ติดตามข่าวสารง่ายๆ >>
led Clock นาฬิกาติดโรงงานขนาดใหญ่

http://www.gooab.net
  
สร้างเว็บไซต์Engine by iGetWeb.com
 

 หน้าแรก

 บทความ

 ข่าวไอที

 สินค้าGooAB

 ถามปัญหาคอม

 เว็บบอร์ด

 ติดต่อเรา

จดหมายข่าว

อีเมล์

ตะกร้าสินค้า

จำนวนสินค้า : 0 รายการ
ราคา :0 ฿

Webstats

Sponser link

WoW~WEB!

Edit Video ง่ายๆ ฟังก์ชันใหม่ ด้วย YouTube

MakeMeBabies เห็นหน้าลูกได้ตั้งแต่ยังไม่ตั้งครรภ์

เช็ค App อัพเดท ใหม่ๆง่ายๆที่เดียว

Weight Mirror อยากอ้วน อยากผอม ต้องลองปรับดูก่อน

วิธีทำAvatar หน้า ปลาไหล ที่กำลังฮิตบน Facebook

EasyHi สร้างการ์ดสุดเจ๋งให้กับเพื่อนๆ

รวมเกมส์ออนไลน์ สนุกสำหรับวัยมันส์ แก้เซงดีมาก

Kidopo เว็บไซต์ของคุณหนูๆ

download วีดีโอจาก youtube โดยไม่ต้องง้อโปรแกรมช่วย

Youtube สำหรับหนูน้อย !

ดูวีดีโอ HD เต็มตากว่ากับ YouTube XL

อยากเก็บไฟล์ แต่ไม่มีที่ไว้ นี้เลย MIN.US

อยากฟังเพลงออนไลค์ ให้เพลินต้องเว็บนี้เลย

Google+ คืออะไร

อยากรู้ไหม หน้าเรา เหมือนสุนัขพันธ์ไหน สำหรับคนรักสุนัขห้ามพลาด

มาเปิดโลกให้เต็มตากับภาพข่าวเต็มตา BigPicture

จดบันทึกประชุมออนไลน์ แล้วแชร์ผ่านอ Email ได้เลย สุดยอดด

มาแปลงข้อความ เป็นเสียงกันดีกว่า ง่ายๆไม่ต้องติดตั้งโปรแกรม

Social Network ตัวใหม่ คุณรู้จักไหม Linked in ช่วยหางานได้ !!!

คุณกำลังหา Font สวยๆอยู่รึเปล่า ?

ลอง แต่งหน้าทำผม ผ่านเว็บไซต์

มาทำรูปเป็นสไลด์ เก๋ ด้วย Picturetrail

ทำรูปสติกเกอร์ออนไลน์

ใส่กรอบรูปง่ายๆ ผ่านเว็บไซต์

นางแบบ – นายแบบ นิตยสารในฝัน ใกล้แค่เอื้อม

จิตกร ออนไลน์

คุณจะหน้าตาอย่างไร ในอีก 20 ปี ข้างหน้า

เว็บรวบรวม ส.ค.ส. พระราชทาน ของพระบาทสมเด็จพระเจ้าอยู่หัวฯ

วางแผนการใช้ชีวิตอย่างมีเป้าหมาย กับ iDream

เกมส์ จีบสาว บนYoutube ฝีมือเด็ก AU

แนะนำเว็บไซต์รายงานสภาพจราจรในกรุงเทพฯและเชียงใหม่

ตรวจสอบ สเปคคอมพิวเตอร์ สำหรับ นักเล่นเกมส์

มาลองสร้าง Flash Drive เป็นหุ่นยนต์

สอนทำผม แต่งหน้า สไตล์เกาหลี ง่ายมากๆ

อยากลองทำลายคอมพิวเตอร์ ที่บ้านไหม?

10 เว็บไซต์ความงามสุด cool ที่คุณผู้หญิงต้องคลิ้ก!

อยากโหลดเพลงจาก Youtube ให้เป็น mp3

วิธีแก้ไข้ ภาพถ่ายด้วย online tool

ออนเอ็ม บนเว็บ Online Windows Live Messenger

iGoogle คืออะไร?

