www.pctodaythailand.com facebook.com/pctoday twitter.com/pctoday pctoday@aspirers.com
STAFF
ดร. ครรชิต มาลัยวงศ ประทีป ยงเขต อ�ำพล สงวนศิริธรรม จิระ หองส�ำเริง คมสัน เหลาศิลปเจริญ วิโรจน อัศวรังสี บัณฑิต คุปพิทยานันท บรรณาธิการผู้พิมพ์ผู้โฆษณา : กิตติพงศ ตันสุวรรณ ที่ปรึกษากิตติมศักดิ์ : ที่ปรึกษานิตยสาร :
Editorial Staff บรรณาธิการบริหาร : บรรณาธิการเทคนิค : หัวหน้ากองบรรณาธิการ : ผู้สื่อข่าวอาวุโส : บรรณาธิการฝ่ายศิลป์ :
กิตติพล มูลพินิจ kittipon@aspirers.com ชัยรัตน์ คุ้มโภคา จิระเดช โชติช่วง จิราภรณ กิตติจนั ทรขจร jiraporn@aspirers.com ศิริพรรณ ตันตินีรนาท siripan@aspirers.com วิลัยพร มงคลแพทย wilaiporn@aspirers.com
Sales Staff Senior Account Executive : พันธทิพย กชจรัสศรี Sale@aspirers.com
Back Office ฝ่ายจัดจ�ำหน่าย : สมาชิกสัมพันธ์ : จัดจ�ำหน่ายโดย : ร้านแยกสี : พิมพ์ที่ :
เยาวมาลย เจริญผล yaowamanc@aspirers.com ธิดา เลิศสุรพิบูล member@aspirers.com เพ็ญบุญ โทร. 0-2615-8625 บริษัท พีพี เพลท แอนด ฟลม จ�ำกัด โทร. 0-2274-7988-91 โรงพิมพ พิมพดี โทร. 0-2401-9401
บริษัท ดิแอสไพเรอรสกรุป จ�ำกัด
431/6 อาคารสาธรเพลส ชั้น 2 ถนนกรุงธนบุรี แขวงคลองตนไทร เขตคลองสาน กรุงเทพฯ 10600 โทรศัพท 0-2440-0330 โทรสาร 0-2440-0338
ยอดขายอันดับ 1 สำ�รวจโดย ซีเอ็ดบุกเซ็นเตอร ขอมูลอัพเดตสุด วัดจาก “ยอดขายจริง” ไมใช “โพลส”
การสงบทความมาลงตีพิมพ ในนิตยสาร
นิตยสาร PC Today ยินดีพจิ ารณาบทความจากบุคคล ภายนอก โดย กรุณาสงมาทีก่ องบรรณาธิการ นิตยสาร PC Today ตาม ทีอ่ ยูข อง บริ ษั ท ข า งต น ส� ำ หรั บ ต น ฉบั บ ที่ ส ง มา ขอให อ ยู ใ นรู ป แบบ ของเท็ ก ซ ไ ฟล ห รื อ จะเป น ไมโครซอฟท เ วิ ร ด ก็ ไ ด พร อ มภาพ ประกอบขอเขียนเหลานัน้ โดยทางบริษทั จะพิจารณาคาเรือ่ งเพือ่ ตอบแทนตามมาตรฐานบริษัทฯ ตอไป อนึ่ง เนื่องจากบริษัทฯ ไมรับบทความที่เปนการละเมิดลิขสิทธิ์ของผูใด ดังนั้น ขอเขียน ดังกลาวตองไมเปนการละเมิดลิขสิทธิผ์ อู นื่ ผูใ ด และหากเปนการ รวบรวม และเรียบเรียงขึน้ ใหมจากตนฉบับอันมีลขิ สิทธิจ์ ากแหลง ไหน โปรดระบุที่มาโดยละเอียด และสงส�ำเนาแนบมาดวย หมายเหตุ : ทรรศนะและขอคิดที่ปรากฏอยูในบทความตางๆ ของนิตยสาร PC Today เปนความคิดเห็นสวนตัวของผูเขียน แตละทาน ไมจ�ำเปนตองเปนความคิดเห็นของบริษัทฯ เสมอ ไป และขอเขียนที่นักเขียนภายนอกสงมา หากมิไดปฏิิบัติตาม ขอก�ำหนดขางตน และมีการละเมิดลิขสิทธิเ์ กิดขึน้ ทางบริษทั ฯ จะไมขอรับผิดชอบแตประการใด
สอบถามขอสงสัยในเรื่องบทความ
ในกรณีที่ต องการถามปญ หาทางเทคโนโลยี เรื่องเทคนิค ใน การใชงานโปรแกรมตางๆ และเรื่องบทความ เนื่องจากทาง บริษัทฯ ไมสะดวกที่จะใหบุคคลภายนอกติดตอกองบก. และ นักเขียนนอกโดยตรงตลอดเวลา ดังนัน้ กรุณาสงจดหมาย ค�ำถาม ติดตอมาไดที่กองบรรณาธิการ นิตยสาร PC Today ตามที่อยู
การสมัครสมาชิกและการเปลี่ยนที่อยู
กรุ ณ าหาแบบฟอร ม สมั ค รสมาชิ ก และอ า นรายละเอี ย ด ไดในทายเลม ส�ำหรับผูสงสัยเพิม่ เติมกรุณาโทรศัพทสอบถามได ที่ฝายสมาชิก โทร. 0-2439-7644 ตอ 212, 224, 777
การขออนุญาตและพิมพซ�้ำ
