่ะ เค้าตั้งใจจะมาโฆษณาเว็บ forex ในประเทศไทยรึเปล่า ผมว่าไม่ใช่ เพราะ ด้วยเหตุผลนานัปการ เช่นแบงค์ชาติแทรกแซงค่าเงินบาทค่อนข้างมาก ทำให้ forex ผิดกฎหมายประเทศไทยครับ เล่นได้เฉพาะธนาคาร สำหรับคนธรรมดาก็เล่นหุ้นไป อยากขึ้นเร็วลงเร็วก็เล่น margin ได้ไม่มีปัญหา แต่ผมว่าเล่น forex นี่มีแต่ร่วง (อันนี้ความเห็นส่วนตัวนะครับ)

แต่ทำไมต้องประเทศไทยล่ะ? จุดประสงค์เขาคือปั่นยอด domain ครับ ประเทศอะไรก็ได้ ไม่มีปัญหา ประเด็นคือมีช่องว่างอยู่ในประเทศไทย และถ้าช่องว่างที่ว่า อยู่ใน PC หรือ device ของคนทั่วๆ ไป ทำไมมันต้องมาอยู่เฉพาะประเทศไทย มันน่าจะกระจายๆ ไปทั่วโลกสิ (อันนี้แน่ใจได้ครับ สมัยเป็นเด็กหัวเกรียน (ก็คือ ม.ต้น) เพื่อนผมเขียน virus มาตัวหนึ่ง virus สัญชาติไทยแท้แน่นอน แพร่กระจายไปได้ทั่วโลกครับผมยืนยัน) เรื่องคือ Internet ประเทศไทยมีปัญหา (vulnerability) ซึ่งผมได้เคยเขียนถึงมาก่อนหน้านี้แล้ว เขาไม่ได้เลือกประเทศไทยเพราะเขาเจาะจงกลุ่ม เขาเลือกเพราะ worm มันแทรกแซงเข้าระบบประเทศไทยได้ง่ายครับ worm ไม่ได้อยู่ในเครื่องคอมพิวเตอร์ของคุณ มันอยู่ในระบบเครือข่ายที่เราใช้งานอยู่

ผมบอกในข่าวนี้เลยว่าผมใช้ true ครับ ถ้าไม่มีคนมาทักท้วงว่าตัวเองใช้ของเจ้าอื่นก็เจอเหมือนกัน เราสามารถ assume pinpoint ไปได้เลยว่ามีอะไรบางอย่างอยู่ในระบบเครือข่ายของ true (จากประสบการณ์ของผม ISP มักจะเป็นตัวการสุดท้ายที่ end user โทษ ปกติคนนึกไม่ถึงกัน) ในทางกลับกันถ้ามี Internet เจ้าอื่นในไทยเจอแบบนี้ด้วย ผมแทบจะแน่ใจจน assume pinpoint ไปได้เลยว่า ตัวการที่น่าสงสัยอันดับต้นๆ คือ software caching proxy จากกลุ่ม เทมาเซค (ชื่อคุ้นๆ ไหม) ที่มาจับตลาด web caching ประเทศไทยไปได้พักใหญ่