มาดูเว็บที่คนทำไม่อยากให้ คลิก!!

ประกอบคอมบนเว็บ กันดีกว่า

อยากรู้ความรู้สึกของนางเอกเวลาโดนตบไหม

มาตรวจสอบอุปกรณ์ Kingston ดูว่าของแท้เปล่า

ทดสอบความเร็วเน็ต ต้องยกให้เค้าเลย

มาลองวาดรูปให้เต้นบนเว็บดู

ใจไม่กล้าจริง อย่าเข้ามาดูเลยดีกว่า

หยุดทำร้ายประเทศไทย

ทดสอบว่าคุณพิมพ์ภาษาอังกฤษเร็วแค่ไหน

มาแต่ง(ล้อ)รถบนเว็บกัน

เว็บแต่งปืนM4 สำหรับคนชอบBB gun

พี่ไก่เขาทำทุกอย่าง ตามที่สั่งจริงๆ

คณิตศาสตร์และการคำนวณต้องยกให้เค้า

แล้วการค้นหาสถานที่ต่างก็ไม่ใช้เรื่องยาก

มาเล่นเกมส์กีต้าร์บนเว็บกัน

ทำหน้าตัวเองให้เป็นการ์ตูน

เว็บแปลงไฟล์ภาพ.png เป็นไฟล์(.ico)

Download !

สิ้นสุดการรอคอย Firefox 8

โปรแกรมจัดการบัญชีรายรับ รายจ่าย ปี 2554

โปรแกรมวางแผนการใช้เงิน รายรับ รายจ่าย ปี 2554

โปรแกรมวางแผนการใช้เงิน

โปรแกรมจัดการบัญชีรายรับ รายจ่าย ปี 2553

ตกแต่งห้องอย่างมืออาชีพ ด้วย Sweet Home 3D

cFosSpeed 4.51 โปรแกรมเพิ่มความเร็วอินเทอร์เน็ต

ค้นหาและทดสอบ Wi-Fi รอบตัวคุณด้วย WirelessMon

WavePad โปรแกรมตัดเพลง MP3 เป็น Ringtone

โหลดคลิปง่ายๆ กับ YouTube Downloader 2.1

โปรแกรมวัดความร้อนซีพียูพร้อมความเร็วพัดลม

โปรแกรมแอบดู Webcam ของคนอื่น

Hiren BootCD 9.8 ซีดีซอฟแวร์สำหรับซ่อมคอมพ์

Orbit Downloader ดูดทุกอย่างบนเน็ต

Active Desktop Calendar ปฏิทินสวยๆ บนหน้าจอ

เปลี่ยนหน้าจอwindowsให้เป็นแบบ 3 มิติ

วอลเปเปอร์ HI-Def สุดสวย

Norton AntiVirus 2009 แอนตี้ไวรัสสุดเจ๋ง

ฆ่าไวรัส MSN ด้วย MSN Virus Cleaner

AVG Anti-Virus Free 8.0

IT Today

ซื้อ แอพบนมือถือ ระวัง จนไม่รู้ตัว

Risk on LINE

Gadget: 10 สุดยอดอุปกรณ์ไอทีแห่งปี

เผย 10โดเมน ที่มีราคาซื้อขายแพงที่สุดประจำปี 2011

ของขวัญ 3 อย่างที่ลูกหลานคุณอยากได้มากที่สุดช่วงปีใหม่นี้!

สื่อออนไลน์ควรถูกควบคุมหรือไม่?

Steve Jobs ได้รับการยกย่องจากนิตยสารทั้งมิตรและศัตรูพร้อมกันทั่วโลก! ::

56 ปี สตีฟ จ็อบส์ ชายผู้เป็นมากกว่าตำนาน

มารู้จักกับ Apple ให้มากกว่านี้

วิธีตรวจว่าแฟลชไดรฟ์ Kingston อันนี้เป็นของแท้ หรือของปลอม ภาค2

หมดยุคแล้วที่จะทำงาน 9 โมงเช้า 5 โมงเย็น !?