บทความที่ ตี พิ ม พ ใ นนิ ต ยสาร PC Today สงวนสิ ท ธิ์ ต าม พระราชบัญญัติลิขสิทธิ์ พ.ศ. 2537 กรณีที่ตองการน�ำสวนหนึ่ง สวนใดของนิตยสารไปใชโปรดติดตอไดที่ บรรณาธิการบริหาร นิตยสาร PC Today ตามทีอ่ ยู หรืออีเมล และเบอรโทรศัพทขา งตน
การแจงขาวผลิตภัณฑ ใหม และบริการอื่นๆ
บริ ษั ท ใดที่ ต อ งการประชาสั ม พั น ธ ผ ลิ ต ภั ณ ฑ ข องตน ให ส ง รายละเอียดพรอมรูปถายผลิตภัณฑมาไดที่กองบรรณาธิการ นิตยสาร PC Today อนึ่ง ทางกองบรรณาธิการขอสงวนสิทธิ์ใน การพิจารณาเลือกตีพิมพให ตามเหมาะสม
การรับรูความเปนเจาของลิขสิทธิ์ และเครื่องหมายการคา
เนื่องจากนิตยสาร PC Today ไมสามารถประกาศความเปน เจาของลิขสิทธิ์และเครื่องหมายการคาที่มีอยูมากใหค รบถ ว น สมบูรณ อีกทั้งความนิยมในลิขสิทธิ์ และเครื่องหมายการคา ดังกลาวมักเปลี่ยนแปลงตลอดเวลา ดังนั้น ทางกองบรรณาธิการ จะประกาศ ความเปนเจาของลิขสิทธิ์เฉพาะที่มีการกลาวถึง ในบทความ ประกอบลงในบทความนั้ น ๆ เลย และถ า สิ ท ธิ์ ดังกลาวเปนที่รับรูกันโดยทั่วไปแลว ทางนิตยสารขอสงวนสิทธิ์ ทีจ่ ะไมกลาวซ�ำ้ ทัง้ นีเ้ พือ่ ประโยชนในการเขียนบทความใหกระชับ นาอาน
CONTENTS Vol. 10 | ISSUE 134 | 2014 WIN7 Hot Tip
84
• บังคับให้ IE ทำ�งานในโหมด Full Restricted • ยกเลิกฟีเจอร์ Aeropeek • ยกเลิกฟีเจอร์ธัมเนลส์ของ Firefox บน Taskbar • ป้องกันการแก้ Homepage ใน IE • เซ็ตไทม์โซนจาก Command Prompt • กำ�หนด Homepage แบบตายตัว • ปิด-เปิดโปสเซส Explorer แบบทันใจ • เสาะหาวอลล์เปเปอร์ที่ซ่อนอยู่ • ปิดคำ�เตือน Hide Protected operating system files • เปิดใช้ Command Prompt ผ่าน Windows Task Manager
Smart Story
28
School 3.0
8
ทำ�สมาร์ทโฟนให้เป็นรีโมทอัจฉริยะ แนะนำ�แอพดีๆ สำ�หรับเด็กอนุบาล
Geek Programming13
8
13
22
28
40
58
รู้จักกับช่องโหว่ Heartbleed รูรั่ว ที่ทำ�ให้ต้องรีบ เปลี่ยนรหัสผ่านโดยด่วน
Mac Mania
เทคนิคตรวจสอบการใช้พลังงาน บน OSX
Smart Action
22 40
• ตัดต่อวิดีโอด้วย Photoshop CC • ลองใช้ Firefox Nighty ก่อนใคร ฟีเจอร์ ใหม่เพียบ
CONTENTS Vol. 10 | ISSUE 134 | 2014 Try Before Buy
124
Street Product
120
• Astro A40+MixAmp Pro • Bitdefender Total Security • WD My Cloud 3 TB
120 75
DIY
ประกอบเครื่องพีซีแบบ IP-PBX ตอนที่ 4 : ทำ�เมนู IVR สำ�หรับการโอนสาย
Inside Windows 8 96 10 ทิปง่ายๆ ให้การใช้งาน Window 8.1 ฟินกว่าเดิม
Photo Lover
112
Tech Inside
127
75
84 59
106
112
สร้างภาพแบบแนวๆ ด้วยตัวหนังสือ
แกะกล่อง Asus Chromebox มินิพีซีพลัง กูเกิ้ล
96
124
127
EDITOR TALK โดย กิตติพล มูลพินิจ
EDITOR TALK
“ สมาร์ทโฟน
ท�ำอะไรได้มากกว่าที่คิด
”
อุปกรณ์ที่เรียกว่าสมาร์ทโฟนนี้ อาจกล่าวได้ว่าเปลี่ยนการใช้ชีวิตของเราไปอย่างสิ้นเชิง ถัดจาก การมีโทรศัพท์เคลื่อนที่และอินเทอร์เน็ต ยุคของสมาร์ทโฟนคือยุคที่อะไรๆ ก็เป็นไปได้ ด้วยพลัง ประมวลผล แอพพลิเคชันที่ชาญฉลาด การเชื่อมต่อที่รวดเร็วท�ำให้สมาร์ทโฟนได้กลายเป็นส่วนหนึ่ง ของชีวิตประจ�ำวันที่ขาดไม่ได้ หลายคนตื่นเช้ามาท�ำงาน ลืมโน้ตบุ๊กก็ยังเฉยๆ แต่ลืมสมาร์ทโฟนนี่ ต้องรีบกลับบ้านไปเอาเลยทีเดียว PCToday เล่มนี้แนะน�ำอีกหนึ่งความสามารถของสมาร์ทโฟนที่หลายคนอาจไม่ทราบมาก่อน