ประเด็นเรื่องความปลอดภัยคอมพิวเตอร์ กลายเป็นเรื่องใหญ่มากขึ้นเรื่อยๆ ในรอบไม่กี่ปีมานี้ ส่วนหนึ่งคงเป็นเพราะโลกเราใช้ระบบคอมพิวเตอร์กันมากขึ้นมาก แต่กรอบวิธีคิดด้านความปลอดภัยอาจยังพัฒนาไม่ทันช่องโหว่ที่มีมากขึ้น

ในงานสัมมนา Rise 2015 ที่ฮ่องกง หัวข้อหนึ่งที่น่าสนใจและผมได้เข้าฟัง คือการบรรยายของ Mikko Hypponen ประธานเจ้าหน้าที่ฝ่ายวิจัย (Chief Research Officer) จากบริษัทซอฟต์แวร์ความปลอดภัยชื่อดัง F-Secure ที่มาสะท้อนมุมมองในฐานะที่ทำงานสายความปลอดภัยมายาวนาน ว่ามีอะไรที่เปลี่ยนไปจากในอดีตบ้าง และเรากำลังจะเจอกับอะไรบ้าง

Mikko บอกว่าเขาทำงานในแวดวงความปลอดภัยคอมพิวเตอร์มานาน สมัยก่อนมัลแวร์เป็นเรื่องของวัยรุ่นคึกคะนอง เขียนซอฟต์แวร์มากลั่นแกล้งให้คอมพิวเตอร์ทำงานไม่ได้ แต่ปัจจุบันนี้มัลแวร์ไม่ใช่เรื่องของเด็กๆ อีกต่อไปแล้ว มันกลายเป็นขบวนการอาชญากรรมที่มีความซับซ้อนสูง และสร้างผลกระทบในวงกว้างกว่าเดิมมาก

เขาแยกแยะประเภทของ "แฮ็กเกอร์" ว่าสามารถจัดกลุ่มได้ 5 แบบใหญ่ๆ คือ

• กลุ่มแฮ็กเกอร์ดี เป็นผู้เชี่ยวชาญความปลอดภัยที่ค้นหาช่องโหว่เพื่อแจ้งหน่วยงานต้นทางให้รับทราบ
• กลุ่ม Hacktivists แฮ็กเพื่อประท้วงหรือแสดงออกความเชื่อบางอย่าง กลุ่มนี้ไม่สนใจเรื่องเงิน ตัวอย่างคือกลุ่ม Anonymous
• กลุ่มอาชญากร เน้นแฮ็กเพื่อเงินเป็นหลัก ทำอย่างไรก็ได้เพื่อหาเงินมา ไม่สนใจอุดมการณ์
• กลุ่มแฮ็กเกอร์จากรัฐบาล เน้นสอดแนมข้อมูล มีหมดทั้งจากอเมริกา จีน รัสเซีย อินเดีย ปากีสถาน เกาหลีเหนือ อิหร่าน
• กลุ่มแฮ็กเกอร์หัวรุนแรง กลุ่มนี้จะเน้นโจมตีระบบเพื่อให้เกิดความเสียหาย แบบเดียวกับการก่อการร้ายในโลกความเป็นจริง

Mikko ยกตัวอย่างกรณีของการแฮ็กระบบที่กระทบกับโลกความเป็นจริง 2 กรณี อย่างแรกคือการแฮ็กระบบของรถ Chrysler เมื่อไม่นานมานี้ ที่แสดงให้เห็นว่าแฮ็กเกอร์สามารถควบคุมระบบขับเคลื่อนของรถยนต์ได้จากระยะไกล

อีกกรณีหนึ่งคือการแฮ็กเครื่องบิน คนเรามักคิดว่าระบบคอมพิวเตอร์ที่ควบคุมเครื่องบิน กับระบบความบันเทิงของผู้โดยสารนั้นแยกจากกัน แต่จริงๆ แล้วมันอยู่บนเครือข่ายเดียวกัน แค่มีไฟร์วอลล์กั้นไว้เท่านั้น ดังนั้นการแฮ็กเครื่องบินจึงเป็นเรื่องที่เป็นไปได้

เขายกตัวอย่างวิธีการแฮ็กเครื่องบินว่าต้องเริ่มต้นจากการนั่งให้ถูกจุด ซึ่งก็ขึ้นกับว่านั่งเครื่องบินรุ่นไหน แต่ไอเดียโดยหลักคือต้องนั่งตำแหน่งที่มีกล่องควบคุมระบบความบันเทิงอยู่ใต้เก้าอี้ ถ้าแกะฝาออกมามันคือพีซีธรรมดา ซึ่งต้องใช้พอร์ตแบบพิเศษควบคุม ถึงแม้คนทั่วไปจะไม่สามารถเจาะระบบเข้าไปได้ แต่คนที่มีความรู้ มีอุปกรณ์พร้อม ก็สามารถเชื่อมต่อกับระบบเครือข่ายภายในเครื่องบินได้ไม่ยาก (บทความประกอบ Is It Possible for Passengers to Hack Commercial Aircraft?)