คนใช้ Android ขนหัวลุก เพราะปัญหาไวรัสแอบแฝง

Facebook VS Google+

iPhone เปลี่ยนโลกได้อย่างไร

ติด Facebook ผลกระทบหลายด้าน

ประมวลสถานการณ์ภัยเทคโนโลยีปี 53 และแนวโน้มสถานการณ์ภัยเทคโนโลยีปี 54

ห่วงเด็กปิดเทอม สนับสนุนให้ทำกิจกรรมดีดี

เกมส์คอมพิวเตอร์ กับ เกมชีวิต

เสริมทักษะชีวิตให้วัยรุ่น...วัยเสี่ยง...แชทรักออนไลน์

นั่งหน้าคอมพ์จนปวดคอ อย่านิ่งดูดาย

โรค Computer vision syndrome

วิธีการถนอมดวงตาเวลาใช้คอมพิวเตอร์

โรคปวดหลัง ถามหาคนเล่นคอม

5 เหตุการณ์เด่นไอทีไทยปี 52

ประมวลสถานการณ์และแนวโน้มภัยเทคโนโลยี ปี 2553

เข้าใจเด็กไอที เสริมภูมิต้านทานภัยเทคโนโลยี

10 เทรนด์ไอทีปี 2010

วิีธีการป้องกันคลิปหลุดแบบได้ผล 100%

Tip Google

Tip Windows8

Tip Windows7

Tip Notebook

เลือกซื้อโน๊ตบุ๊คส์อย่างไรดี(CPU)?

ชาร์จแบตด้วยการพิมพ์

ด็อคกิ้งไร้สาย แปลงโน้ตบุ๊ก เป็น เดสก์ทอป

google chrome os คือ?

Windows Vista รุ่น 32 Bit และ 64 Bit แตกต่างอย่างไร

7 วิธี เพิ่มความเร็วง่ายๆให้แก่ Notebook สุดรัก (ตอนที่ 2)

7 วิธี เพิ่มความเร็วง่ายๆให้แก่ Notebook สุดรัก (ตอนที่ 1)

เพิ่มสัญญาณWireless !!สุดยอดมากๆ

ใครบอกเล่นคอมในรถไม่ได้?

มาล้าง Windows ให้สะอาดกันดีกว่า

ถึงเวลา Macbook ประหยัดไฟกัน

ใช้โน๊ตบุคให้ ประหยัดพลังงาน ภาค3

ใช้โน๊ตบุคให้ ประหยัดพลังงาน ภาค2

ใช้โน๊ตบุคให้ ประหยัดพลังงาน ภาค1

วิธีตรวจสอบโน้ตบุค ก่อนตัดสินใจซื้อ

วิธีเลือกดูโน้ตบุค ก่อนตัดสินใจซื้อ

5 ขั้นตอนทำความสะอาด Notebook

มาทำความสะอาดจอLCDกัน

Laptop Alarm :: ป้องกันขโมยโน้ตบุค

10 อุปกรณ์notebookที่น่าสนใจมาก

วิธีชาร์จแบตเตอรี่อย่างถูกต้อง

การเสียบปลั๊กอย่างถูกวิธี

วิธีง่ายๆยืดเวลาการใช้งาน

Tip Computer

25 รหัสผ่านบนเว็บที่คาดเดาง่ายที่สุด

การเพิ่มสัญญาณ Wi-Fi ด้วยกระป๋องเบียร์

รวมโปรแกรมดีๆ สำหรับ iPad

Wikipedia กับความเป็นจริง !!

มาแล้ว Wi-Fi 802.22 ไกลถึง 100 กม.

แท็บเล็ต ภาษาไทยเรียกว่าอะไร ?

เทียบนวัตกรรมจาก Microsoft และ Apple ตลอด 30 ปี

ตารางเปรียบเทียบคุณสมบัติสเปค PlayBook , iPad 2 , Touchpad , Android Tablet

มาดูความแตกต่างของ Tablet แต่ละรุ่นกัน คุณสมบัติต่างๆชัดๆ

แท็บเล็ต(Tablet) คืออะไร?

iPad Vs Android ซื้ออะไรดี?

