เป็นข่าวที่เกิดขึ้นมาอย่างเงียบๆ ในประเทศไทยนี่เห็นมีแค่เว็บข่าวเว็บเดียวที่แปลข่าวเรื่องนี้ แต่ในขณะที่ผู้ใช้งาน QNAP NAS ในประเทศไทยก็มีไม่น้อย มีภาคธุรกิจ SMEs จำนวนไม่น้อยที่เอา QNAP NAS มาใช้เป็น File server เพื่อเก็บข้อมูล แต่ล่าสุด มีข่าวว่าดันมี Ransomware ตัวใหม่ ที่ถูกพัฒนามาเพื่อใช้โจมตี QNAP NAS โดยเฉพาะ ฉะนั้นผมเลยคิดว่าผมควรพูดถึงข่าวนี้กันหน่อย และนำเสนอวิธีการป้องกันตนเองให้ได้อ่านกันนะครับ เพราะไม่งั้นหากโดนเข้าไปแล้ว คุณมีความเสี่ยงสูงมากที่จะสูญเสียข้อมูลของคุณภายใน QNAP NAS เลย
อะไรคือ Ransomware?
มันคือ Malware ประเภทนึงที่ถูกออกแบบมาให้โจมตีเครื่องคอมพิวเตอร์หรืออุปกรณ์ใดๆ ก็ตาม ด้วยการเข้ารหัสข้อมูลที่ถูกเก็บเอาไว้ในเครื่องคอมพิวเตอร์หรืออุปกรณ์นั้นๆ ซึ่งส่งผลให้ผู้ใช้งานไม่สามารถเข้าถึงข้อมูลได้อีกต่อไป จากนั้น Ransomware ก็จะแสดงหน้าจอแจ้งเตือนว่า หากต้องการที่จะเข้าถึงข้อมูล ก็ต้องจ่าย “ค่าไถ่” เพื่อแลกกับรหัสในการถอดข้อมูล ซึ่งหลังๆ จะเรียกค่าไถ่เป็นพวก Cryptocurrency เนื่องจากแกะรอยตามได้ยาก และนี่คือที่มของชื่อเรียกว่า Ransomware นั่นเอง
จนถึงทุกวันนี้ มี Ransomware ชื่อดังมากมาย และการโจมตีด้วย Ransomware สร้างผลกระทบร้ายแรงต่อเหยื่อในทันที เนื่องจากไม่สามารถเข้าถึงข้อมูลหรือใช้งานข้อมูลได้อีก ภาคธุรกิจจึงต้องระวังเรื่องนี้มากๆ ขนาดในสหรัฐอเมริกาเอง รัฐบาลท้องถิ่นก็ยังตกเป็นเหยื่อ โดยมีอย่างน้อย 3 เมือง ที่ถูก Ransomware โจมตี แต่ การจ่ายค่าไถ่ไม่ได้หมายความว่าเราจะได้รหัสปลดล็อกข้อมูลมาจริงๆ หรอกนะ
จุดขายของ QNAP อันนึงคือ ป้องกันข้อมูลสูญหายจาก Ransomware ไม่ใช่เหรอ?
ซักสองปีก่อน มี Ransomware ตัวนึง โด่งดังไปทั่วโลก เพราะมีเครื่องคอมพิวเตอร์ที่ตกเป็นเหยื่อเยอะมาก ชื่อของ Ransomware ตัวนั้นคือ WannaCry ตอนนั้น QNAP ออกข่าวมาเลยว่า ถ้าใช้ QNAP NAS ละก็ จะป้องกันความเสี่ยงในการสูญหายของข้อมูลจาก Ransomware ได้ หลายๆ คนที่เคยได้ยินข่าวนี้ แล้วมาเจอว่าดันมี Ransomware ที่โจมตี QNAP NAS อาจจะงงว่า อ้าว แล้วจริงๆ แล้ว QNAP ป้องกันเรา หรือ ธุรกิจของเราจาก Ransomware ได้จริงๆ ไหมเนี่ย? คำตอบคือ ต้องแยกประเด็นครับ
QNAP NAS สามารถป้องกันข้อมูลสูญหายเพราะ Ransomware ได้ ในกรณีที่ Ransomware จ้องเล่นงานเครื่องคอมพิวเตอร์ หรือ อุปกรณ์อื่นๆ เช่น สมาร์ทโฟน หรือแท็บเล็ต ด้วยโซลูชันการแบ็กอัพข้อมูลจากอุปกรณ์ต่างๆ เหล่านี้มาเก็บไว้บน QNAP NAS ซึ่งหากภายหลังอุปกรณ์พวกนี้โดน Ransomware เราก็แค่ทำการติดตั้งระบบปฏิบัติการใหม่เพื่อล้างเอา Ransomware ออก จากนั้นก็กู้ข้อมูลคืนมาจาก QNAP NAS ง่ายๆ แค่นี้เอง หรือ หากเก็บข้อมูลเอาไว้บน QNAP NAS อยู่แล้ว พวก Ransomware ก็จะทำอะไรกับข้อมูลพวกนี้ไม่ได้ เหมือนกับกรณีที่เราใช้บริการพวก Cloud storage นั่นแหละ
แต่ถ้าเกิด Ransomware มันมุ่งโจมตีไปที่ QNAP NAS เลยแบบนี้ ข้อมูลที่ถูกเก็บเอาไว้ใน QNAP NAS ก็มีสิทธิสูญได้เช่นกันครับ เพียงแต่ว่า ตัว QNAP NAS เองมันก็มีโซลูชันในการสำรองข้อมูล ซึ่งหากเรามีการวางแผนสำรองข้อมูลเอาไว้ดีพอ ถึงแม้ข้อมูลใน QNAP NAS จะโดนเข้ารหัสเพราะ Ransomware ไป เราก็ยังสามารถ Reinitialize QNAP NAS ซะ จากนั้นก็กู้ข้อมูลกลับมาจากที่ที่เราแบ็กอัพเอาไว้ได้ครับ หรือก็คือ มันก็ยังช่วยป้องกันข้อมูลสูญหายจาก Ransomware ได้อยู่
จริงๆ แล้ว เรื่อง Ransomware นี่มันเป็นมายังไง?