Mikko เล่าเรื่องของ Chris Roberts ผู้เชี่ยวชาญความปลอดภัยที่สนใจค้นหาช่องโหว่บนเครื่องบิน เขาเป็นแฮ็กเกอร์สายสว่าง แต่ความสนใจของเขากลับทำให้หน่วยงานภาครัฐของสหรัฐเพ่งเล็ง เพราะกลัวเขาไปแฮ็กเครื่องบินแล้วจะกลายเป็นช่องสำหรับการก่อการร้าย ส่งผลให้ Chris ที่หวังดีอยากให้ระบบคอมพิวเตอร์ของเครื่องบินปลอดภัยมากขึ้น กลับต้องสงบปากสงบคำลงกว่าเดิม เพราะอาจโดนกฎหมายเล่นงาน

Mikko บอกว่าในเมื่อซอฟต์แวร์ทุกตัวมีช่องโหว่ เราจึงจำเป็นต้องสร้างโค้ดที่ปลอดภัย ด้วยการสร้างแนวปฏิบัติของการเขียนโค้ดอย่างระวัง (careful coding practice) ซึ่งเป็นเรื่องสำคัญมากของการเขียนซอฟต์แวร์ในปัจจุบัน

เขายังเล่าเรื่องของ Ransomware ว่าอย่างน้อยๆ ข้อดีของมันคือกู้คืนข้อมูลได้ถ้ายอมจ่ายเงิน แต่จริงๆ แล้วทาง F-Secure แนะนำให้ไม่จ่าย

ส่วนเหตุผลที่แฮ็กเกอร์นิยมให้จ่ายเป็น Bitcoin เป็นเพราะตามรอยได้ยาก เช่นเดียวกับเราใช้เงินสดซื้อโคเคน แต่อีกเหตุผลหนึ่งคือในโลกมืดใต้ดิน มีระบบ affiliate ครบวงจร คนสร้าง ransomware มีเครือข่ายให้คนช่วยกันกระจาย ransomware เพื่อแบ่งรายได้จากเงินที่คนยอมจ่ายเพื่อปลดล็อคการเข้ารหัสข้อมูลด้วย

เขายังพูดถึงประเด็นความเป็นส่วนตัวของข้อมูลผู้ใช้ว่า ข้อมูลที่เป็นคีย์สำคัญมากคือหมายเลขโทรศัพท์ เพราะมันจะทำหน้าที่เชื่อมตัวตนของผู้ใช้ในโลกออนไลน์ เข้ากับพฤติกรรมการบริโภคในโลกออฟไลน์ (ผ่านการซื้อข้อมูลจากบริษัทที่ขายข้อมูล) ดังนั้นเมื่อเราไปซื้อสินค้าในโลกจริง กรอกเบอร์โทรศัพท์ไว้กับฟอร์มต่างๆ ก็จะมีบริษัทนำข้อมูลเหล่านี้ไปประมวลผลว่า เจ้าของเบอร์นี้มีพฤติกรรมการซื้อสินค้าอย่างไร

จากนั้นบริษัทออนไลน์อย่าง Google, Twitter ก็จะซื้อข้อมูลจากบริษัทเหล่านี้ แล้วมา map กับฐานข้อมูลเบอร์โทรศัพท์ของตัวเอง เพื่อคัดเลือกโฆษณาที่เหมาะสมกับผู้ใช้คนนั้นมากที่สุด ซึ่ง Mikko เชื่อว่า Facebook ยอมทุ่มเงินมหาศาลซื้อ WhatsApp ด้วยเหตุผลนี้ (WhatsApp มีฐานข้อมูลเบอร์โทรศัพท์ขนาดใหญ่มาก)

เขาบอกว่าการกระทำพวกนี้ถูกกฎหมายทั้งหมด เพราะอยู่ภายใต้ข้อตกลงการใช้งาน (license agreement) ที่ทุกคนไม่เคยอ่านแต่กด Agree กัน เขายังเล่าการทดลองของ F-Secure ที่เปิด Wi-Fi ให้ใช้ฟรีในลอนดอน พร้อมกับเงื่อนไขว่าผู้ใช้งานต้องยกลูกคนแรกให้บริษัท ผลคือทุกคนกด Agree

ประเด็นสุดท้ายคือความปลอดภัยยุค IoT

Mikko ยกตัวอย่างอุปกรณ์พื้นๆ อย่างหลอดไฟที่เปลี่ยนสีได้ ทำอย่างอื่นไม่ได้เลย ดูเหมือนจะไม่มีประเด็นอะไร แต่จริงๆ แล้วมันกลับเป็นช่องโหว่ให้แฮ็กเกอร์ขโมยรหัสผ่าน Wi-Fi ของบ้านเราได้ แล้วกลายเป็นจุดเริ่มต้นให้แฮ็กเกอร์เข้ามายังเครือข่ายภายในบ้านไปทำอย่างอื่นต่อได้ ดังนั้นในยุคหน้าเราคงจะต้องเตือนกันว่า "อย่าลืมแพตช์หลอดไฟด้วยนะ"

Mikko สรุปปิดท้ายว่าความปลอดภัยในยุคหน้ามีความซับซ้อนสูงมาก เราไม่สามารถใช้แนวทางเดิมๆ เพื่อป้องกันภัยได้อีกแล้ว สิ่งที่ต้องทำคือค้นหาไอเดียใหม่ๆ โดยหวังว่าสตาร์ตอัพสายความปลอดภัยทั้งหลายจะสามารถนำพาพวกเราไปอยู่ในโลกที่ปลอดภัยมากขึ้นกว่าเดิมได้

เพิ่มเติม วิดีโอบรรยายของ Mikko Hypponen ในงาน TED ปี 2011 มีเนื้อหาใกล้เคียงกัน (เขายังเล่าเรื่องการตามหาตัวคนสร้างไวรัสคนแรกของโลก ที่เป็นชาวปากีสถานด้วย)