เก็บตกจากงานสัมมนาด้านความมั่นคงปลอดภัยไซเบอร์ที่ใหญ่ที่สุดในประเทศไทย CYBER DEFENSE INITIATIVE CONFERENCE 2015 ( CDIC 2015 ) ที่ BITEC บางนา เมื่อวันที่ 28-29 ตุลาคมที่ผ่านมา โดยช่วงบ่ายวันที่ 29 ตุลาคมที่ผ่านมา มีไฮไลต์ Live Demo โชว์สาธิตการแฮกแบบต่างๆ เพื่อให้ผู้เข้าร่วมสัมมนาได้ตื่นตัวในเรื่องความปลอดภัย และเตรียมแผนรับมือป้องกันจากภัยแฮกแบบต่างๆที่มีวิธีที่หลากหลายมากขึ้น
ภัยที่ใกล้ตัวมาก คือการทำงานบนโปรแกรมสำนักงาน Office ที่ใช้ได้ทั้ง ครู นักเรียน นักศึกษา ข้าราชการ คนวัยทำงาน หรือบริษัทธุรกิจต่างๆก็ใช้โปรแกรม Office นี้เป็นประจำแทบ แต่ระวังให้ดีเกี่ยวกับการเปิดไฟล์งาน office บางตัว ที่ส่งผ่านทางอีเมล facebook หรือ ทางลิงค์ที่แชร์ตามเว็บไซต์ เพราะไฟล์งานนั้นอาจมีโค้ดอันตรายซ่อนอยู่ และหากคุณเผลอไฟล์ office ที่ซ่อนด้วยโค้ดอันตราย เครื่องคอมของคุณก็ตกเป็นเหยื่อของแฮกเกอร์ไปแล้ว เรียกภัยลักษณะนี้ว่า Office Threats
ทั้งนี้ Microsoft Office ออกมาหลายเวอร์ชั่นแล้ว แต่พบว่ามีช่องโหว่ ที่แฮกเกอร์สามารถเจาะระบบยึดเครื่องคอมได้ผ่านทางไฟล์ออฟฟิศสกุล .RTF (Rich Text Format ) ซึ่งไฟล์นี้ฝังโค้ดลุยที่ช่องโหว่ของโปรแกรม
ซึ่งช่องโหว่รหัสนี้ ( MS14-017) เป็นปัญหาที่ครอบคลุมตั้งแต่ office เวอร์ชั่นเก่า ถึง office 2013 โดยจัดว่าเป็นช่องโหว่ระดับร้ายแรง เพราะไฟล์ office ซ่อนโค้ดนี้ เมื่อรันแล้ว แฮกเกอร์สามารถรีโมทและทำการเจาะข้อมูลยึดเครื่องปลายทางได้
โดยตัวไฟล์ .rtf นี้เป็นตัวส่งโค้ด โจมตีตัวอ่านของโปรแกรม Microsoft Office ในตัวอย่างนี้รันผ่าน Microsoft Word 2010
ซึ่งถ้าคุณใช้ Windows ถ้าตั้งค่าโชว์นามสกุลไฟล์ด้วย ก็จะแสดง .RTF (Rich Text Format ) แต่โดยทั่วไป Windows จะไม่โชว์นามสกุลของไฟล์ ไฟล์นั้นก็แสดงไอคอน Word เฉยๆ ซึ่งผู้ใช้ก็นึกว่าเป็นไฟล์งานเอกสาร Word ทั่วไป เลยดับเบิ้ลคลิกเพื่อเปิดอ่านดู โค้ดภายในก็ทำการรันเลย
ปรากฎว่า เปิดไฟล์ Word แล้วเป็นหน้ากระดาษเปล่า มันไม่เห็นมีอะไรเลย บางครั้งเปิดไฟล์ word แล้วโปรแกรม word ค้าง แต่ความจริงแล้วไฟล์ office ดังกล่าวถูกรันสคริปทำงานแล้ว แฮกเกอร์ทำการยึดเครื่องเรียบร้อย
ทั้งนี้เมื่อมีผู้หลงคลิกไฟล์ Word ที่แฮกเกอร์สร้างขึ้นมาทำงานบนคอมสำเร็จ แฮกเกอร์สามารถที่จะเข้าถึงคอมของเราและสร้าง user ใหม่เป็น ผู้ใช้ระดับ Admin อีกคนได้ สร้าง user คนอื่นๆได้ ผ่านทางหน้าจอ terminal แบบนี้
นอกจากนี้สามารถเปิดคุมกล้อง webcam ของคอมที่เป็นเหยื่อได้ โดยที่เจ้าของเครื่องไม่รู้ตัวว่ามีแอบถ่ายเบื้องหลังอยู่ และแฮกเกอร์สามารถสั่ง shutdown จากการรีโมทเครื่องไปยังคอมของเหยื่อได้
วิธีป้องกัน Office Threats คือ
- ให้ทำการอัพเดตแพชโปรแกรม office ให้เป็นเวอร์ชั่นล่าสุดด้วย อย่าอัพเดตแต่ตัวระบบปฏิบัติการ Windows เท่านั้น ควรอัพเดตแพชในตัวโปรแกรม office ให้ใหม่สม่ำเสมอ
- ระมัดระวังการดาวน์โหลดรับไฟล์เอกสารทางช่องทางต่างๆ เช่น อีเมล , facebook , dropbox , google drive , onedrive , twitter , Line
- แนะนำตั้งค่าให้ Windows โชว์นามสกุลของไฟล์ด้วย เช่นไฟล์งานไฟล์ภาพต้องแสดง ชื่อไฟล์ .doc .docx . jpg .pdf เป็นต้น เพื่อป้องกันการรันโค้ดในไฟล์ office
โดยกด ( windows + q ) เพื่อเข้าหน้า search ของ Windows 8 , 10 แล้วพิมพ์ “folder options” >> ให้เลือก “folder options” >> จากนั้น ติ๊กแท็บ Views แล้วเอาเครื่องหมายถูกออกที่ Hide Extensions for known file type เพื่อให้ทราบชนิดของไฟล์ว่าสกุลไฟล์ใด เป็นการป้องกันการรันไฟล์โค้ดอันตรายได้ระดับนึง เพราะส่วนใหญ่จะเปิดไฟล์ word ผ่านสกุล .doc หรือ .docx เท่านั้น
อย่างไรก็ตามผู้ใช้ Microsoft Office ยังต้องติดตามข่าวสารด้านความปลอดภัยอย่างใกล้ชิด เพราะเหล่าแฮกเกอร์ก็ยังเล็งเหยื่อที่ใช้โปรแกรม office อยู่ แต่กรณี office threats นี้ยังไม่กระทบกับบริการ office บน cloud อย่าง word online จะกระทบแค่บนโปรแกรม office บนคอมพิวเตอร์เท่านั้น