สรุปประเด็นสำหรับคนที่ไม่ได้สนใจรายละเอียดมากมายนักคือ

  1. คุณค้นคอมพิวเตอร์คุณให้ตายยังไง ก็ไม่เจออะไรครับ (ถ้าผลการชันสูตรของผมไม่ผิดพลาดนะ) เพราะตัว worm มันไม่ได้อยู่ในเครื่องคอมพิวเตอร์ของคุณครับ (มันอยู่ในระบบ network)
  2. สิ่งที่คุณทำได้และควรจะลองทำ คือ update OS ครับ worm ตัวนี้ทำงานต่ำกว่า layer 7 ไม่น่าจะเป็นปัญหาเนื่องมาจาก browser คุณใช้ browser ล่าสุดมันก็ยังทำงานได้ แต่ผมไม่กล้าบอกว่ามันเป็นวิธีที่ถูกต้อง หรือเกี่ยวข้องกับการหายไปของ worm นะ เพราะผมยังไม่เข้าใจการทำงานเต็มๆ ของมัน (ผมแค่ลอง update แล้วมันหายไปครับ บางทีอาจจะไม่เกี่ยวกันเลยก็ได้ มันอาจเป็นที่การเปลี่ยนเส้นทาง route ในระบบเครือข่ายก็ได้)
  3. ตอนนี้ผมไม่ค่อยมีเวลาตรวจสอบละเอียดนัก (ซึ่งผมอาจจะไม่เจออะไรอยู่ดี) และตอนนี้คอมพิวเตอร์ส่วนตัวผมส่งซ่อมอยู่ แต่สำหรับ hacker ที่พอมีเวลาว่างๆ อยากลองตรวจสอบกลไกการทำงานของมันอย่างละเอียด ก่อนหน้านี้ที่ผมบอกว่ามันไม่ได้ทำงานใน layer 7 มันก็ไม่ใช่แบบนั้นซะทีเดียว ระหว่าง analysis ผมมีหลักฐานพอให้เชื่อได้ว่า กลไกการเปลี่ยนหน้าของเว็บไซท์ เกิดจาก javascript ครับ แต่กลไกการ inject javascript ขึ้นมา run นี่อยู่ต่ำกว่า layer 7 debug บน browser มองไม่เห็นอะไร ให้ลองตรวจ packet ใน layer ล่างๆ ดูครับว่ามีอะไรแทรกมาปนๆ บ้างรึเปล่า (โดยเฉพาะไอ้ตัวที่หน้าตาดูเหมือน javascript หรือ keyword "goo.gl" ที่เป็น domain ของ URL Shortener ของ Google ครับ) อย่าลืมว่าผมมองเห็น "connection error เกิดขึ้นเป็นจำนวนมาก ก่อนจะเกิดการเปลี่ยนหน้า" นะครับ
  4. สำหรับ ISP โดยเฉพาะ true (ถ้าได้อ่านอยู่จริงๆนะครับ) คุณอาจแก้ไขปัญหาเฉพาะหน้าง่ายๆ คือ block url ตัวที่มีปัญหามันซะเลย แต่ผมไม่แนะนำให้ทำงั้นนะครับ ตอนนี้เป็นเรื่องดีที่จะได้รู้ว่าเครือข่ายมีจุดอ่อนตรงไหน และระหว่างที่ worm ยังทำงานอยู่ ถือเป็นโอกาสดีที่คุณจะได้ตรวจสอบว่า มันเข้ามาได้ยังไง มันใส่ข้อมูลมาแทรกมาได้ยังไง เชื่อว่าคงมีวิศวกรที่ตรวจสอบเรื่องพวกนี้ได้ และจะดีมากถ้าหลังจากแก้ปัญหาเสร็จแล้ว ออก press release สรุปว่ามันเกิดอะไรขึ้น เพื่อประโยชน์ของคนทั่วไป, ISP เจ้าอื่นๆ, รวมถึงภาพลักษณ์ของบริษัท true เองครับ

เรื่องที่ผมยกขึ้นมาเป็นข้อสันนิษฐาน อาจจะผิดทั้งหมดก็ได้นะครับ (แต่คิดว่าคงไม่ถึงขนาดนั้น) สำหรับคนที่ไปตรวจสอบดูจริงๆ ได้ความว่าไง มีอะไรน่าสนใจส่งเมลไปเล่าให้ผมฟังด้วยก็ดีครับ (ดูเมลผมจากข่าวอื่นๆ) คือผมไม่ค่อยได้เชค blognone น่ะ

worm มาเร็ว, ข่าวมาเร็ว, คุณภาพงานเขียนก็แบบเร็วๆ นิดนึง ยังไงคงไม่ได้หน้า 1 แน่ๆ ใครคิดว่าเป็นประโยชน์ (อย่างน้อยก็มีวิธีแก้ที่ไม่รับรองผล) ก็ฝาก shareๆ ต่อกันด้วย ก็จะขอบคุณมากเลยครับ สำหรับคนที่รู้ข้อมูลละเอียดกว่านี้ อยากจะบอกว่าผมผิดหรืออะไรยังไง ก็ช่วยบอกไว้ใน comment เผื่อคนอื่นจะได้อ่านครับ แต่ถ้าอยากให้ผมมาแก้ข้อมูลอะไรในนี้ก็ส่งมาเตือนทาง email อีกที (นิดนึง) นะครับ

