เรื่องที่ควรสอนในโรงเรียน

Screenshot - 28102557 - 18:40:12

เรื่องที่ควรสอนเรื่องหนึ่งในยุคนี้ คือ ความแตกต่างระหว่างการโพสแบบจำกัด มารยาทเมื่อเห็นโพสที่จำกัดว่าจะไม่ไปเอาไปโพสต่อโดยไม่ได้รับอนุญาต พร้อมๆ กับเรื่องที่ไม่ได้อยากให้ออกสู่สาธารณะ ก็ไม่ควรโพสสู่สาธารณะ

Privacy != Security

วันนี้เขียนข่าวเรื่อง Anonabox แล้วพบว่ายังมีความเข้าใจแปลกๆ อย่างหนึ่งคือ “ใช้ Tor แล้วจะปลอดภัยไหม?”

สำหรับคนทั่วไปคงเข้าใจว่าใช้ Tor แล้วจะ “ปลอดภัย” ขึ้น แต่ในความเป็นจริงแล้วความปลอดภัยกับความเป็นส่วนตัวเป็นคนละเรื่องกัน แม้ว่าจะพอไปด้วยกันได้บ้าง

เราไปธนาคาร ธนาคารถามข้อมูลเรามากมาย เจ้าหน้าที่ธนาคารอ่านแบบฟอร์มแล้วอาจจะรู้จักเราดีกว่าเพื่อนของเราเสียอีก แบบนี้คงไม่มีความเป็นส่วนตัว (ต่อธนาคาร) นัก แต่ธนาคารมีเจ้าหน้าที่รักษาความปลอดภัยแน่นหนา เราถือเงินเข้าไปแล้วไม่น่าจะถูกดักตีหัวได้โดยง่าย กรณีนี้เราก็มีความปลอดภัยพอสมควร

กลับกัน เราฝากเงินไว้กับเจ้าพ่อแถวบ้านให้ไปปล่อยกู้ต่อ เจ้าพ่ออาจจะไม่ถามอะไรเราแม้แต่น้อย แต่รังเจ้าพ่ออาจจะเป็นซ่องโจร มีคนเสพยาเสพติดมากมาย แค่เดินเข้าไปก็อาจจะถูกปล้น ถูกทำร้าย เงินฝากของเราอาจจะโดนเชิด เมื่อฝากเงินกับเจ้าพ่อ การตามรอยที่มาที่ไปของเงินทำได้ยากมาก เพราะเจ้าพ่อไม่สนใจอยากรู้ข้อมูลของเราและเงินของเรา

Tor มีไว้เพื่อรักษาความเป็นส่วนตัว อันนี้ต้องท่องไว้

การเข้าเว็บผ่าน Tor อาจจะนำไปสู่ “ความไม่ปลอดภัย” ได้อีกจำนวนมาก เครื่องทางออกปลายทางอาจจะเป็นของหน่วยงานรัฐ เป็นของแฮกเกอร์ที่จ้องจะแฮกเครื่องของเรา หรืออันตรายสารพัดรูปแบบ

เมื่อเข้าเว็บผ่าน Tor เราอาจจะถูกแฮก แต่คนแฮกจะไม่รู้ว่าเราอยู่ที่ไหน (หากเบราว์เซอร์ของเราไม่มีช่องโหว่) เมื่อเราเล่นเว็บบอร์ด อาจจะมีคนขโมยบัญชีเราไปใช้ เขารู้บัญชีที่เราเข้าผ่าน Tor แต่ไม่รู้ว่าเราเข้าจากไหน

ถ้าเราระวังตัวดีพอ สร้างบัญชีใหม่สำหรับใช้งานผ่าน Tor โดยเฉพาะ ความเป็นส่วนตัวก็จะค่อนข้างสมบูรณ์ แม้จะรู้ได้ว่าเราใช้บัญชีอะไร เราโพสอะไร แต่ก็ไม่มีใครรู้ว่าที่จริงแล้วเราเป็นใคร

