เมื่อเวลา 6 โมงเย็นวันนี้รายการเจาะข่าวเด่นทางไทยทีวีสีช่อง 3 ได้นำเสนอเกี่ยวกับภัยมิจฉาชีพออนไลน์ซึ่งผมพบว่าในข้อมูลที่นำเสนอนั้นมีบางส่วนที่อาจสร้างความไม่เข้าใจผ่านทางทวิตเตอร์เรื่องเล่าเช้านี้ เนื่องจากมีการทวีตในเรื่องนี้อยู่หลายทวีต แต่ผู้อ่านไม่ได้ทำการรีทวีตทั้งหมด เพียงแต่มีการรีทวีตที่ทำให้ข่าวนั้นเกิดการแตกประเด็นและอาจทำให้เกิดการเข้าใจผิดได้ ในฐานะที่ Blognone ก็เป็นหนึ่งในสื่อที่นำเสนอข่าวด้านเทคโนโลยีและความปลอดภัย การนำเสนอข่าวสารและข้อมูลที่ถูกต้องจึงเป็นเรื่องที่สำคัญมาก ดังนั้นผมขออนุญาตในการชี้แจงและแก้ไขข้อมูลบางส่วนให้ถูกต้องครับ
ประเด็นของข่าวนี้คือการเชื่อมต่อผ่านทาง Broadcast Wifi ที่เป็นของปลอม ดังนั้นการให้ความเข้าใจที่ว่า "เข้าผ่าน HTTP แล้วโดนแฮก" นั้นก็มีความถูกต้องอยู่แล้วส่วนหนึ่ง แต่ดังที่กล่าวไว้ในข้างต้นว่าผู้อ่านไม่ได้รีทวีตทุกทวีต ซึ่งอาจทำให้เข้าใจผิดได้ผมจึงขออธิบายตามนี้นะครับ
- อ้างอิงจากทวีต สำหรับการเข้าผ่านเว็บไซต์ธรรมดานั้นการที่เบราว์เซอร์มีการแสดงว่า HTTP นั้นไม่ได้แสดงว่ากำลังถูกแฮก เพียงแต่มันมีความเสี่ยงที่จะโดนแฮกสูงเนื่องจากไม่ได้รับการเข้ารหัสไว้ (HTTP แตกต่างจาก HTTPS คือ HTTPS จะมีการเข้ารหัสข้อมูลไว้ ดังนั้นจึงมีความปลอดภัยที่สูงกว่า)
- จากทวีตที่มีการอ้างของจริงของปลอมนั้น บางบริการอย่างเช่น Gmail ในรูปตัวอย่างนั้นสามารถให้มีการตั้งค่าว่าจะให้ใช้งานผ่าน HTTP หรือ HTTPS ได้ หรือบางเบราว์เซอร์ก็ถูกตั้งค่าให้มีการเข้าผ่าน HTTP ก่อน ดังนั้นไม่ได้หมายความว่า เว็บไซต์ที่เป็น HTTP จะเป็นของปลอมนะครับ (แต่ถึงยังไงก็แนะนำให้ใช้ HTTPS จะดีกว่า)
- อ้างอิงจากทวีตที่กล่าวถึงการปิดการทำงานของฟังก์ชัน Location service ในบางอุปกรณ์เช่น iOS นั้นมีบริการ Find My iPhone ที่จะช่วยให้เจ้าของอุปกรณ์สามารถค้นหาอุปกรณ์เมื่อถูกขโมยได้ ดังนั้นคำแนะนำที่ดีที่สุดไม่ใช่การปิด แต่เป็นการเพิ่มความระมัดระวังในการใช้งานฟังก์ชันนี้ให้มากขึ้นครับ
ผมได้ติดตามทางทวิตเตอร์ของเรื่องเล่าเช้านี้เพียงอย่างเดียว หากผู้อ่านท่านใดมีคำแนะนำเพิ่มเติมสามารถโพสต์ตอบได้ทันทีครับ
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
ผมว่าเรื่องแบบนี้ควรบันทึกเทปเอาใว้แล้ว ค่อยมาดูว่ามีตรงไหนผิดพลาด แล้วค่อยนำมาออกอากาศนะครับ
ปกติรายการข่าวของช่อง 3 เป็นรายการสดหมดเลยครับ จะมีบันทึกเทปก็ต่อเมื่อตรงกับวันหยุด บางรายการจะเป็นเทป แต่บางรายการ (เช่นข่าว 3 มิติ) จะเป็นรายการสดตลอด
ส่วนรายการของคุณสรยุทธ์ เป็นรายการสดอย่างเดียวครับ จะบันทึกเทปก็ต่อเมื่อใช้เวลาสัมภาษณ์เกิน 18:00 น. คุณสรยุทธ์จึงจะตัดจบรายการ และทำเปิดถ่ายต่อเพื่อที่จะเอามาออนแอร์ในอีกวันนึงครับ ถ้ายาวเกินอีกก็ตัดอีก เป็นแบบนี้ไปเรื่อยๆ ครับ