วิธีการเลือกซื้อ MP3 Player

วิธีเลือกซื้อลำโพง (Speaker)

10 ข้อควรรู้ก่อนซื้อ การ์ดจอระดับเทพตัวโปรด

โปรมแกรมเช็ค Dead Pixel โหลดฟรี ใช้ง่ายสุดๆ

เสียง บีพ จาก Mainboard หมายความว่าอย่างไร ?

กู้ข้อมูล

7 วิธีการกู้ข้อมูลในฮาร์ดดิสก์

มาดูกัน กว่าจะเป็น CPU ทำจากอะไร

มาสร้าง QR Code กันเถอะ

ความรู้ทั่วไปเกี่ยวกับ UPS

จะเลือกซื้อ UPS คิดว่ารู้จัดมันดีพอแล้วหรือยัง?

แปลงตัวรับสัญญาณ Wireless ให้เป็น Access Point

วิธีกู้ข้อมูลจาก harddisk ที่เสียแล้ว

ความเป็นมา ของอินเตอร์เน็ต(internet)

ความหมายของคอมพิวเตอร์

iPad คืออะไร?

QWERTY คืออะไรกัน?

วิธี ตรวจสอบ Ram Kingston

ระวัง Flash drive Kingston ปลอม!! ภาค1

X86 กับ X64 มันคือเลขอะไรกัน

XPphone มือถือตัวจริงของคนชอบ Windows XP

มือถือหาย ก็สามารถติดตามได้ด้วย GPS

Aircard คืออะไร ?

HSPA เทคโนโลยีไร้สายสำหรับอนาคต

ข้อเท็จจริงของการ (Overclock)

วิธีการต่ออินเตอร์เน็ตผ่านมือถือแบบง่ายๆ

PSP VS Ipod touch VS NDS Lite

QR Code คืออะไร?

สำหรับคนที่คิดจะซื้อ i Phone 3G

วิธีการขยายสัญญาณ True Wi-Fi

มารู้จักเสาWirelessกันดีกว่า

วิธีแก้ปัญหา Dead Pixels จอ LCD

ความรู้ทั่วไปเกี่ยวกับคอมพิวเตอร์

วิธีเลือกซื้อการ์ดจอ

เล่นอินเตอร์เน็ตผ่านมือถือ

อาการคอมเสียยอดฮิต

Tip Virus

ระวังภัย Microsoft แจ้งเตือนช่องโหว่ 0-Day TIFF Codec ในโปรแกรม Microsoft Office (CVE-2013-3906)

รวมคำนิยามของ Virus, Worm, Spyware, Trojan, Malware ฉบับสมบูรณ์

ไวรัส แฮร์รี่ พอตเตอร์ Harry Potter ระวัง ฉกข้อมูล

Drive D เปิดไม่ได้ ทำอย่างไร

การปิด วิธีปิด autorun เพื่อป้องกันไวรัส

ใคร task manager หาย วันนี้มีวิธีแก้ง่ายๆมาฝากกัน

เตือนผู้ใช้ IE ปิด JavaScript โดนไวรัส

จุดอ่อน อย่ากด F1 ใน Windows XP

การตรวจสอบไวรัส (virus) และการป้องกันไวรัส เบื้องต้น

การทำงานของไวรัสคอมพิวเตอร์

ข้อมูลและบทวิจารณ์ bitdefender antivirus 2008

ข้อมูลและบทวิจารณ์ Kaspersky antivirus 2008

ความหมายของชื่อไวรัส mean of virus name

Top 10 antivirus 2009 (10 อันดับสุดยอดโปรแกรมป้องกันไวรัสปี 2009)

5 วิธี แก้ไขปัญหาเกี่ยวกับ Virus MSN

http://myspc.net/ ส่งไวรสมาอีกแว้ว

Surabaya Virus

ระวังหลอกลวงผ่านโทรศัพท์มือถือ

ระวังหลอกให้โอนเงิน

กด Ctrl+Alt +Del ดู Task Manager ไม่ได้

W32.MSN.Worm

Gooab.Net

Risk on LINE

Risk on LINE

Risk on LINE

ผู้เขียน: ไพชยนต์ วิมุกตะนันทน์
วันที่เผยแพร่: 27 ธันวาคม 2556
ปรับปรุงล่าสุด: 27 ธันวาคม 2556