นั่นคือการท�ำงานในรูปแบบของรีโมทคอนโทรล ควบคุมเครื่องพีซี/โน้ตบุ๊กผ่านไวไฟ อาทิ สั่งเลื่อน สไลด์เพาเวอร์พอยนต์, สั่งเปิด-ปิดและความดังของเสียงใน VLC หรือ KM Player, พิมพ์หรือเลื่อน เมาส์โดยไม่ต้องนั่งหน้าคอมพ์, รวมถึงถ้าคุณมีสมาร์ทโฟนที่มีคุณสมบัติ IR Blast ก็ยังใช้สมาร์ทโฟน ท�ำเป็นรีโมททีวีและเครื่องปรับอากาศได้อีกด้วย! สมาร์ทโฟนของท่านยังคงมีอีกหลายความสามารถที่รอให้เราค้นพบ ถ้ามีอะไรเจ๋งๆ อีก PCToday จะทยอยมาน�ำเสนอให้คุณผู้อ่าน ไม่พลาดอย่างแน่นอนครับ www.pctodaythailand.com
7
SCHOOL 3.0 โดย @eka_x (www.aofapp.com)
แนะนำ�แอพดีๆ สำ�หรับเด็กอนุบาล iPad นั้นเป็นอุปกรณ์ที่เหมาะส�ำหรับทุกเพศทุกวัยนะครับ (ยกเว้นเด็กทารก ที่ยังไม่ควรให้ใช้ แท็บเล็ตนะ มันเสียสายตา) เพราะใช้งานง่าย ควบคุมง่าย วันนี้ผมจึงขอแนะน�ำแอพดีๆ ส�ำหรับน้องๆ วัยอนุบาล ให้ได้ฝึกทักษะกันสนุกๆ แถมยังได้ใช้จินตนาการคิดเล่าเรื่องอีก ที่ส�ำคัญหนึ่งในแอพของ วันนี้ยังเป็นแอพชั้นเยี่ยมฝีมือคนไทยด้วยครับ 8
PC Today VOL. 10 | ISSUE 134
SCHOOL 3.0
Taamkru ราคา: ฟรี เหมาะกับ: เด็กอายุ 4 ขวบขึ้นไป ฝึกทักษะ: การคิดวิเคราะห์ ไหวพริบ การพิจารณารูปภาพ การค�ำนวณ
หลังจากที่ห่างหายจากการแนะน�ำแอพการเรียนการสอนฝีมือคนไทยมานาน เพราะหาไม่ค่อยเจอ 555 วันนี้ก็ได้กลับมาแนะน�ำแอพไทยๆ กันอีกครั้งอย่าง “ถามครู” ครับ ถามครูเป็นแอพที่ออกแบบมาส�ำหรับเด็กอนุบาล ให้ท�ำแบบฝึกหัดเสริมทักษะได้สนุกสนาน มากขึ้น แทนที่จะต้องเบื่อกับการท�ำบนกระดาษเหมือนเดิม โดยรองรับการแสดงผล 3 ภาษาคือ ไทย, อังกฤษ และจีน ซึ่งจะมีเสียงของภาษานั้นๆ สอดแทรกในระหว่างที่เล่นเกมอีกด้วย โดยตอนนี้มี แบบฝึกหัดใน 2 เรื่องหลักๆ คือ แบบฝึกหัดสร้างเสริม IQ ที่มี 10 แบบทดสอบคือ • ให้โดมิโนมา 3 ตัว แล้วให้เลือกโดมิโนตัวที่ 4 ที่สัมพันธ์กับ 3 ตัวก่อนหน้า • ให้กล่องสี่เหลี่ยมเรียงหลายๆ กล่องในรูปแบบ 3 มิติ แล้วลองนับดูว่ามีกี่กล่อง • ให้ภาพที่สมบูรณ์มา แล้วให้เลือกเลือกว่าอะไรคือส่วนประกอบของภาพนั้น • เลือกภาพที่เหมือนกับต้นฉบับ • เลือกภาพที่ต่างจากต้นฉบับ • เลือกภาพที่มีขนาดเท่ากับต้นฉบับ • จับคู่รูปภาพที่ให้มาให้ตรงกับเงา • เลือกภาพที่หมุนในด้านเดียวกับภาพต้นฉบับ
www.pctodaythailand.com
9
SCHOOL 3.0
• จากภาพตั้งต้น ให้เลือกภาพที่จะเกิดขึ้นต่อจากเหตุการณ์นั้น • จากภาพตั้งต้น ให้เลือกภาพที่เกิดขึ้นก่อนเหตุการณ์นั้น และแบบฝึกหัดสร้างเสริมทักษะทางคณิตศาสตร์ ก็มีอีก 5 แบบทดสอบ • บอกเวลาจากนาฬิกาแบบเข็มให้ถูกต้อง • มีล�ำดับเลขมา 4 ตัว แล้วให้เด็กๆ บอกตัวเลขที่หายไป • เลือกภาพที่มีจ�ำนวนเท่ากับภาพตัวอย่าง • บวกเลข แล้วเลือกภาพที่มีจ�ำนวนเท่ากับเลขที่ค�ำนวณได้ • ลบเลขแล้วเลือกภาพที่มีจ�ำนวนถูกต้อง ซึ่งแอพถามครูนี้ออกแบบโดยผู้เชี่ยวชาญด้านการเรียนรู้ส�ำหรับเด็กชาวไทย จึงท�ำให้แบบฝึกหัด ทั้ง 15 ชุดนี้แตกต่างจากแอพส�ำหรับเด็กตัวอื่นๆ นะครับ เพราะมันไม่ใช่การถามตอบตรงๆ แต่จะ เป็นการให้เลือกรูปภาพ หรือให้คิดวิเคราะห์ก่อนตอบ ซึ่งค�ำถามหลายชุดอย่างเลือกภาพที่หมุนด้าน เดียวกับต้นฉบับ ผู้ใหญ่เองก็ใช้เวลาคิดภาพตามในหัวพอสมควรเลยทีเดียว