Clear
Lead Graphic Papers

มหากาฬแฮกกิ้งกับดิจิทัลไลฟ์ที่สูญสิ้นของนายแมท โฮนาน

ผู้เขียน: ณัฐโชติ ดุสิตานนท์
วันที่เผยแพร่: 1 มีนาคม 2556
ปรับปรุงล่าสุด: 1 มีนาคม 2556

Share on Facebook Share on Twitter Share on Google+

ปัจจุบันนี้ถ้าพูดถึงการใช้ชีวิตในของมนุษย์ เราจะพบว่าชีวิตของเราเกี่ยวข้องกับโลกออนไลน์มากขึ้นกว่าแต่ก่อนอย่างเห็นได้ชัด แต่เดิมการใช้อีเมล หรือการใช้อินเทอร์เน็ตในการติดต่อสื่อสารก็ถือว่าเป็นรูปแบบสื่อสารที่ทันสมัย และส่วนใหญ่ใช้ในด้านธุรกิจ แต่เดี๋ยวนี้นอกจากการใช้อีเมลจะถือว่าเป็นของธรรมดาแล้ว หลายคนยังใช้อีเมล และการสื่อสารผ่านระบบอินเทอร์เน็ตเหล่านี้แทนการสื่อสารกันในชีวิตจริงอีกด้วย นอกจากการพึ่งพาระบบอินเทอร์เน็ตในการสื่อสารแล้ว ยังมีการเก็บข้อมูลออนไลน์ผ่านบริการ Cloud หลายคนอาจจะใช้เก็บรูปครอบครัวจนถึงเอกสารสำคัญในการทำงาน เรียกได้ว่าทั้งชีวิตของคนจำนวนไม่น้อยได้หลอมรวมกับโลกออนไลน์อย่างแยกกันไม่ออก จนกระทั่งเรามีศัพท์บัญญัติว่า ชีวิตในโลกดิจิทัล หรือ Digital Life ซึ่งเปรียบเสมือนอีกภาคหนึ่งของบุคคล และอาจจะหมายถึงทุกสิ่งทุกอย่างในชีวิตของบางคนเลยทีเดียว

ในโลกดิจิทัลนั้น ส่วนที่ใช้เชื่อมต่อกันกับโลกจริง ชีวิตจริงของมนุษย์ ก็คือบัญชีผู้ใช้งาน (User Account) ที่เป็นพื้นฐานของความมีตัวตนในโลกอินเทอร์เน็ต ลองคิดดูว่าหากบัญชีผู้ใช้งานเหล่านี้ถูกขโมยโดยแฮกเกอร์ จะสร้างความเดือนร้อนต่อเจ้าของเพียงใด ในครั้งนี้ ผู้เขียนจึงอยากขอกล่าวถึงกรณีศีกษาจริง ชีวิตในโลกดิจิทัลของนายแมท โฮนาน (Mat Honan) ที่ถูกทำลายลงอย่างสิ้นเชิงด้วยฝีมือของแฮกเกอร์ ซึ่งเริ่มจากการใช้วิธี Social Engineering ที่ดูเหมือนไม่น่าเป็นไปได้ จนกระทั่งสามารถทำให้เข้าถึงบัญชีผู้ใช้ทั้งหมดได้ในเวลาต่อมา

แมท โฮนาน เป็นนักเขียนประจำของ Wired ซึ่งเป็นนิตยสารเกี่ยวกับวิทยาสาสตร์และเทคโนโลยีที่รู้จักกันมานานกว่า 10 ปี นอกจากนี้เขายังเป็นทีมงานของ Gizmodo ซึ่งเป็นเว็บไซต์เกี่ยวกับแก็ดเจ็ตที่มีชื่อเสียงอีกด้วย และก็เป็นธรรมดาของผู้ที่อยู่ในวงการเทคโนโลยีสมัยใหม่ และเป็นนักเขียนที่มีผู้ติดตามจำนวนไม่น้อยผ่านเว็บไซต์อย่างนายแมท จะมีบัญชีผู้ใช้งานของบริการออนไลน์มากมาย สิ่งเดียวที่เป็นจุดเริ่มต้นของการแฮกครั้งยิ่งใหญ่นี้ก็คือ บัญชีผู้ใช้งานทวิตเตอร์ (Twitter) ของ Gizmodo (http://twitter.com/Gizmodo) ที่กลายเป็นที่ต้องการของแฮกเกอร์ [1] และนายแมทเป็นเจ้าของบัญชีผู้ใช้งานอยู่