มีผู้ไม่ประสงค์ดีพัฒนา Ransomware ขึ้นมา ซึ่งได้รับการขนานนามว่า eCh0raix ที่มีความสามารถในการเจาะรหัสผ่านของ QNAP NAS ด้วยวิธี Brute force แล้วหลังจากนั้นมันก็จะทำการสั่งหยุดให้บริการบางอย่าง เช่น พวกเว็บเซิร์ฟเวอร์ และ ฐานข้อมูล จากนั้นก็ทำการเข้ารหัสพวกไฟล์ข้อมูลจำพวก Office document, PDF, รูปภาพต่างๆ ฯลฯ แล้วทำการเรียกค่าไถ่เป็น Bitcoin โดย QNAP NAS ที่ตกเป็นเหยื่อ มีหลักฐานที่ชี้ให้เห็นว่าเป็นพวกที่ใช้ระบบปฏิบัติการ QTS รุ่นเก่า และมีการตั้งรหัสผ่านแบบที่สามารถเดาได้ง่ายด้วยวิธี Brute force
ผมอยากตั้งข้อสังเกตว่า เจ้า Ransomware ตัวนี้ใช้วิธีการ Brute force ในการเดารหัสผ่านเข้า QNAP NAS ซึ่งเป็นการอาศัยช่องโหว่ของ QNAP NAS ที่ยอมให้ผู้ใช้สามารถพยายามล็อกอินได้เรื่อยๆ จนกว่าจะใส่รหัสผ่านได้ถูกต้อง ซึ่งเข้าทางวิธีการ Brute force ซึ่งก็คือการลองใส่รหัสผ่านไปเรื่อยๆ ทีละตัว จนกว่าจะเข้าสู่ระบบได้นั่นเอง แต่ที่ต้องตระหนักเพิ่มคือ การล็อกอินเข้า QNAP NAS ไม่ได้ทำผ่านแค่เบราวเซอร์เพียงอย่างเดียวเท่านั้นนะครับ มันยังมีอีกหลายช่องทางที่ทำได้ และที่นิยมใช้กันอีกช่องทางนึงคือ SSH (Secure Shell) ครับ
แล้วจะป้องกันตัวเองจาก Ransomware ตัวนี้ และตัวอื่นๆ ยังไงล่ะ?
จริงๆ แล้ว การป้องกันตัวเองสามารถทำได้โดยไม่ยากนะครับ ซึ่งทาง QNAP ได้แนะนำมาดังนี้
- หมั่นอัพเดตเฟิร์มแวร์ (หรือก็คือ ระบบปฏิบัติการ QTS) เป็นเวอร์ชันใหม่อยู่เสมอ ซึ่งหากเราล็อกอินเข้ามาที่หน้าจอ QTS หรือเราใช้โปรแกรม Qfinder อยู่ มันจะมีการแจ้งเตือนให้รู้เสมอแหละ ว่ามีเฟิร์มแวร์เวอร์ชันใหม่ออกมาแล้ว (อ่านวิธีการอัพเดตเฟิร์มแวร์ได้ที่นี่)
- ติดตั้งโปรแกรม Malware Remover จาก App Center ของ QNAP แล้วหมั่นอัพเดตให้ทันสมัยเสมอ เจ้านี่ทำนหน้าที่เหมือนกับเป็น Antivirus ประจำ QNAP NAS ได้
- ตั้งรหัสผ่านของ Admin (และทุก User ที่มีสิทธิเป็นแอดมิน) ให้เดายาก ซึ่งจะช่วยป้องกันตัวเองจากเจ้า Ransomware eCh0raix นี่ เพราะมันใช้วิธี Brute force ดังนั้นหากเดายากๆ ก็ช่วยป้องกันได้ประมาณนึง
- หากเป็นไปได้ เปิดใช้ 2-step authentication ด้วยเลยยิ่งดี เพราะมันจะทำให้การรู้แค่ Username กับ Password ไม่ช่วยอะไรเลยในเรื่องล็อกอิน เพราะขั้นตอนสุดท้ายจะเป็นการกรอกรหัสที่เป็น OTP (One-time Password) จาก Authenticator app
- ถ้าไม่ได้ใช้ SSH หรือ Telnet ให้ปิดบริการนี้ไปเลย
- หลีกเลี่ยงการใช้พอร์ต 443 และ 8080