หลังจากตอบค�ำถาม ในแต่ละหัวข้อเรียบร้อยก็จะมีการสรุปคะแนนให้เด็กได้ดู ถ้าข้อไหนตอบผิด หรือตอบไม่ทันเวลาก็อด คะแนนไป ซึ่งจะมีส่วน Leaderboard ที่ล็อกให้ผู้ปกครองดู (โดยการถามตัวเลขเป็นค�ำภาษาอังกฤษ แล้วให้ป้อนเป็นตัวเลขทั้ง 4 ตัวให้ถูก จึงจะเข้าส่วนนี้ได้) เพื่อไม่ให้เด็กเกิดอาการน้อยใจเมื่อรู้ว่า ตัวเองท�ำคะแนนได้น้อยกว่าคนอื่นๆ ถึงตอนนี้ Taamkru จะยังมีแบบฝึกหัดไม่เยอะมาก แต่ก็น่าจะขยายไปยังเด็กวัยอื่นๆ ในอนาคต ด้วย แต่ถ้าผู้ปกครองคนไหนอยากได้เทคนิคในการเลี้ยงลูก ข่าวการศึกษา บทความวิชาการ และแบบทดสอบส�ำหรับเด็กๆ อีกก็สามารถดูข้อมูลเพิ่มเติมได้ที่ www.taamkru.com เลยครับ 10
PC Today VOL. 10 | ISSUE 134
SCHOOL 3.0
Tiny Firefighters ราคา: 1.99 เหรียญ เหมาะกับ: เด็กอายุ 4 ขวบขึ้นไป ฝึกทักษะ: เสริมสร้างจินตนาการ ฝึกความช่างสังเกต การตั้งค�ำถาม
แอพตัวต่อมานี้ก็ยังเป็นเกมที่ออกแบบมาส�ำหรับเด็กเล็กครับ แต่ก็สนุกสนานจนผู้ใหญ่แอบแย่ง เด็กเล่นเลยทีเดียว เมื่อเปิดเกม Tiny Firefighters ขึ้นมาจะมีพื้นที่ให้เลือกเล่นอยู่ 2 ฉาก คือเรื่องราวของนักดับเพลิง กับความวุ่นวายในเมืองของต�ำรวจ ซึ่งเมื่อเลือกเล่นฉากไหนแล้ว Tiny Firefighters ก็ไม่อธิบายอะไร เยอะ เปิดโอกาสให้เด็กๆ ที่อยากรู้อยากเห็นอยู่แล้วได้กดไปที่ตัวละครในฉากมากมายแล้วดูว่า จะเกิดอะไรขึ้น ซึ่งด้วยภาพในลักษณะสีไม้น่ารัก เพลงประกอบที่ลื่นหูก็ท�ำให้เล่นเพลินได้ไม่ยากครับ
www.pctodaythailand.com
11
SCHOOL 3.0
ภายในหนึ่งฉากนั้นมีเรื่องราวมากมายให้เด็กๆ ได้ติดตามและใช้จินตนาการร่วมโดยไม่ต้องให้เกม คอยบรรยายว่าเกิดอะไรขึ้น อย่างในฉากของนักดับเพลิงจะมีวัวอยู่ ซึ่งถ้าเด็กไปแตะที่วัวเข้า มันก็จะ เดินมึนๆ ตกน�้ำไป ล�ำบากนักดับเพลิงของเราที่ต้องไปช่วยยกวัวออกจากบึงน�้ำ หรือเมื่อแตะไปที่บ้าน สมาชิกครอบครัวในบ้านก็จะเดินออกไปเที่ยว แต่ไม่รู้ว่าท�ำผิดพลาดอะไรไว้ในบ้าน จนท�ำให้ไฟไหม้ บ้าน (ลองถามเด็กๆ ให้คิดว่ามันน่าจะเกิดอะไรขึ้น) นักดับเพลิงจึงรีบขับรถมาดับไฟ แล้วในฉากของต�ำรวจ เด็กๆ จะได้เห็นการคุ้มกันคนดังให้ขึ้นรถลิมูซีนออกจากฉาก รวมไปถึง การตามจับโจรขโมยกระเป๋า หรือช่วยเหลือ Superman ในการปฏิบัติภารกิจ ซึ่งทั้ง 2 ฉากของเกมนี้ มีรายละเอียดซ่อนอยู่เยอะมากครับ กดดูในภาพแล้วจะเกิดแอ็กชันแทบทุกจุด เช่น แตะที่ไซเรนก็ดัง แตะที่รถยนต์ก็วิ่ง แตะที่แมวก็ปีนขึ้นต้นไม้ ให้ทั้งเด็กและผู้ปกครองได้ร่วมกันค้นหาความลับที่มี อยู่ในเกม พยายามหาจุดที่แตะแล้วเคลื่อนไหวได้ทั้งหมด แล้วลองให้เด็กจินตนาการเรื่องราวที่เกิดขึ้น ในฉากทั้งหมด แล้วเล่าให้ผู้ปกครองฟังครับ Tiny Firefighters จึงเป็นเกมที่เปิดกว้างให้ผู้เล่นได้ตั้งค�ำถามว่าเกิดอะไรขึ้น ได้คิดต่อเติมเรื่องราว ในส่วนที่ขาดหายไป ไม่แน่นะหลังจากเล่นเกมนี้แล้ว เราอาจจะได้พบนักเล่าเรื่องตัวน้อยถือก�ำเนิดขึ้น ในบ้านก็ได้
12
PC Today VOL. 10 | ISSUE 134
GEEK PROGRAMMING โดย วศิน สุทธิฉายา
GEEK PROGRAMMING
รู้จักกับช่องโหว่ Heartbleed รูรั่วที่ทำ�ให้ต้องรีบ เปลี่ยนรหัสผ่านโดยด่วน