ส่วนมากตอนนี้ยาวจริงเป็นสองตอนตลอดครับ ยกเอาเคสเวนคืนที่ดินรถไฟฟ้าสายสีม่วงให้ดูก็ได้ครับ อันนั้นอัดกันดุเดือดจนต้องถ่ายต่อไปอีกสองวัน 555
บางอย่างเป็นเทปครับ ถ้าหากมีสัมภาษณ์ที่มันยาวจริง ๆ ก็บันทึกเทปครับ
Coder | Designer | Thinker | Blogger
ผมก็ว่ามันแปลกๆ ตั้งแต่บอกว่า เข้าทาง http แปลว่าโดนแฮก แล้วนี่ล่ะ
หลังจากข่าวออก ผมเห็น App ตัวนึงติดอันดับ 1 ใน Apple Store Thailand ใน Section Free Apps เกือบจะทันที App นี้ชื่อว่า "SSLSTRIPGuard" ครับ
มีใครได้โหลดไปลองใช้รึยังครับ ใครเป็นผู้จัดทำ App นี้ ตั้งใจให้ข้อมูลกับรายการเพื่อหวังผลทางธุรกิจอะไรรึเปล่า?
ผมคิดว่าที่น่ากลัวจริงๆคือ App นี้มากกว่า ข้างในมีติดโฆษณามาด้วย น่าจะได้รายได้ฟรีๆกลับมาเยอะมากจากคนที่ฟังเรื่องเด่นเย็นนี้แล้วตาลีตาเหลือกมาโหลด App ตัวนี้ไปครับ
Technology is so fast!
ตอนนั่ง ดูรายการรู้สึกอนาถใจมากเลยครับ ถ้าคนที่เขาไม่มีความรู้ ความเข้าใจด้านนี้ แล้วมาฟังแล้วเขาจะได้ความรู้ผิดๆ ไปในทันที = =*
+1 แม่ผมโทรมาพร้อมความแตกตื่นระดับ 8.5 ริกเตอร์ -_____-"
ในรายการบางอย่างก็ไม่ได้อธิบายอย่างละเอียดถูกต้อง
แต่ผมเข้าใจเขานะ เพราะการจะให้คนทั่วไปเข้าใจเทคโนโลยีอย่างละเอียดมันลำบาก
และต้องใช้เวลามาก สู้ให้จำเทคนิคง่ายๆไปจะดีกว่า
จากที่สังเกตุมา ช่องนี้ก็เคยเสนอข้อมูล IT ผิดๆ ถูกๆ บ้างเหมือนกัน น่าจะมีการตรวจสอบข้อมูลจากผู้เชี่ยวชาญมากกว่านี้ก่อนจะนำเสนอ
ส่วนดูย้อนหลัง สามารถตรวจสอบจากที่นี่ได้ครับ www.stat.or.th เลือกช่อง 3 หลังจากนั้นเลื่อนที่บาร์ปฏิทินล่างเว็บ
ประเด็นคือผู้เสนอข่าวจะต้องอ่านและสรุปก่อนเล่า เพื่อให้เป็นภาษาของตัวเองมากที่สุด
เรื่องทางเทคนิคฯ ที่มีรายละเอียดแบบนี้ต้องอธิบายกันยาวมาก ถ้ามีเงื่อนไขเรื่องเวลา /// ไม่สามารถนำเสนอรายละเอียดทางเทคนิคได้ ก็ไม่ควรนำเสนอให้คนทั่วๆ ไปตกใจนะครับ
อีกประเด็นที่ขาดไม่ได้คือ ... Lost in translation
https://www.youtube.com/watch?v=8dBHk_NwXyY
เรื่องเด่นเย็นนี้สรยุทธ์บอกว่าเปิด Wifi ทิ้งไว้จะถูกดูดข้อมูลธุรกรรมทางการเงิน
นั่งดูอยู่ แล้วก็งงๆ เหมือนกัน คนที่มาพูดเค้ายกตัวอย่าง iPhone กับ iPad ว่าถ้าหากไปนั่งในร้าน Starbuck แล้วเปิด Wifi เอาไว้ก็จะถูกดูดข้อมูลธุรกรรมทางการเงินที่เคยใช้ได้ ผมว่ามันรวบรัดไปหน่อย ปกติถ้าเราไม่เคยเปิดรับ Wifi ของร้าน Starbuck มาก่อน เครื่องมันจะรับเอาตัว Wifi ของร้านมาใช้ทันทีเลย? หรือเอาง่ายๆ ปกติเราไปที่บ้านใครเขาติดตั้ง Wifi แบบไม่มี lock password ถ้าเครื่องเราจะใช้งาน Wifi ของเขาได้ก็ต้องผ่านการตั้งค่าในส่วนของ Wifi Setting ก่อนไม่ใช่หรือ อย่างน้อยก็ต้องผ่านการ scan แล้วเลือก Hot Spot.. ไม่ใช่เข้าไปในพื้นที่ของเขาแล้วสลับไปใช้ของเขาทันที..