แต่บัญชีนั้นก็อาจจะถูกแฮก ถูกนำไปใช้อย่างอื่นได้

กระบวนการเพื่อความปลอดภัยเป็นคนละเรื่องกับกระบวนการเพื่อความเป็นส่วนตัว และถ้าอยากได้ทั้งสองอย่างก็ต้องทำทั้งสองอย่าง

e-commerce

นั่งเล่นเว็บ e-commerce หลายเว็บช่วงนี้ มีดีมีแย่ต่างๆ กันไป เอาเท่าที่เห็นก่อน

  • Asiabooks: ประทับใจมากตั้งแต่แรกเห็น URL เป็น SSL EV แต่ดัน import jQuery จาก CDN ของ jquery เองแถมเป็น HTTP ด้วย อันนี้พอดีสั่ง What-If มาอ่าน พบว่าไม่มีระบบบอก tracking number สั่งแล้วงงๆ ว่าของจะมาวันไหน แต่ก็ถึงตามเวลาดี แถมส่งฟรีและถูกกว่าไปซื้อหน้าร้าน
  • Cdiscount: กำลังจะสั่ง HTTPS ทำงานครบทั้งเว็บไม่มีปัญหาอะไร ยังไม่ได้ลองระบบภายใน ฟอร์มออกบิลเป็นชื่อบุคคลธรรมดา หาทางออกบิลบริษัทไม่เจอ คงต้องติดต่อ
  • Lnwshop: พอดีผมสั่งของจาก Satorshop อยู่เรื่อยๆ โดยเฉพาะชิ้นที่รอของเป็นเดือนจากจีนไม่ไหว ระบบโดยรวมโอเค เข้าใจง่าย แต่เว็บลูกไม่รองรับ HTTPS ถ้าลงทุนซื้อ Wildcard แบบถูกๆ หน่อยน่าจะดีกว่าเพราะตัวเว็บหลักที่ใช้ login เองอุตส่าห์ซื้อ SSL EV
  • คิโนะคุนิยะ: ดูไม่เน้นเว็บเท่าไหร่ เคยใช้เพราะสั่งหนังสือหายากเล่มนึงแล้วไม่ได้ เว็บหลักไม่เข้ารหัส เข้าเฉพาะส่วนสมาชิกเท่านั้น
  • Tarad: อันนี้ยังไม่เคยซื้อ แต่เคยเข้าเว็บคิโนะไปดูส่วนหนังสือภาษาไทย (จะแยกกันทำไม?) มีสคริปต์บางส่วนเป็น HTTP ทำให้แสดงไม่สมบูรณ์ แต่รองรับ SSL หมดทั้งเว็บหลักและเว็บร้านค้า

Micro PC

ปกติผมเรียกคอมพิวเตอร์ที่ลงลินุกซ์ (หรือวินโดวส์) ตัวเต็ม แต่มีบอร์ดขนาดเล็กมาก กินไฟต่ำกว่า 20 วัตต์ และราคาต่ำกว่า 200 ดอลลาร์ว่า “micro PC” ซึ่งแอบตลกนิดหน่อยเพราะ PC เคยมีชื่อว่า micro computer

ตัวที่นิยมที่สุดคงเป็น Raspberry Pi อันโด่งดัง ราคาเพียงพันกว่าบาทสามารถทำอะไรได้มากมาย กินไฟสูงสุดไม่ถึงสิบวัตต์ พอๆ กับหลอดตะเกียบสักหลอดเท่านั้น แต่จริงๆ แล้วยังมีอีกหลายตัวในตลาด ตัวที่มาก่อนคือ Beagleboard และ Beaglebone จากค่าย Texas Instrument