สวัสดีครับท่านผู้อ่าน ในช่วงสัปดาห์ที่ผ่านมานี้คงไม่มีข่าวไหนดังไปกว่าข่าวช่องโหว่ Heartbleed ที่เพิ่งค้นพบและเผยแพร่ไปเมื่อช่วงต้นเดือนเมษายนที่ผ่านมา ช่องโหว่ดังกล่าวถือเป็นช่องโหว่ ที่มีความรุนแรงมากและส่งผลกระทบต่อผู้ใช้ทั่วไปเป็นจ�ำนวนมากขนาดวิศวกรความปลอดภัย ทางคอมพิวเตอร์ได้จัดระดับความร้ายแรงของช่องโหว่ Heartbleed อยู่ในระดับ Grave เลยทีเดียว (มีความร้ายแรงสูงมาก เป็นรองแค่ระดับ Critical เท่านั้น) Geek Programming ในเล่มนี้เราจึงน�ำเสนอรายละเอียดของช่องโหว่ Heartbleed ว่ามันคืออะไร เป็นช่องโหว่ที่พบในซอฟต์แวร์อะไร และมีผลกระทบกับเราอย่างไร ลองติดตามกันดูครับ www.pctodaythailand.com
13
โปรโตคอล SSL/TLS คืออะไร
โปรโตคอล Transport Layer Security (TLS) คือโปรโตคอลทางด้านวิทยาการรหัสลับ (Cryptographic Protocol) ที่ใช้ในการเพิ่มความปลอดภัยให้กับการสื่อสารผ่านอินเทอร์เน็ต โดยปกติข้อมูลที่ถูกส่งทางอินเทอร์เน็ตจะไม่มีการเข้ารหัสแต่อย่างใด ท�ำให้ข้อมูลที่ถูกดักระหว่าง ทางสามารถถูกอ่านได้อย่างง่ายดาย แต่ถ้าใช้โปรโตคอล TLS ข้อมูลจะถูกเข้ารหัสก่อนที่จะส่งไปยัง ปลายทาง ท�ำให้ผู้ดักข้อมูลไม่สามารถอ่านข้อมูลดังกล่าวได้โดยง่าย ซึ่งอัลกอริทึมเข้ารหัสที่ TLS ใช้นั้น มีทั้งอัลกอริทึมแบบกุญแจส่วนตัว และอัลกอริทึมแบบกุญแจสาธารณะโปรโตคอล TLS แบ่งออกเป็น 2 เลเยอร์คือ TLS Record Protocol และ TLS Handshake Protocol ซึ่งสามารถเขียน เป็นแผนภาพรวมกับ Internet model ได้ดังรูปต่อไปนี้
รายละเอียดของโปรโตคอลที่ส�ำคัญมีดังต่อไปนี้
• TLS Record Protocol ใช้ส�ำหรับเข้ารหัสข้อมูลของโปรโตคอลที่อยู่ชั้นสูงกว่า โดยจะท�ำการ แบ่งข้อมูลออกเป็นส่วนย่อยหลายส่วน จากนั้นจึงบีบอัดข้อมูลให้เล็กลง (สามารถเลือกได้ว่าจะบีบอัด ข้อมูลหรือไม่) และท�ำการค�ำนวณค่า MAC พร้อมทั้งเข้ารหัสข้อมูล เมื่อกระบวนการทั้งหมดเสร็จสิ้น จึงจะส่งไปยังโปรโตคอลที่อยู่ชั้นล่างเพื่อส่งข้อมูลที่เข้ารหัสเรียบร้อยแล้วไปยังปลายทาง • TLS Handshake Protocol ประกอบด้วยโปรโตคอลย่อย 3 ชนิดคือ Handshake, Change Cipher Spec, และ Alert ใช้ส�ำหรับการตกลงกันระหว่างต้นทางกับปลายทางเกี่ยวกับพารามิเตอร์ ส�ำหรับรักษาความปลอดภัยของข้อมูลโดยพารามิเตอร์ดังกล่าวจะถูกใช้ใน TLS Record Protocol 14
PC Today VOL. 10 | ISSUE 134
GEEK PROGRAMMING ส�ำหรับโปรโตคอล Secure Sockets Layer (SSL) เปรียบเสมือนโปรโตคอลต้นแบบที่ถูกพัฒนา ต่อเป็น TLS ในภายหลัง ในบางครั้งเราจะเขียน TLS/SSL เพราะโปรโตคอล TLS สามารถลดระดับ การท�ำงานให้เป็นโปรโตคอล SSL ได้เพื่อรองรับอุปกรณ์ที่ยังไม่รองรับโปรโตคอล TLS โปรโตคอล TLS มีข้อดีคือ ผู้พัฒนาโปรแกรมในชั้น Application layer ไม่จ�ำเป็นต้องพัฒนา ขั้นตอนวิธีการเข้ารหัสด้วยตนเอง แต่โปรโตคอล TLS ต้องการโปรโตคอลที่มีความน่าเชื่อถือในชั้น ทีอ่ ยูต่ ำ�่ กว่า เช่น โปรโตคอล TCP เป็นต้น อย่างไรก็ตาม ในปัจจุบนั มีการพัฒนาโปรแกรมในชัน้ Application layer ที่ต้องการโปรโตคอลที่ไม่มีความน่าเชื่อถืออย่าง UDP ช่วยในการท�ำงาน ตัวอย่างเช่น เกมออนไลน์ เป็นต้น ท�ำให้ไม่สามารถใช้ TLS ในการรักษาความปลอดภัยของข้อมูลได้ ดังนั้นจึงมี การพัฒนาโปรโตคอลตัวใหม่โดยใช้ TLS เป็นต้นแบบซึ่งก็คือ Datagram Transport Layer Security (DTLS) ส�ำหรับรักษาความปลอดภัยของข้อมูลที่ถูกส่งด้วยโปรโตคอลที่ไม่มีความน่าเชื่อถือ