ในนาทีนี้ สำหรับชาวไทย คงไม่มีใครไม่รู้จักแอพยอดฮิตที่ชื่อ LINE อย่างน้อยถึงไม่ใช่ผู้ที่ใช้งานสมาร์ทโฟน ก็ต้องเคยได้ยินเรื่องเกี่ยวกับแอพตัวนี้กันมาบ้างแล้ว โดยเฉพาะผู้ที่ติดตามข่าวสารทางสื่อมวลชนต่างๆ อาจจะเคยได้ยินว่า เจ้าหน้าที่บ้านเมือง มีความสนใจในการ “ขอความร่วมมือ” จากบริษัท NAVER ซึ่งเป็นเจ้าของโปรแกรมนี้ ในการให้ข้อมูลเกี่ยวกับผู้ใช้งาน LINE ในบางกรณี ซึ่งผลของมันก็คงเป็นที่ทราบกันตามที่ปรากฏในสื่อต่างๆ ไปแล้ว จึงขอไม่กล่าวซ้ำในที่นี้อีก

อันว่าโปรแกรมประเภท Instant Messaging ทั้งหลายนี้ เช่น LINE, WeChat หรือ WhatsApp ถึงแม้จะมีความสามารถปลีกย่อยเพิ่มเติมอย่างไร โดนรูปแบบของการสื่อสารแล้ว ก็มีลักษณะการทำงานเหมือนๆ กัน นั่นคือ เป็นการรับส่งข้อความระหว่างแอพพลิเคชันบนสมาร์ทโฟนกับเครื่องบริการ (Server) ที่อยู่ที่ใดที่หนึ่ง ในรูปแบบ Client-Server ความจริงเคยมีผู้คิดทำ Instant Messaging (ต่อไปนี้ขอเรียกว่า IM) แบบ Peer-to-Peer หมายถึง แอพพลิเคชันสามารถรับส่งข้อความระหว่างกันได้โดยตรงโดยไม่ผ่านคนกลางใดๆ อยู่เหมือนกัน แต่ยังมีปัญหาบางอย่างเช่นหากผู้รับไม่ได้ออนไลน์อยู่ในเวลานั้น ข้อความที่ส่งไปจะไปพักอยู่ที่ใด หรือข้อความจะหายไปเลย กลายเป็นข้อความที่ส่งไม่ถึง? หรือจะแจ้งให้ผู้ส่งทราบว่าข้อความไม่สามารถส่งไปถึงผู้รับได้? ซึ่งก็ล้วนแต่เป็นเรื่องนี่น่าคิดทั้งนั้น

ในมุมมองของผู้ที่มีความสนใจเรื่อง Security นั้น โปรแกรมประเภท IM ก่อให้เกิดคำถามหลายอย่างซึ่งเกี่ยวกับความมั่นคงปลอดภัย หรือบางครั้งก็เกี่ยวกับความปลอดภัยในชีวิตและทรัพย์สินของผู้ใช้งานเลยทีเดียว คำถามที่ว่านี้อย่างเช่น ข้อความที่เราส่งไปนั้นจะมีใครเห็นได้บ้าง ข้อความจะถูกเปลี่ยนแปลงระหว่างทางได้หรือไม่ ข้อความที่ส่งไปแล้วจะถูกเก็บไว้ที่ใด เก็บไว้นานเท่าใด คำถามเหล่านี้ไม่ได้เกิดแค่กับ IM ยุคใหม่บนโทรศัพท์มือถือเท่านั้น แต่เกิดได้กับทุกโปรแกรมที่มีลักษณะเดียวกัน แม้แต่ในโปรแกรมยุคก่อนสมาร์ทโฟนเช่น ICQ หรือ MSN Messenger ที่เคยเป็นเจ้าตลาดอยู่ในโลกของ PC