มีอยู่ช่วงหนึ่งครับ ที่เขาพูดถึงการปลอมแปลงตัว Access Point
โดยอาจจะเป็นการใช้ SSID เดียวกันกับที่เราเคยเห็นโดยทั่วไป
จนผู้ใช้เข้าใจผิด คิดว่า Access Point นั้นเป็นของผู้ให้บริการตัวจริง
ก็เลยเผลอเชื่อมต่อ และส่งข้อมูลเข้าไป เลยเป็นที่มาที่เขาคุยกันเรื่อง HTTPS ครับ :')
เชื่อมต่อ AP ของ Hacker ซึ่งก็เป็นการเชื่อมต่อ Network ธรรมดาใช่ไหมครับ, แต่จะดัก Http ต่อ ก็ต้องมา Sniff Traffic ภายใน Network อีกที
แล้วมันต่างอะไรกับ Sniff Packet บน Public Network หว่า.. อ้อ จำนวน Traffic แต่ก็ยากนะครับที่จะสุ่มๆ เอาจนกว่าจะไปเจอผู้ที่ทำธุรกรรม Tablet
ผมว่าเป็นการสร้างความตื่นตระหนกกับผู้ใช้เกินความจำเป็นมากกว่า พวก Mobile Banking App หรือ Messaging App ปัจจุบันส่วนใหญ่ก็ส่งข้อมูลแบบเข้ารหัส (ถ้าเป็น Plain Text ไม่นานเดี๋ยวมีคนแฉให้เองครับ เหมือนกับที่ WhatsApp บน WP7 เคยโดน) ส่วน Google, Facebook, Gmail, เว็บ Online Banking เดี๋ยวนี้ก็เป็น https หมด
ต่างมากเลยนะครับ
การต่อเข้า AP ของ hacker ทำให้ hacker ได้ข้อมูลที่ผู้ใช้งานใช้ได้ 100% จริงๆ เพราะทุกอย่างส่งไปที่เครื่องของ hacker
แต่การทำ spoof หรือการเปิด promiscuous mode เพื่อ sniff เอาข้อมูลมาอาจจะมีกรณีที่ข้อมูลมาไม่ครบ
ทำให้ hacker พลาดไป
public wifi ไม่มีการเข้ารหัสอยู่แล้วการปลอมเป็น public wifi AP ในมุมของโจรจึงดีกว่ามากเพราะทำง่ายได้ชัว
HTTPS ครับ
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
HTTPS/SSL ครับ
ไม่เผลอก็มีคับเครื่องมันสลับต่อเองเลยถ้าข้อมูลตัว AP ตรงกันหมด
ผมเอา Video มาให้ดูกันเต็มๆ ครับ
พูดถึงเรื่ืองเมล์
ผมพูด 2 step verification ที่ไรไม่ค่อยมีใครสนใจ
แต่จริงๆ ทำไว้สบายใจกว่ากันเยอะเลยนะ
ผมก็ใช้อยู่รู้สึกปลอดภัยกว่าเยอะ
ใช้กับแอพ Google Authenticator สะดวกขึ้นเยอะ
คุณสรเขามั่ว เพราะเขาก็ไม่ได้เข้าใจอะไรลึก ๆ ขนาดนั้น ส่วนคนฟังที่ไม่ใช่มนุษย์ IT อธิบายไงก็ไม่รู้เรื่องอยู่ดี ฟังคุณสรแล้วก็อาจจะเลิกใช้ไปเลย ... ก็ดีไปอย่างนะ
มั่วไม่มั่วไม่แน่ใจ แต่สุดท้ายแกสรุปว่าถ้าออกนอกบ้านให้ปิด Wifi ไปเลย ...