ในระบบการรักษาความปลอดภัยบัญชีผู้ใช้งานด้วยรหัสผ่าน (Password) นั้น เป็นธรรมดาที่จะต้องมีผู้ที่จำรหัสผ่านของตนเองไม่ได้ และผู้ให้บริการทั้งหลายไม่ว่าจะเป็น Google Yahoo หรือ Apple จะต้องมีวิธีให้ผู้ใช้งานที่ลืมรหัสผ่านเหล่านี้ สามารถเข้าใช้งานบัญชีผู้ใช้ของพวกเขาได้อีกครั้ง โดยไม่ต้องวุ่นวายกับการติดต่อกับผู้ให้บริการโดยตรง เช่นผู้ใช้สามารถทำการขอให้ผู้ให้บริการส่งรหัสผ่านใหม่ไปยังที่อยู่อีเมลสำรอง (Backup หรือ Secondary Email Address) ที่เราระบุไว้ตอนสมัครบัญชีผู้ใช้ หรือใช้วิธีตอบคำถามลับ ซึ่งส่วนมากก็เป็นข้อมูลส่วนบุคคลที่ไม่ได้ยากเย็นที่แฮกเกอร์จะค้นหาได้ โดยเฉพาะสำหรับบุคคลที่มีชื่อเสียงหรืออยู่ในเครือข่ายสังคม (Social Network)ดังนั้นหากแฮกเกอร์สามารถยึดครองบัญชีผู้ใช้สำรองได้ก็เท่ากับว่าแฮกเกอร์ยึดบัญชีผู้ใช้หลัก และเป็นหนึ่งในเทคนิคที่แฮกเกอร์ใช้ในการยึดครองบัญชีของในนายแมท โฮนานนั่นเอง

จากรายละเอียดของสิ่งที่เกิดขึ้นกับแมท โฮนาน ที่มีการเปิดเผยในอินเทอร์เน็ต แฮกเกอร์มีเป้าหมายที่จะยึดครองบัญชีผู้ใช้งานของทวิตเตอร์ อาจจะลำดับเหตุการณ์ได้ว่า แฮกเกอร์ทราบข้อมูลจากรายละเอียดในทวิตเตอร์ว่า แมท มีเว็บไซต์ส่วนตัวอยู่ และในเว็บไซต์นั้น ก็มีข้อมูลเกี่ยวกับที่อยู่อีเมล (Email Address) ของเขาอยู่ ซึ่งเป็นของ GMail (Google Mail) ซึ่งทำให้แฮกเกอร์คาดได้ว่าที่อยู่อีเมลนี้ คงจะเป็นอีเมลสำรองของทวิตเตอร์แน่นอน ดังนั้นหากจะเข้ายึดครองบัญชีผู้ใช้งานของทวิตเตอร์ แฮกเกอร์ต้องเข้าถึงบัญชีผู้ใช้งาน GMail ของแมทเสียก่อน

เพื่อให้ได้มาซึ่งบัญชีผู้ใช้งาน GMail แฮกเกอร์ได้เรียกใช้ความสามารถของการกู้คืนบัญชีเมื่อลืมรหัสผ่าน ซึ่งตามระบบของ Google Mail นั้น ระบบจะส่ง URL พิเศษสำหรับกู้คืนบัญชีผู้ใช้ไปยังอีเมลสำรองที่ผู้ใช้ได้ลงทะเบียนไว้ ถึงแม้ว่า Google จะมีมาตรการความปลอดภัยเพิ่มเติมโดยการไม่ระบุอย่างชัดเจนว่าอีเมลสำรองที่ส่ง URL สำหรับกู้คืนบัญชีนั้นคืออีเมลใด โดยจะปิดบังตัวอักษรบางตัว เช่นในกรณีของแมท แฮกเกอร์จะเห็นเพียงแค่ว่า URL พิเศษนั้น จะถูกส่งไปที่ m••••n@me.com แม้ว่าข้อมูลจะมีเพียงเท่านี้ แต่ก็สามารถบอกได้ว่าอีเมลสำรองของแมทเป็นระบบ me.com ซึ่งเป็นบริการของ Apple นั่นเอง

ด้วยข้อมูลที่มีเท่านี้ก็เพียงพอสำหรับแฮกเกอร์แล้ว เพราะวิธีที่จะสวมรอยเป็นเจ้าของบัญชีผู้ใช้งานของ Apple นั้น อาศัยเพียงข้อมูลเลขบัตรเครดิต 4 หลักสุดท้ายของแมท ซึ่งเราอาจจะคิดว่าไม่ใช่ของง่ายที่จะหาข้อมูลนี้ แต่แฮกเกอร์รู้ดีว่า ใน Amazon ซึ่งเป็นเว็บไซต์ขายสินค้าชื่อดัง จะแสดงเลขบัตรเครดิต 4 หลักสุดท้ายในหน้ารายการบัตรเครดิตของผู้ใช้งานแต่ละคน และแมท ก็มีบัญชีผู้ใช้งานของ Amazon อยู่ ดังนั้นงานต่อไปที่แฮกเกอร์ต้องทำ ก็คือสวมรอยเป็นแมท โฮนานใน Amazon ให้ได้