การที่มีเครื่องบริการของคนกลางเป็นที่ส่งผ่านข้อความนั้น สามารถแปลได้ง่ายๆว่า มีคนอย่างน้อย 1 คน (หรือกลุ่ม) ที่สามารถเข้าถึงข้อความของผู้ใช้งานได้ นั่นคือคนที่สามารถเข้าถึงเครื่องบริการนี้ได้นั่นเอง คนคนนี้ หรือกลุ่มนี้ ตามปกติก็คือเจ้าของเครื่องบริการ (ซึ่งอาจเป็นเจ้าของโปรแกรม IM ด้วย) แต่ถ้าในกรณีไม่ปกติ ก็คงต้องรวมเจ้าหน้าที่ของรัฐ ที่ได้รับสิทธิ์ในบางกรณี (เช่น หมายศาล) ให้เข้าตรวจสอบเครื่องบริการ หรือแม้กระทั่งผู้ไม่หวังดี เช่น Hacker ที่ลักลอบเข้าสู่เครื่องบริการที่กล่าวนี้โดยเจ้าของเครื่องไม่ทราบ

แต่การเข้าถึงข้อความที่รับส่งกันผ่าน IM นั้น ไม่ใช่แค่การเข้าถึงเครื่องบริการเท่านั้น ยังมีวิธีอื่นๆ อีกที่สามารถทำได้ เช่นการดักรับข้อมูลกลางทาง โดยใช้เทคนิคทางระบบเครือข่ายทั้งหลาย แต่ในยุคนี้ โปรแกรมที่มีการรับส่งข้อมูลทางระบบเครือข่ายสาธารณะ ก็มีการใช้งาน SSL/TLS [1] ซึ่งเป็นการเข้ารหัสลับข้อความกันเป็นปกติอยู่แล้ว ในกรณีนี้ มุมมองด้านเทคนิคก็ต้องถือว่ามีความมั่นคงปลอดภัยตามสมควร ตราบใดที่กระบวนการตรวจสอบใบรับรอง (Digital Certificate) ของการเข้ารหัสลับไม่มีความบกพร่อง และโปรแกรมมีการใช้การเข้ารหัสลับตลอดเวลา

อย่างไรก็ตาม เมื่อมาลองพิจารณาดูในความเป็นจริง การใช้ SSL/TLS ในโปรแกรมต่างๆ โดยเฉพาะ “แอพ” ในโทรศัพท์มือถือก็ยังเป็นสิ่งที่น่าสนใจอยู่ไม่น้อย เพราะธรรมชาติของแอพนั้น ต้องการให้ผู้ใช้งานใช้ได้อย่างสะดวกที่สุด ปล่อยให้การดำเนินการทั้งหมดเป็นหน้าที่ของแอพ ดังนั้นผู้ใช้งานจะแน่ใจได้อย่างไรว่าแอพนั้นสื่อสารผ่านช่องทางที่มีการรักษาความมั่นคงปลอดภัยของข้อความหรือเข้ารหัสลับตลอดเวลา หรือในกรณีที่แอพพบความผิดปกติในกลไกของ SSL/TLS เช่น พบกับใบรับรองอิเล็กทรอนิกส์ (Digital Certificate) ของเครื่อบริการที่ผิดปกติ เช่นกรณีที่ถูกโจมตีด้วยวิธี Man-in-the-middle [2] แอพจะปฏิบัติตัวอย่างไร ในกรณีนี้ไม่เหมือนกับเว็บบราวเซอร์ ที่มีวิธีการแสดงผลให้ผู้ใช้ได้ทราบอย่างชัดเจนอยู่แล้ว