update: มันไม่หายครับ มันเป็นปัญหาที่แวบไปแวบมาต่างหาก (เดี๋ยวมีเดี๋ยวไม่มี) แต่ข้อสันนิษฐานที่ยืนยันด้วยสถิติ worm ในประเทศไทย ผมก็ยังยืนยันตามคำเดิมนะ มาสังเกตจากสถิติดูอีกที จะเห็นว่ามีหลาย platform (OS) ที่ถูก redirect โดย worm ชนิดนี้ เข้าใจว่าไม่เป็นข้อผิดพลาดของ platform แล้วล่ะครับ ต้องรอ ISP แก้ไขออกไปครับ หวังว่าเราจะได้รับข่าวสารความคืบหน้าจากผู้เกี่ยวข้องเร็วๆ นี้ครับ (เป็นไปได้ว่ามีปัญหาแค่บาง route)

Hiring! บริษัทที่น่าสนใจ

Carmen Software company cover
Carmen Software
Hotel Financial Solutions
Next Innovation (Thailand) Co., Ltd. company cover
Next Innovation (Thailand) Co., Ltd.
We are web design with consulting & engineering services driven the future stronger and flexibility.
KKP Dime company cover
KKP Dime
KKP Dime บริษัทในเครือเกียรตินาคินภัทร
Kiatnakin Phatra Financial Group company cover
Kiatnakin Phatra Financial Group
Financial Service
Fastwork Technologies company cover
Fastwork Technologies
Fastwork.co เว็บไซต์ที่รวบรวม ฟรีแลนซ์ มืออาชีพจากหลากหลายสายงานไว้ในที่เดียวกัน
Thoughtworks Thailand company cover
Thoughtworks Thailand
Thoughtworks เป็นบริษัทที่ปรึกษาด้านเทคโนโยลีระดับโลกที่คว้า Great Place to Work 3 ปีซ้อน
Iron Software company cover
Iron Software
Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.
CLEVERSE company cover
CLEVERSE
Cleverse is a Venture Builder. Our team builds several tech companies.
Nipa Cloud company cover
Nipa Cloud
#1 OpenStack cloud provider in Thailand with our own data center and software platform.
Bangmod Enterprise company cover
Bangmod Enterprise
The leader in Cloud Server and Hosting in Thailand.
CIMB THAI Bank company cover
CIMB THAI Bank
MOVING FORWARD WITH YOU - CIMB is the leading ASEAN Bank
Bangkok Bank company cover
Bangkok Bank
Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking
MuvMi (Urban Mobility Tech Co.,Ltd.) company cover
MuvMi (Urban Mobility Tech Co.,Ltd.)
Shape the future of urban mobility towards affordable, clean, and safe solutions
T.N. Digital Solution Co., Ltd. company cover
T.N. Digital Solution Co., Ltd.
TNDS has been involving in every first move of banking’s major digital transformation.
KBTG - KASIKORN Business-Technology Group company cover
KBTG - KASIKORN Business-Technology Group
KBTG - "The Technology Company for Digital Business Innovation"
Siam Commercial Bank Public Company Limited company cover
Siam Commercial Bank Public Company Limited
"Let's start a brighter career future together"
Icon Framework co.,Ltd. company cover
Icon Framework co.,Ltd.
Global Standard Platform for Real Estate แพลตฟอร์มสำหรับธุรกิจอสังหาริมทรัพย์ครบวงจร มาตรฐานระดับโลก
REFINITIV company cover
REFINITIV
The Financial and Risk business of Thomson Reuters is now Refinitiv
H LAB company cover
H LAB
Re-engineering healthcare systems through intelligent platforms and system design.
The Gang Technology Co., Ltd. company cover
The Gang Technology Co., Ltd.
We're a Digital Agency that helps our customers transform their business into digital with ease.
LTMH company cover
LTMH
LTMH มุ่งเน้นการพัฒนาผลิตภัณฑ์ที่สามารถช่วยพันธมิตรของเราให้บรรลุเป้าหมาย
Seven Peaks company cover
Seven Peaks
We Drive Digital Transformation
Wisesight (Thailand) Co., Ltd. company cover
Wisesight (Thailand) Co., Ltd.
The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure
MOLOG Tech company cover
MOLOG Tech
We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.
Data Wow Co.,Ltd company cover
Data Wow Co.,Ltd
We enable our clients to realize increased productivity by solving their most complex issues by Data
LINE Company Thailand company cover
LINE Company Thailand
LINE, the world's hottest mobile messaging platform, offers free text and voice messaging + Call
LINE MAN Wongnai company cover
LINE MAN Wongnai
Join our journey to becoming No.1 food platform in Thailand

