ช่วงสายวันนี้ ดิฉันอ่านบันทึกของอาจารย์หมอวิจารณ์แล้วพบ spam comments ดังในรูป
แถมเป็นภาษาจีนอีกต่างหาก อึ้งอยู่นานนึกว่ามีโปรแกรม spam สามารถเจาะรหัสตัวเลขของเราได้
แต่นึกอีกที ไม่ใช่แน่นอนเพราะคงยากอยู่เหมือนกันที่จะเขียนโปรแกรมเพื่อมาอ่าน Image เพียงเพื่อใส่ comment แผลงๆ ลงไป ไปเขียนโปรแกรมขายน่าจะรวยกว่า
คิดดูใหม่อีกที ก็ยิ่งรู้สึกแน่นอนใจว่า คงเป็นแรงงานราคาถูกในประเทศจีนถูกจ้างให้ใส่ spam comment ตามบล็อก
ด้วยความอยากรู้ว่า คนจีนคนนี้เขาเจอบล็อกอาจารย์หมอวิจารณ์ได้อย่างไร ดิฉันจึงเข้าไปดูสถิติของหน้าเพจนั้น ซึ่ง แต่ละหน้าใน GotoKnow จะมีสถิติอยู่ด้านล่าง ค่ะ
จากรูป ดูจากเวลาที่ตรงกับการ comment จะเห็นได้ชัดว่า คนจีนคนนี้หาบล็อกนี้เจอด้วยการค้นหา Google ด้วยคำว่า home blog ดังในรูป
แล้วก็คงสุ่มไปเรื่อยๆ จนเจอบล็อกใน GotoKnow เข้า ซึ่งก็แน่นอนว่าบล็อกที่ rating สูงที่สุดใน GotoKnow ก็ย่อมเป็นบล็อกอาจารย์หมอวิจารณ์
ว่าแล้ว ดิฉันก็รีบแจ้งให้คุณเก๋ เลขาฯ อาจารย์หมอให้ลบออกทันทีค่ะ ซึ่ง เจ้าของบล็อกทุกท่านเมื่อ login เข้าระบบแล้ว จะสามารถลบ comment ในบล็อกของตนได้เองค่ะ
เห็นทีคงต้องเปลี่ยนรหัสตัวเลขเป็นภาษาไทย เจ้าคนที่ถูกจ้างให้เขียน spam comment จะได้ลอกคำไทยไม่ได้ ถ้ายังทำได้ ก็คงเป็นคนไทยด้วยกันเองค่ะ:)
ลองดูระบบ "ซามเจะนึงโหะ" ที่ อ.ธวัชชัยแซวผมไว้ก็ไม่เลวนะครับ
ม่านกั้นทางวัฒนธรรมแม้จะดูพื้น ๆ แต่กรณีนี้อาจใช้เป็นเกราะไซเบอร์ได้
อย่างน้อยก็สักพัก
ผมก็เจอปัญหาแบบนี้บนเวบบอร์ดที่ผมอนุญาติให้ผู้เยี่ยมชมสาธารณะโพสต์ทั้งที่บังคับให้ต้องป้อนตัวเลขจากภาพด้วย ผมยังแกะรอยวิธีการปล่อย spam ไม่เจอชัดเจน เท่าที่พบข้อมูล(ของผม) สันนิษฐานดังนี้
- คงไม่ใช่พวกเจตนาขายสินค้าโดยตรง เพราะข้อมูลที่ส่งเข้ามาเป็นภาษาต่างชาติ อ่านรู้เรื่องมั่ง ไม่รู้เรื่องมั่ง
- spam ฉบับเดียวกันถูกส่งมาจากสถานที่ต่างกัน(เมกซิโก,อินเดีย,ซาอุฯ,ไทย..) และเวลาต่างกันด้วย สงสัยว่าน่าเป็นพวก spam worm
- หากมันเข้ามาได้สักครั้ง ต่อไปจะเข้ามาได้อีก เข้าใจว่ามันคงจำ session บางอย่างไว้ แล้วลุยสุ่มส่ง จนกระทั่งหลุดเข้าจนได้บ้าง(ไม่กี่ฉบับ) ตอนนี้ผมแก้ปัญหาเฉพาะหน้าคือ แบน IP ทิ้งในระดับ server เลย ผลคือหายหน้าไปพอสมควร
ใครมีวิธีการต่อสู้แบบอื่นๆอีก บอกกันมามั่งนะครับ
--วิภัทร
เห็นทีคงต้องเปลี่ยนรหัสตัวเลขเป็นภาษาไทย
เป็นการป้องกันที่ดี แต่ในขณะเดียวกันกลายเป็นกันไม่ให้คนต่างชาติสามารถแสดงความเห็นได้ หรือกันไม่ใช้คนไทยที่อยู่ต่างประเทศ (ไม่สามารถพิมพ์ไทยได้) เข้ามาด้วยเช่นกัน
ขอขอบคุณท่านอาจารย์จันทวรรณ...