ผมเหวอครับ..
ถ้ามองในแง่คนฟังที่ไม่ค่อยมีความรู้มากนัก อาจจะเป็นการอธิบายที่ง่าย และได้ผลดีในระดับหนึ่งเหมือนกันนะ เพราะคนบางส่วนจะใช้ wifi กับเน็ตที่บ้าน พอออกนอกบ้านใช้เฉพาะ edge,3g ดังนั้น พอออกนอกบ้านแล้วปิด wifi นอกจากลดความเสี่ยงแล้วยังทำให้ไม่เปลืองแบตอีกด้วยนะ
และสำหรับคนส่วนอื่น ๆ ที่ต้องใช้ wifi นอกบ้านด้วย ก็น่าจะเข้าใจได้โดยอัตโนมัติอยู่แล้วว่า พอคุณจะใช้คุณก็ต้องเปิด wifi สิ!?
พึ่งเจอสด ๆ ร้อน ๆ เลย
พ่อผม อายุ 60 กว่า ดูรายการนี้ เมื่อกี้ แกเข้ามาบอกผม ว่าวันนี้ดูสรยุทธ์ เรื่อง wifi
แล้วแกก็พูดถึงเรื่อง มี s กับ ไม่มี S อย่างในกระทู้นี้จริง ๆ ด้วย
ทำไมหาดูโปรไฟล์คนที่ไปออกรายการถึงดูเหมือนจะมีความรู้ ลึก รู้ ดี จังครับ แต่ทำไมถึงบอกอะไรที่ทำให้เขาใจผิดได้ง่ายๆ แบบนี้กัน ผมล่ะงง
ใช่ คุณปริญญา หอมเอนก หรือเปล่าครับ เหมือนจะใช่นะ
คนนี้ Cert. ทางด้าน Information Security ยาวเป็นหางว่าวเลย ตัวท้อปๆของโลกที่ยอมรับในระดับนานาชาติแกมีหมด (น่าจะมากกว่า 20 ตัว ในอาเซียนผมว่าแกมีเยอะสุดละ เฉพาะค่าสอบและค่าเดินทางไปสอบคงหมดเป็นสิบล้าน) มีส่วนร่วมกับการออกแบบทางด้าน Information Security ของประเทศเยอะมาก(มีบริษัทส่วนตัวที่ทำงานด้านนี้ด้วยสิ หุหุ) รวมถึงมีเครือข่ายทางด้าน Information Security ในระดับนานาชาติเยอะสุดๆ
กับเนื้อหาที่จะมีความคลาดเคลื่อน ผมว่าน่าจะเป็นความเข้าใจผิดของผู้ดำเนินรายการ รวมถึงระยะเวลาออกอากาศ ทำให้ สาร มันคลาดเคลื่อนไปขนาดนี้
หนึ่งในผู้ร่างพรบ.คอมพิวเตอร์ และเป็นบริษัทเค้าก็เป็นบริษัทแรกๆที่วางจำหน่ายเก็บ log หลังพรบ.คอมพิวเตอร์ประกาศใช้
ถ้าถามชื่อของคนที่เก่งๆด้านเรื่องความปลอดภัยและระบบเครือข่าย คนนี้เป็นคนเดียวที่ได้ยินชื่อมานาน
บางที่การเข้าใจผิดก็ให้ผลดีมากกว่าผลเสียนะครับ
หลายคนตระหนักถึงความอันตรายที่มีอยู่ หลายคนเอาความเข้าใจผิดไปพูดต่อๆ และก็มีอีกหลายๆคนที่มาช่วยแก้ไขความเข้าใจที่ผิดให้ถูก
ผมนั่งดูนิดเดียว และก็งงกับเรื่องที่พูดฮะ
แต่พอจับใจความได้
Coder | Designer | Thinker | Blogger
ผมคิดว่ามันมีวิธีการป้องกันหลายวิธีอยู่นะครับเกี่ยวกับของพวกนี้เช่น
Internet Banking - OTP