ผมก็เจอครับ เมื่อ 2-3 วันก่อน ตอนแรกตกใจมากนึกว่าเครื่องตัวเองโดนเข้าให้แล้ว ผมเจอตอนเข้า theverge.com เลย ผมใช้เน็ตทรู เหมือนกัน

หาสาเหตุอยุ่หลายชั่วโมง แล้วก็ได้ข้อสรุปคล้ายๆกันครับ คือ

  • ไม่ใช่ที่เครื่องผม ผมใช้ Linux + Chrome แต่ Firefox/Opera ก็เป็นเหมือนกันครับ
  • จากการ debug ดู ถ้าเจอ page ที่โดน page มันจะมี request GET http://goo.gl/voNi7T แล้วก็เจอ 301 แล้ววิ่งไปหาเว็บ forex ที่ว่าครับ แต่ผมหาโค้ดบรรทัดที่ call อันนี้ไม่เจอ
  • ปัญหามันจะเป็นๆหายๆครับ เพราะถ้าโดนไปทีนึง แล้วลอง clear browser cache แล้วมันจะหายไปพักนึงครับ แล้วเดี๋ยวก้จะเป็นอีก
  • ผมใช้ proxy แล้วไม่เจอครับ ตอนนี้เลยใช้ผ่าน proxy ไปก่อน

ถ้าจะเขียนเป็นข่าวอยากให้รวบประเด็นเป็น สาเหตุ ลักษณะ และวิธีการจัดการให้เป็นประเด็นใหญ่หน่อยก็จะดีนะครับ อันนี้เหมือนลักษณะเขียนลงบล็อกทั่วไปมากกว่าครับ

Faln Thu, 26/09/2013 - 16:43

3.42 น. เหมือนจะเปลี่ยนเว็บไปที่ cheap-car-insurrance.com แล้ว

เท่าที่ผมทราบ งูๆ ปลาๆ คือมันอาศัยช่องโหว่ของ comScore ด้วยครับ จึงเห็นได้ว่าช่วงที่เกิดเหตุ เว็บ manager.co.th และ pantip.com ต้องรีบถอด code นี้ทิ้งทันที

งานของผมต้องติดต่อกับ comScore เค้าอยู่แล้ว report กันทุกวัน เค้าก็ว่าไม่ใช่ทางเค้า จนต้อง capture ให้ดู ที่ทำงานก็บอกว่า อีกหนึ่งปัจจัยก็คือ DNS ของ TRUE (ต่อให้เครื่องใช้ publicDNS 8.8.8.8 ก็ไม่ช่วยอะไร) ให้ comScore เค้าแจ้ง True เค้าก็บอกว่าไม่ใช่่จากเค้า

มันจะมี menadns เข้ามาเกี่ยวข้องด้วยในช่วงแรก ก็ไม่รู้ว่า dns true เค้าไปเกี่ยวอะไรกับ menadns นะครับ ไม่ค่อยเข้าใจเหมือนกัน

ดังนั้นตอนนี้เข้าเว็บ fastcompany.com, tumblr.com ฯลฯ ถ้ายังเข้าด้วย net ทรู (ล่าสุด ตอนนี้ mac safari ไม่พบปัญหาแล้ว แต่เป็นปัญหาที่ google chrome, iOS, iPad ก็โดนครับ) เพราะใน twitter ผมก็เห็น ฝรั่ง expat ที่ทำงานในเมืองไทย ก็ twit เรื่องนี้เหมือนกัน เจาะจงประเทศมาก

เป็นเหมือนกันครับบน iMac

ใช้ผ่าน Safari, Firefox, Chrome เป็นหมดครับ

เท่าที่ลองแก้ กดปิด JavaScript ไปในแต่ละ browser แล้วหายครับ ไม่ redirect ไปเวบอื่นแล้ว

ทดลองกับสารพัด browser ในคอมหลายเครื่อง พบว่าโดนหมดครับ

แต่การ disable java script แก้ปัญหาได้ครับ

ผมทดลองกับ opera รุ่นโบราณ โดยการปิด java พบว่าไม่มีปัญหาครับ

แต่เปิดเมื่อไหร่ มันกลับมาอีก