เพื่อให้ทราบถึงกลไกการทำงานของแอพเหล่านี้ ไทยเซิร์ตได้ทดลองกับแอพที่นิยมใช้กัน 3 ตัว คือ LINE, WhatsApp และ WeChat ในช่วงเดือนพฤศจิกายนที่ผ่านมา ซึ่งก็พบว่ามีการใช้งาน SSL/TLS กันตามที่คาด แต่สำหรับแอพที่อาจจะเรียกได้ว่า เป็นที่สุดในบ้านเราอย่าง LINE ที่ได้กล่าวถึงไว้ข้างต้นนั้น ก็มีข้อสังเกตที่หลายๆ คนอาจจะเคยได้ยินมาแล้วเกี่ยวกับการเข้ารหัสลับข้อมูล นั่นคือ มีผู้ค้นพบว่า LINE ในรุ่นที่ต่ำกว่า 3.9.2 (ขณะที่ทดสอบเป็นรุ่น 3.8.8) จะไม่ใช้ SSL/TLS ในการสื่อสารผ่าน Mobile Broadband (GPRS, EDGE หรือ 3G, 4G) แต่ในเวลาที่สื่อสารผ่านเครือข่าย WIFI ก็จะมีการใช้การเข้ารหัสลับตามที่ควรจะเป็น ทั้งนี้อาจจะเข้าใจได้ว่า เครือข่าย WIFI ส่วนมากที่ใช้งานกัน โดยเฉพาะ Public Hotspot ต่างๆ สามารถถูกดักรับข้อมูลได้ง่าย จึงจำเป็นต้องมีการป้องกันเอาไว้ด้วยการเข้ารหัสลับ แต่บน Mobile Broadband โดยเฉพาะ 3G และ 4G ยังไม่พบวิธีที่จะดักรับข้อมูล “กลางอากาศ” ได้ (ระบบ 3G ในบ้านเรา มีพื้นฐานจากระบบ UMTS ที่ใช้ KASUMI Encryption ในปัจจุบัน ยังไม่พบการ Crack ที่สามารถใช้งานได้จริง [3]) ยกเว้นการใช้งานในระบบ GPRS ที่อาจใช้วิธีสร้าง Rogue cell tower เพื่อดักข้อมูลในลักษณะคล้าย Rogue AP [4] ของเครือข่าย WIFI ดังที่เคยมีการสาธิตในงาน DEF CON มาแล้ว เมื่อปี 2010 [5] จึงมีความจำเป็นน้อยกว่าในเรื่องการเข้ารหัสลับข้อมูล

แต่อย่าลืมว่า เมื่อใช้งาน LINE รุ่นต่ำกว่า 3.9.2 ผ่าน Mobile Broadband ข้อมูลที่ไม่ได้เข้ารหัสลับนั้น ก็วิ่งอยู่ในระบบเครือข่ายของผู้ให้บริการโทรศัพท์ในสภาวะที่พร้อมจะถูกดักรับ เปลี่ยนแปลง หรือเปลี่ยนทิศทางได้ เท่ากับว่าเพิ่มกลุ่มคนที่จะเข้าถึงข้อมูลได้ขึ้นมาอีกหลายกลุ่ม จากเดิมที่มีเพียงเจ้าของโปรแกรม LINE (บริษัท NAVER) ตอนนี้ก็จะมีผู้ให้บริการโทรศัพท์ ผู้ให้บริการอินเทอร์เน็ต (ISP) ที่ผู้ให้บริการโทรศัพท์ใช้งานอยู่ และ ISP ที่บริษัท NAVER ใช้งานอยู่ ตลอดจน ISP ที่อยู่ระหว่างทางเข้าไปอีกด้วย ซึ่งอาจจะมองได้ว่ามีความเสี่ยงเพิ่มขึ้นอย่างชัดเจน

นอกจากนี้ จากการทดลอง ยังพบอีกว่า LINE ใช้วิธีสื่อสารที่คล้ายกับ HTTP ในการสื่อสารระหว่างแอพกับเครื่องบริการ โดยมีการใช้ Session key ในการทำ Authentication ซึ่งก็เป็นรูปแบบเดียวกับ Web application ทั่วไป ซึ่ง Session key ที่กล่าวนี้จากการทดลองดูเหมือนจะไม่มีการหมดอายุ ซึ่งหากถูกขโมย (เช่น ด้วยวิธีการดักข้อมูล) ผู้ไม่หวังดีก็สามารถเอาไปใช้สวมรอยได้ตามใจชอบ โดยเจ้าของ Key ที่ถูกขโมยไม่มีทางรู้ตัวได้เลย และบริษัท NAVER ก็ไม่มีทางตรวจสอบ หรือป้องกันได้ง่ายๆ เพราะระบบของ LINE ยอมให้ผู้ใช้งานเข้าถึงได้ทั้งผ่าน HTTP และ HTTPS (SSL/TLS) [6] ได้พร้อมๆ กันอยู่แล้ว