OpenSSL คืออะไร
OpenSSL เป็นการน�ำโปรโตคอล SSL/TLS มาสร้างเป็นซอฟต์แวร์ และแจกจ่ายให้ใช้โดยไม่มี ค่าใช้จ่ายใดๆ ผู้ใช้สามารถดูรายละเอียดของตัวโปรแกรม และสามารถน�ำไปพัฒนาต่อยอดได้ OpenSSL มีอยู่หลายรุ่นโดยรุ่นที่ใช้ในปัจจุบันคือ 1.0.1 ตัวโปรแกรมหลักถูกเขียนด้วยภาษาซี สร้างขึ้นโดยใช้ SSLeay เป็นตัวต้นแบบ (พัฒนาขึ้นโดย Eric A. Young และ Tim J. Hudson) อัลกอริทึมเข้ารหัสที่ OpenSSL เตรียมไว้ส�ำหรับน�ำไปใช้งานมีดังต่อไปนี้ • อัลกอริทึมเข้ารหัสแบบสมมาตร: AES, Blowfish, Camellia, SEED, CAST-128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89 • อัลกอริทึมเข้ารหัสแบบอสมมาตร: RSA, DSA, Diffie–Hellman key exchange, Elliptic curve, GOST R 34.10-2001 • อัลกอริทมึ แฮช: MD5, MD4, MD2, SHA-1, SHA-2, RIPEMD-160, MDC-2, GOST R 34.11-94
ส่วนเสริม Heartbeat (SSL/TLS Heartbeat Extension)
ส่วนเสริม Heartbeat (RFC 6520) มีไว้เพื่อตรวจสอบสถานะของคู่สนทนาที่อยู่อีกฝั่งหนึ่งว่าอยู่ใน สภาพพร้อมสื่อสารหรือไม่ การท�ำงานของ Heartbeat เริ่มจากการส่งแพ็กเกตไปยังเครื่องปลายทาง เป็นระยะๆ สม�่ำเสมอ ถ้าเครื่องที่อยู่ปลายทางได้รับแพ็กเกตดังกล่าวจะท�ำการส่งแพ็กเกตตอบกลับ มายังเครื่องต้นทาง ท�ำให้เครื่องต้นทางทราบว่าเครื่องปลายทางยังท�ำงานเป็นปกติ แต่ถ้ามีความ ผิดปกติเกิดขึ้น เช่น เครื่องที่อยู่ปลายทางเสียหาย หรือช่องทางสื่อสารเสียหายท�ำให้เครื่องปลายทาง www.pctodaythailand.com
15
GEEK PROGRAMMING ไม่ได้รับแพ็กเกต เมื่อเวลาผ่านไประยะหนึ่ง เมื่อเครื่องต้นทางไม่ได้รับการตอบกลับจากเครื่อง ปลายทาง เครื่องต้นทางจะทราบได้ทันทีว่าเกิดปัญหาขึ้น
โปรโตคอล Heartbeat จะมีการส่งแพ็กเกต 2 ประเภทดังต่อไปนี้
1. HeartbeatRequest เป็นข้อความที่ต้นทางส่งไปยังปลายทาง โดยต้นทางสามารถส่งตอนไหน ก็ได้ในช่วงที่มีการเชื่อมต่อกับปลายทางอยู่ แต่มีข้อแม้คือ ห้ามส่ง HeartbeatRequest ในช่วงของ การท�ำ Handshake และถ้า HeartbeatRequest เดิมยังไม่หมดอายุ ห้ามส่ง HeartbeatRequest ซ�้ำเด็ดขาด 2. HeartbeatResponse เป็นข้อความที่ส่งจากปลายทางไปยังต้นทางเมื่อปลายทางได้รับ HeartbeatRequest โดยข้อความ HeartbeatResponse ที่ส่งกลับไปยังต้นทางต้องมี payload ถูกต้องตามที่ต้นทางต้องการด้วย มิฉะนั้นต้นทางจะสรุปว่าเกิดปัญหาขึ้นระหว่างการสื่อสาร โครงสร้างของแพ็กเกตที่ส่งด้วยโปรโตคอล Heartbeat จะอยู่ในลักษณะดังต่อไปนี้ (อ้างอิงจากเอกสาร RFC 6520) struct { HeartbeatMessageType type; uint16 payload_length; opaque payload[HeartbeatMessage.payload_length]; opaque padding[padding_length]; } HeartbeatMessage; ความยาวของแพ็กเกตทั้งหมดจะต้องไม่เกิน 214 ไบต์หรือค่า max_fragment_length ตามที่ก�ำหนดในเอกสาร RFC 6066 รายละเอียดของแต่ละฟิลด์มีดังต่อไปนี้ • type: ใช้ระบุชนิดของข้อความว่าเป็น HeartbeatRequest หรือ HeartbeatResponse • payload_length: ความยาวของฟิลด์ payload • payload: ส่วนที่ใช้บรรจุข้อความต่างๆ • padding: ใช้ส�ำหรับเติมเต็มข้อความโดยสุ่มข้อมูลใส่เข้าไปเพื่อให้ข้อความโดยรวมมีขนาดคงที่ ส่วน padding จะถูกตัดทิ้งไปเมื่อผู้รับได้รับข้อความเรียบร้อยแล้ว