Gmail - 2 step verification/Google Authenticator/OTP (ผู้ใช้ต้องเปิดเอง)
Facebook - Code Generator จากตัว App Facebook (ผู้ใช้ต้องเปิดเอง)
Steam - Steam Guard (ผู้ใช้ต้องเปิดเอง)
แค่ว่า ผู้ใช้จะรู้วิธีใช้ของพวกนี้หรือเปล่าก็เท่านั้นเอง
บริการพวกนี้ถ้าเปิด HTTPS ไว้ก็แล้วไปครับ แต่ถ้าไม่ได้เปิดไว้ ต่อให้เปิดพวก OTP เอาไว้แฮกเกอร์ก็ได้ password ไปเข้าใช้บริการอื่นๆ ได้อยู่ดี .... ซึ่งคนทั่วๆ ไปไม่น่าจะมีรหัสผ่านที่ใช้ประจำเกิน 3 ชุด
ไว้ถ้าลูกค้าผมจะอาวจะอาว SSL เมื่อไหร่ผมจะส่งบิลไปเก็บกับบ.ไร่ส้ม -.-
ไปเก็บจาก ท่านปริญญา หอมอเนก แห่ง ACIS ดีกว่ามั้ง
ตอนที่ 10:43 น่าจะบอกจุดสังเกตด้วยน่ะว่ามีรูปแม่กุญแจไม่ต้องเอามือจิ้มก็ได้ครับ สังเกตหน่อยก็ดีครับ
ใช่ครับ จริงๆ ดูจากรูปแม่กุญแจก็ได้ แต่ผมแอบคิดว่าที่เค้าพยายามทำให้มันดูยุ่งยาก เพราะอยากจะให้คนเข้าไปโหลด App ของเค้า
บล็อกนันเคยลงข่าวว่ามีเว็บที่ใช้รูปกุญแจดังกล่าวเป็น favicon ด้วยครับ
ความอเนจอนาถของสื่อใหญ่ ที่ไม่ได้มีการตรวจสอบข้อเท็จจริง
วิธีการที่ถูกต้อง แล้วค่อยให้ข้อมูลกับผู้ชม
รายการแบบเล่าข่าว จริงๆ ควรจะเป็นการย่อยข่าว สรุปประเด็น ให้ผู้ชมง่ายต่อการทำความเข้าใจ
ไม่ใช่ทำให้ผู้ชมได้รับข้อมูลแบบผิดๆ หรือตื่นตระหนกไปกับข้อมูลที่เล่าแบบเข้าใจผิดๆ ถูกๆ
สุดท้ายรายการแบบนี้ก็ไม่ได้ออกมายอมรับข้อผิดพลาด การให้ข้อมูลแบบผิดๆ อยู่ดี (ถ้ามันไม่ได้กลายเป็น talk of the town)
การตระหนักถึงความปลอดภัยในการใช้อินเตอร์เน็ทเป็นเรื่องที่ควรจะมีอยู่แล้ว
แต่การให้ข้อมูลแบบนี้ แล้วสรุปประเด็นว่า ไม่ต้องใช้มันไปเลยดีกว่า
ผมว่ามันเป็นการให้ข้อมูลแบบไม่สร้างสรรค์เลย
ผมไม่เห็นด้วยกับการที่ต้องให้คนรู้แก้ข่าวข้อมูลที่ผิดพลาดอยู่เรื่อยไป
แทนที่ควรจะทำให้ข้อมูลต้นทาง มันถูกต้องตั้งแต่แรก
+1
เล่าข่าวมันเป็นเทรนด์ครับ คนส่วนใหญ่ชอบเพราะดูไม่เครียด ผมเองก็เคยชอบ
แต่เดี๋ยวนี้ผมไม่ค่อยชอบ เพราะมันเปิดโอกาสให้นักข่าวใส่ความคิดเห็นส่วนตัว (หรืออคติ) ในข่าวมากเกินไป นั่งดูแบบเครียดๆ สาระล้วนๆ แบบข่าวช่อง 9 หรือข่าว 3 มิติจะดีกว่า ขอแบบเนื้อๆ เน้นๆ
+1
ใช้มือถือรุ่นที่ไม่สามารถรับไวไฟ หรือติดโทรจันได้ครับ
ตั้ง OTP ซ่ะก็จบ