ณ จุดนี้ ผู้ไม่หวังดีก็ไม่มีความจำเป็นจะต้องกังวลว่า จะใช้วิธีใดในการดักข้อมูลของผู้ใช้อีกแล้ว ไม่ว่าต่อไปนี้เจ้าของ Key จะส่งข้อมูลด้วย HTTPS หรือไม่ เพราะสำหรับกรณีนี้ การมี Session key ย่อมมีค่าเท่ากับการได้เข้าถึงข้อความของผู้ใช้งานโดยตรงนั่นเอง

Pa2013te015-1.jpg 
รูปที่ 1 แสดงการใช้ Python ส่งคำสั่งเลียนแบบ LINE โดยใช้ Session key ที่ถูกต้อง พบว่าสามารถรับข้อความได้จริง

บทสรุป

แอพประเภท IM บนโทรศัพท์มือถือ ได้รับความนิยมอย่างรวดเร็วเนื่องจากความสะดวกในการใช้งาน ลูกเล่นในการส่งข้อความ และค่าใช้จ่ายในการส่งข้อความที่มีอัตราที่ต่ำกว่า SMS มาก แต่สิ่งที่ต้องทำความเข้าใจอย่างหนึ่งก็คือ แอพเหล่านี้ไม่ได้มีจุดประสงค์ในด้านการเป็น Secure Communication Platform เช่นเดียวกับ Email ที่จำเป็นต้องใช้ End-to-end Encryption เช่น PGP [7] หรือ S/MIME เข้าช่วยเพื่อให้เกิดความมั่นคงปลอดภัยมากขึ้น การใช้ SSL/TLS ในแอพ ไม่ได้เป็นการรับประกันความมั่นคงปลอดภัย 100% แต่เป็นการลดความเสี่ยงที่จะมีผู้ที่ไม่ใช่ผู้ส่ง ผู้รับ และเจ้าของแอพ จะมาเข้าถึงข้อความได้เท่านั้น นอกจากนี้ ก็ยังขึ้นอยู่กับว่า ตัวแอพเอง จะมีการใช้งาน SSL/TLS อย่างถูกต้องแค่ไหนด้วย เช่น มีโอกาสหรือไม่ที่แอพจะมีการตรวจสอบ Digital Certificate ผิดพลาด ทำให้การโจมตีแบบ Man-in-the-middle สามารถทำได้สำเร็จ จน Session key ตกอยู่ในมือผู้ไม่หวังดี หรือมีการใช้ Encryption spec ที่ต่ำจนเกินไป หรือมีช่องโหว่ จนถูก Crack ออก ซึ่งในฐานะของผู้ใช้งานธรรมดา ย่อมไม่มีโอกาสที่จะรู้รายละเอียดเหล่านี้ได้เลย ดังนั้นการใช้งานแอพประเภทนี้ จึงควรระลึกอยู่เสมอว่า ความมั่นคงปลอดภัยของการสื่อสารนั้นอยู่ในมือของผู้สร้างแอพ 100% โดยผู้ใช้งานไม่สามารถควบคุมได้เลย ยิ่งไปกว่านั้น สำหรับผู้ใช้งานที่นิยมติดตั้งแอพประเภทนอกระบบทั้งหลาย คือติดตั้งโดยไม่ผ่านระบบ Play Store หรือ App Store ผู้เผยแพร่แอพนอกระบบเหล่านั้น อาจคิดไม่ซื่อ ลักลอบฝัง Backdoor หรือลดความสามารถด้านความมั่นคงปลอดภัยของแอพนั้นๆ ลง โดยผู้ใช้งานไม่สามารถรู้ได้เลย และอาจตกเป็นเหยื่อของผู้ไม่หวังดีได้

อ้างอิง https://www.thaicert.or.th/papers/technical/2013/pa2013te015.html

view
view