จากข้อมูลที่อยู่สำหรับเรียกเก็บเงิน (Billing Address) ที่แฮกเกอร์ได้จากการตรวจสอบข้อมูลการจดทะเบียนโดเมน (Domain Registeration) เว็บไซต์ส่วนตัวของแมท ซึ่งข้อมูลนี้เป็นข้อมูลสาธารณะ และแฮกเกอร์คาดว่า น่าจะตรงกับที่อยู่สำหรับเรียกเก็บเงินที่แมทใช้ลงทะเบียนใน Amazon แฮกเกอร์จึงได้โทรศัพท์ไปยังฝ่ายบริการลูกค้าของ Amazon และอ้างชื่อผู้ใช้ กับที่อยู่สำหรับเรียกเก็บเงิน เพื่อขอให้ Amazon เพิ่มรายการบัตรเครดิตปลอมเข้าไปในบัญชีผู้ใช้งาน

ณ. จุดนี้ดูเหมือนสิ่งที่แฮกเกอร์ทำจะไม่ส่งผลอะไรต่อบัญชีผู้ใช้งานของแมท เพียงแค่มีรายการบัตรเครดิตที่ใช้งานไม่ได้เข้ามาอยู่ในบัญชีผู้ใช้งานอีก 1 รายการเท่านั้น แต่นี่เท่ากับว่า แฮกเกอร์สามารถล่วงรู้รายละเอียดสำคัญในบัญชีผู้ใช้งานที่เป็นเป้าหมายเพิ่มขึ้นอีก 1 รายการเช่นกัน นั่นคือเลขบัตรเครดิต (ปลอม) และมันก็ได้แสดงให้เห็นว่า เป็นจุดเปลี่ยนที่สำคัญยิ่ง เมื่อแฮกเกอร์ติดต่อไปยัง Amazon อีกครั้ง คราวนี้อ้างว่าลืมรหัสผ่านและใช้หลักฐานอันประกอบด้วย ชื่อผู้ใช้งาน ที่อยู่สำหรับเรียกเก็บเงิน และเลขบัตรเครดิต (ปลอม) ที่กลายเป็นส่วนหนึ่งของบัญชีผู้ใช้ไปตั้งแต่ก่อนหน้านี้แล้ว

ด้วยหลักฐาน 3 อย่างนี้ และฝีมือในการทำ Social Engineering ของแฮกเกอร์ ทำให้ Amazon ยอมให้แฮกเกอร์กำหนดอีเมลสำรองใหม่ และแน่นอน ย่อมเป็นที่อยู่อีเมลที่แฮกเกอร์สร้างขึ้นมาเอง ดังนั้น แฮกเกอร์จึงสามารถเข้าสู่บัญชีผู้ใช้ Amazon ของแมท โฮนาน นำเลข 4 ตัวสุดท้ายของบัตรเครดิต (ที่แท้จริง) มาประกอบกับที่อยู่สำหรับเรียกเก็บเงิน นำไปอ้างกับ Apple เพื่อกู้คืนบัญชีของ me.com และใน me.com แฮกเกอร์ก็ได้ URL พิเศษที่ใช้กู้คืนบัญชีผู้ใช้งานของ GMail และในขั้นตอนสุดท้าย เมื่อแฮกเกอร์เข้าควบคุมบัญชีผู้ใช้งาน GMail ของแมทได้ ก็คือการกู้คืนบัญชีผู้ใช้งานทวิตเตอร์ ซึ่งใช้ที่อยู่อีเมลของแมทเป็นอีเมลสำรอง และเข้าควบคุมบัญชีผู้ใช้งานทวิตเตอร์ของ Gizmodo ได้ในที่สุด

เพื่อให้เข้าใจง่ายขึ้นอีก ขอให้ดูที่รูปที่ 1 และ 2 ซึ่งเป็นการแสดงขั้นตอนทั้งหมดที่กล่าวมา

Pa2013ge003-1.jpg
รูปที่ 1 ลำดับขั้นตอนที่แฮกเกอร์ใช้ในการเข้าถึงบัญชีผู้ใช้งานใน Amazon

Pa2013ge003-2.jpg
รูปที่ 2 ลำดับขั้นตอนที่แฮกเกอร์ใช้ในการเข้าถึงบัญชีผู้ใช้งานในทวิตเตอร์ ผ่าน GMail และ me.com