ที่จริงแนวคิดบอร์ดพัฒนาเป็นสิ่งที่บริษัทผลิตชิปต้องทำอยู่แล้ว แต่ด้วยความคิดบางอย่าง ทำให้การสั่งบอร์ดพัฒนาจากผู้ผลิตนั่นมักจะแพงบ้าเลือด เช่น ARM ชิปตัวละสองร้อย บอร์ดพัฒนาอาจจะมีราคาถึงสามหมื่นบาทได้สบายๆ แต่ TI ก็เลือกเส้นทางใหม่ด้วยการสร้าง Beagleboard แล้วขายราคาเพียง 250 ดอลลาร์ ราคาในไทยคงแค่แปดพันกว่าบาท แล้วออกลูกออกหลานมาอีกหลายรุ่น รุ่นที่ดังที่สุดคือ Beaglebone Black (BBB) ราคา 45 ดอลลาร์ ที่ออกมาตามหลัง Raspberry Pi ที่ชูธง 35 ดอลลาร์มาตั้งแต่แรก ทำยอดขายถล่มทลายนับล้าน

อีกค่ายสำคัญก็เป็นสาย Cubieboard จากจีนที่ใช้ชิป Allwinner A10 และ A20 ความแรงเหลือเฟือ

งานหนึ่งที่ใช้ได้เสมอๆ คือการเปิดคอมพิวเตอร์พวกนี้เป็น VPN server ไว้ที่บ้าน เอาไว้เวลาเปิด wi-fi ขำๆ ตามร้านกาแฟ แล้วไม่มีการเข้ารหัสก็ยัง VPN กลับบ้านได้ ซึ่งความเสี่ยงน่าจะน้อยกว่าเยอะ แต่พอเจองานเข้ารหัสเข้าจริงๆ RPi ก็เริ่มตันเพราไม่ได้ออกแบบให้รับงานหนักหนาอะไร ซีพียูจะเริ่มเต็มถ้าใช้ VPN ที่ระดับเมกะบิต ไม่ต้องพูดถึงการเข้ารหัสดิสก์ที่ต้องการความเร็วสูงๆ

BBB ดันเจ๋งกว่ามากเพราะมีชุดคำสั่งเข้ารหัสเฉพาะ และประสิทธิภาพดีมาก ทำได้ระดับเมกกะไบต์ต่อวินาทีสบายๆ

ผมเองคิดว่าจะทำ backup storage ที่บ้านอยู่นาน ก็คิดว่าจะซื้อ BBB มาเล่นเสริมกับ RPi ปรากฎว่าในไทยไม่มีขาย ค้นๆ ไปถึงเมืองนอก ปรากฎว่าขาดตลาดกันมาตั้งแต่ปีที่แล้ว ผู้ใช้โวยวายว่าจะเลิกผลิตแล้วหรือไร ทาง BBB ก็ออกมาชี้แจงว่าผลิตไม่ได้หยุด แต่ส่งของไปแล้วร้านค้าไม่มีที่ไหนขึ้นว่ามีของในสต็อกเลยก็ไม่เข้าใจเหมือนกัน ตอนนี้รวมๆ ส่งไปแล้ว 150,000 ชุดแล้ว และกำลังผลิตอยู่ที่เดือนละ 13,000 ชุด อาจจะเพิ่มได้ในอีก “หลายสัปดาห์” ตอนนี้ก็เป็นโอกาสของคนมีของในมือ ฝั่ง Aliexpress ขาย BBB กันอยู่ที่ 80 ดอลลาร์ ส่วนฝั่ง eBay นี่เกิน 100 ดอลลาร์กันแล้ว

ตัว Cubieboard ที่ใช้ Allwinner เองก็มีชุดคำสั่ง AES แต่ซัพพอร์ตแย่กว่ามาก

อีกตัวที่มีความหวังคือ minnowboard MAX ที่ใช้ Atom รุ่นใหม่ รองรับ AES-NI น่าจะทำได้ดีพอสมควร แถมซัพพอร์ตไม่ต้องห่วงเพราะ OpenSSL รองรับนานแล้วจากแพตซ์ฝั่งเซิร์ฟเวอร์ แต่น่ากลัวว่าเปิดขายมาจะหายไปจากตลาดอีกเหมือนกัน