16
PC Today VOL. 10 | ISSUE 134
GEEK PROGRAMMING เมื่อฝั่งผู้รับได้แพ็กเกต HeartbeatRequst และไม่มีความผิดปกติในระบบ ผู้รับจะส่งแพ็กเกต HeartbeatResponse กลับไปโดยคัดลอกค่าจากฟิลด์ payload ที่ได้รับใส่ไปในแพ็กเกต HeartbeatResponse ด้วย เมื่อผู้ส่งได้รับแพ็กเกต HeartbeatResponse กลับมาจากปลายทางจะท�ำการตรวจฟิลด์ payload ว่าตรงกับ payload ที่ส่งไปหรือไม่ ถ้าตรงกันแสดงว่าไม่มีความผิดพลาดเกิดขึ้นและปลายทาง ยังท�ำงานเป็นปกติ
การท�ำงานของโปรโตคอล Heartbeat สามารถสรุปเป็นแผนภาพดังนี้
ช่องโหว่ Heartbleed
ช่องโหว่ Heartbleed (เป็นการตั้งชื่อล้อเลียนส่วนเสริม Heartbeat ของโปรโตคอล SSL/TLS) ถูกค้นพบโดย Neel Mehta ซึ่งเป็นหนึ่งในทีมวิศวกรความปลอดภัยทางคอมพิวเตอร์ของ Google ช่องโหว่นี้ได้ถูกลงทะเบียนในระบบ Common Vulnerabilities and Exposures ด้วยหมายเลข CVE-2014-0160 Heartbleed เกิดจากความผิดพลาดในการตรวจสอบความยาวของข้อมูลในส่วนเสริม Heartbeat ท�ำให้แพ็กเกต HeartbeatResponse มีข้อมูลในฟิลด์ payload มากกว่าปกติ และข้อมูลที่ส่งเกินไป www.pctodaythailand.com
17
GEEK PROGRAMMING นีเ่ องทีเ่ ป็นต้นเหตุของการรัว่ ไหลของรหัสผ่าน รวมทัง้ กุญแจส�ำหรับการเข้ารหัสของโปรโตคอล SSL/TLS การโจมตีเริ่มจากผู้โจมตีสร้างแพ็กเกต HeartbeatRequest ขึ้นโดยมีส่วน payload สั้น แต่ก�ำหนดให้ payload_length มีความยาวมากกว่า payload ที่ผู้โจมตีสร้างขึ้น ตัวอย่างข้อความ HeartbeatRequst ที่ผู้โจมตีส่งแสดงดังรูปต่อไปนี้
จากรูปจะเห็นว่าฟิลด์ payload มีความยาว 3 ตัวอักษร แต่ฟิลด์ payload_length กลับระบุว่า ส่วน payload มีความยาวถึง 500 ตัวอักษร เมื่อเครื่องเป้าหมายได้รับแพ็กเกต HeartbeatRequest ดังกล่าว จะสร้างแพ็กเกต Heartbeat Response ที่มีฟิลด์ payload เป็น “dog” และต่อด้วยข้อความอะไรก็ตามที่อยู่ในหน่วยความจ�ำใน ต�ำแหน่งที่ต่อเนื่องจากที่เก็บ payload ไว้อีก 497 ตัวอักษร ตัวอย่างข้อความ HeartbeatResponse ที่ผู้รับสร้างและส่งกลับไปยังผู้โจมตีแสดงดังรูปต่อไปนี้
จะเห็นว่าในส่วน payload ที่เน้นด้วยสีแดง เป็นข้อมูลใดๆ ที่อยู่ในหน่วยความจ�ำของเครื่อง ปลายทางที่ก�ำลังท�ำงานอยู่ ซึ่งข้อมูลในหน่วยความจ�ำที่อยู่ในต�ำแหน่งดังกล่าวอาจเป็นกุญแจส�ำหรับ ถอดรหัสหรือรหัสผ่านของผู้ใช้รายอื่นก็เป็นได้ เมื่อผู้โจมตีรู้กุญแจส�ำหรับถอดรหัส ผู้โจมตีสามารถ น�ำกุญแจดังกล่าวไปถอดรหัสข้อความใดๆ ก็ได้ที่ผู้ใช้รายอื่นส่งไปยังเครื่องปลายทาง 18
PC Today VOL. 10 | ISSUE 134
GEEK PROGRAMMING ช่องโหว่ Heartbleed ท�ำให้ผู้โจมตีสามารถอ่านข้อมูลที่อยู่ในหน่วยความจ�ำของเครื่องปลายทาง ที่ใช้ซอฟต์แวร์ OpenSSL ได้ครั้งละไม่เกิน 64 กิโลไบต์ เนื่องจาก payload_length เป็นตัวแปรขนาด 16 บิต ดังนั้นจึงระบุขนาดของ payload ได้ไม่เกิน 65,535 ไบต์ ซึ่งข้อมูลที่ผู้โจมตีได้รับอาจจะไม่ใช่ กุญแจส�ำหรับถอดรหัสก็เป็นได้ แต่ผู้โจมตีสามารถโจมตีเครื่องปลายทางด้วยช่องโหว่ Heartbleed ซ�้ำหลายๆ ครั้งเพื่อให้ได้ข้อมูลที่เป็นประโยชน์