นอกจากแฮกเกอร์จะขโมยบัญชีผู้ใช้งานทวิตเตอร์ของแมท โฮนานไปได้ในที่สุดแล้ว แฮกเกอร์ยังได้ลบบัญชีผู้ใช้งาน GMail และสั่งลบข้อมูลบนเครื่องแมคบุค ไอโฟน และไอแพดของแมท โดยใช้คำสั่ง Remote Wipe ของ iCloud [2] ทำให้แมทไม่สามารถกลับเข้าไปกู้คืนบัญชีผู้ใช้งานทั้งหมดได้ นอกจากแมทจะสูญเสียบัญชีผู้ใช้งานทั้งหมดไปแล้ว ข้อมูลเช่นรูปถ่ายครอบครัว และอีเมลทั้งหมดก็ถูกแฮกเกอร์ทำลายไปด้วย เท่ากับว่าเป็นหายนะครั้งยิ่งใหญ่สำหรับแมท โฮนาน ทั้งกับตัวตนในโลกดิจิทัล และตัวตนในโลกจริงของเขาทีเดียว

อาจจะกล่าวได้ว่าถึงแม้แมท โฮนานจะระมัดระวังตัวเป็นอย่างดีแล้ว แต่ช่องโหว่ที่ไม่น่าเกิดขึ้นในขั้นตอนการขอกู้คืนบัญชีผู้ใช้ ในกรณีของ Amazon อาจจะเกิดจากไม่มีการตรวจสอบความผิดปกติของการที่มีการเพิ่มเลขบัตรเครดิตเข้ามาใหม่ด้วยช่องทางที่ไม่ปกติ (ใช้เพียงที่อยู่สำหรับเรียกเก็บเงินเท่านั้น) และยังมีการนำเลขบัตรนี้ไปใช้อ้างความเป็นเจ้าของบัญชีผู้ใช้ในระยะเวลาไม่นานหลังจากนั้น ส่วน Apple นั้นก็ต้องการเพียงที่อยู่สำหรับเรียกเก็บเงิน และเลข 4 หลักสุดท้ายของบัตรเครดิต แต่ทั้งนี้ อาจต้องให้เครดิตกับผลงาน Social Engineering ของแฮกเกอร์ ที่หากแฮกเกอร์ไม่มีความสามารถในด้านนี้ดีพอ เจ้าหน้าที่ของ Amazon และ Apple อาจจะรู้สึกได้ถึงความไม่ชอบมาพากล และสามารถหยุดยั้งไม่ให้เกิดความเสียหายขึ้นอย่างเช่นในกรณีนี้ได้

จากตัวอย่างของแมท โฮนาน เราอาจป้องกันตัวไม่ให้ตกเป็นเหยื่อของแฮกเกอร์ในลักษณะนี้ได้โดย ไม่เชื่อมต่อบัญชีผู้ใช้เข้าด้วยกันในลักษณะการเป็นบัญชีสำรองหลายๆทอด เพราะในกรณีที่มีบัญชีใดบัญชีหนึ่งถูกเจาะได้ ก็จะส่งผลให้บัญชีที่เหลือถูกเจาะตามไปด้วยเป็นลูกโซ่ รวมถึงการใช้ชื่อผู้ใช้ที่แตกต่างกันในแต่ละบัญชีผู้ใช้ก็อาจช่วยได้ในบางกรณี แต่อย่างไรก็ตาม ปัญหาใหญ่ที่เราไม่อาจควบคุมได้ เกิดที่ผู้ให้บริการ (ในที่นี้คือ Amazon และ Apple) ซึ่งมีนโยบายที่แตกต่างกันไปในการให้บริการลูกค้าในกรณีฉุกเฉิน [3] เช่นลืมรหัสผ่านอย่างเช่นที่แฮกเกอร์ใช้ในครั้งนี้ แต่ข้อมูลทั้งอีเมล และภาพถ่ายของแมท ที่ถูกแฮกเกอร์ทำลายทิ้งไปนั้น หากมีการสำรองข้อมูลเอาไว้ในอุปกรณ์สำรองส่วนบุคคล เช่นฮาร์ดดิสก์แบบพกพา หรือเขียนลงในแผ่นดีวีดี หรือซีดี อย่างสม่ำเสมอ ก็อาจช่วยลดความเสียหายลงได้ แทนที่จะให้ความเชื่อมั่นบนบริการออนไลน์ทั้งหมดอย่างที่หลายๆ คนเป็นอยู่ในขณะนี้ โดยอาจลืมไปว่าบัญชีผู้ใช้งานในโลกดิจิตัลทั้งหลายนั้น อาจถูกเจาะได้โดยแฮกเกอร์ ไม่วันใดก็วันหนึ่ง

อ้างอิง

  1. http://www.wired.com/gadgetlab/2012/08/apple-amazon-mat-honan-hacking/all/
  2. http://www.emptyage.com/post/28679875595/yes-i-was-hacked-hard
  3. http://www.wired.com/gadgetlab/2012/11/ff-mat-honan-password-hacker/2/
Clear