ช่องโหว่ Heartbleed สามารถสรุปได้เป็นแผนภาพได้ดังนี้
ผู้ที่สนใจรายละเอียดของสคริปต์โปรแกรมส�ำหรับโจมตีช่องโหว่ Heartbleed สามารถเข้าไป ศึกษาได้ที่ http://www.exploit-db.com/exploits/32745/ สคริปต์ดังกล่าวเป็นภาษาไพธอนเขียนขึ้น โดย Jared Stafford มีขั้นตอนการท�ำงานที่ง่ายมากโดยรับข้อมูลเป็นเว็บไซต์ที่เป็นเป้าหมาย และหมายเลขพอร์ต จากนั้นจึงท�ำการเปิดซ็อคเก็ตแบบ SOCK_STREAM และส่งแพ็กเกต hello เพื่อเปิดการติดต่อ เมื่อเป้าหมายตอบกลับมาแล้วจึงส่งแพ็กเกต HeartbeatRequest ที่มีปัญหาไป และรอรับข้อมูล
ผลกระทบที่เกิดขึ้นจากช่องโหว่ Heartbleed
ซอฟต์แวร์ OpenSSL รุน่ 1.0.1, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e,และ 1.0.1f ได้รบั ผลกระทบ จากช่องโหว่นี้โดยตรง ท�ำให้ระบบที่ใช้งาน OpenSSL รุ่นดังกล่าวได้รับผลกระทบไปด้วย ซึ่ง Open SSL รุ่นที่ได้รับผลกระทบมีการเผยแพร่และใช้งานมาตั้งแต่ปี 2012 จึงมีความเป็นไปได้ที่ข้อมูลของ ผู้ใช้งานจะรั่วไหลออกมาตั้งแต่ปี 2012 แต่ยังไม่มีหลักฐานยืนยันว่าเคยมีผู้โจมตีใช้ประโยชน์จาก ช่องโหว่ Heartbleed ท�ำให้ไม่รู้จ�ำนวนที่แน่ชัดของผู้ใช้ที่ได้รับผลกระทบ และจ�ำนวนระบบที่ถูกเจาะ อย่างไรก็ตามช่องโหว่ดังกล่าวถูกแก้ไขเรียบร้อยแล้วและน�ำออกเผยแพร่ใน OpenSSL รุ่น 1.0.1g
www.pctodaythailand.com
19
GEEK PROGRAMMING
นอกจากนี้ยังมีระบบปฏิบัติการที่ได้รับผลกระทบจากช่องโหว่ Heartbleed ด้วยเช่นกัน ซึ่งมีรายชื่อและรุ่นดังต่อไปนี้ • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4 • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11 • CentOS 6.5, OpenSSL 1.0.1e-15 • Fedora 18, OpenSSL 1.0.1e-4 • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012) • FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013 • NetBSD 5.0.2 (OpenSSL 1.0.1e) • OpenSUSE 12.2 (OpenSSL 1.0.1c)
วิธีป้องกันช่องโหว่ Heartbleed
ผู้ดูแลระบบต้องตรวจสอบว่าระบบของตนเองใช้ OpenSSL รุ่นที่ได้รับผลกระทบจากช่องโหว่ Heartbleed หรือไม่ และท�ำการอัพเดตแพทช์เพื่ออุดช่องโหว่ดังกล่าว และต้องสร้างกุญแจพร้อมทั้ง ขอ SSL Certificate ใหม่ทั้งหมด เนื่องจากกุญแจตัวเดิมอาจจะถูกขโมยไปเรียบร้อยแล้ว ทางด้านผู้ใช้งานเองก็ต้องเปลี่ยนรหัสผ่านที่ใช้งานบนระบบที่ได้รับผลกระทบเพราะเราไม่มีทาง ทราบได้เลยว่ารหัสผ่านของเราถูกขโมยไปแล้วหรือยัง นอกจากนี้ผู้ใช้งานสามารถตรวจสอบได้ว่า เว็บไซต์ไหนเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ Heartbleed ได้ทางเว็บไซต์ https://lastpass.com/ heartbleed/ 20
PC Today VOL. 10 | ISSUE 134
GEEK PROGRAMMING สุดท้ายนี้ ขอเตือนท่านผู้อ่านทุกท่านให้รีบเปลี่ยนรหัสผ่านให้เรียบร้อย และขอฝากการ์ตูน สุดเจ็บปวดจาก xkcd.com เอาไว้ พบกันใหม่เดือนหน้า สวัสดีครับ
ที่มา 1. http://heartbleed.com/ 2. http://tools.ietf.org/html/ rfc6520 3. http://tools.ietf.org/html/ rfc6066 4. https://lastpass.com/ heartbleed/ 5. http://www.exploit-db.com/ exploits/32745/ 6. http://xkcd.com/1354/
www.pctodaythailand.com
21