ขอเรียนเสนอว่า
ผมมองว่าตอนนี้เป็นสงครามโลกภาค Cyber War ทุำกฝ่ายที่เกี่ยวข้อง มุ่งยึดครอง seach engine เป็นพวกของตน แม้ อ.ธวัชชัย เอง ก็ยังร้องเพลงครวญหา googlebot ถ้าอย่างนั้น ที่ไหนมี rating สูงในมุมมองของ search engine ล้วนกลายเป็นเป้าของระบบบ็อท หรือคน ที่มุ่งแปะ spam ไว้ล่อ search engine แนวโน้มนี้หมายความว่าเราจะเจอมากขึ้นเรื่อย ๆ และดุขึ้นเรื่อย ๆ กลายเป็นอุตสาหกรรมหลักกระแสหนึ่งไปแล้ว
ผมเจอเองมาพักใหญ่ กลายเป็นหัวขบวนที่ 'อิน เทรนด์'สุด ๆ เพราะระบบเว็บบอร์ดที่ผมรับผิดชอบอยู่ (เป็นบรรณาธิกร) ไม่มีระบบกรองใด ๆ ทั้งสิ้น มีเวลาศึกษาพฤติกรรมขณะลบกระทู้เหล่านี้มาอย่างละเอียดหลายเดือน ทำให้เริ่มสรุปกระสวนความคิดของระบบ bot เหล่านี้ออกมาในกระทู้
http://gotoknow.org/blog/wwibul/42622
http://gotoknow.org/blog/wwibul/40340
ซึ่งตอนแรก คิดว่าเป็นแค่ระดับยุงรำคาญ แต่ตอนนี้ กำลังเปลี่ยนมุมมองว่าปัญหานี้ร้ายแรงกว่าที่คิด
การบล๊อค IP ไม่มีความหมายครับ เดี๋ยวนี้มันปลอม IP ทุกครั้งที่ post เปลี่ยนไปเรื่อย ๆ กลายเป็นคนบริสุทธิ์โดนลูกหลงซะเปล่า ๆ
ทำไมระบบที่มีตัวกรองสามารถเจาะทะลุ ?
กรณีที่ 1. จ้างคนให้ post เป็นล่ำเป็นสัน (อย่างที่ อ.ธวัชชัยเคยเล่าไว้ใน link กระทู้ข้างต้น)
แสดงว่า ระบบตัวเลขอาระบิคและอักษรอังกฤษไม่ปลอดภัยอีกต่อไป เพราะคนทั่วโลกรู้
กรณีที่ 2. ใช้ระบบ bot สมรรถนะสูง
ผมมองว่าเป็นไปได้ เพราะระบบที่ใช้ ๆ กันอยู่ เป็นแบบ 'ถี่ลอดตาช้าง ห่างลอดตาเล็น' นั่นคือ เจอกระบวนท่าพิศดารรับมือได้ทุกแบบ แต่ถ้าโดนแทงตรง ๆ จะตาย ถ้ามันใช้วิธีโจมตีแบบลุยทื่อ ๆ เดาตัวเลขยิงเข้ามาเรื่อย ๆ ต่อให้ระบบของเราเปลี่ยนหมุนตัวเลขหนีไปยังไงก็ตาม ขอเพียงมันยิงมา 7 เท่าของ combinations ที่เป็นไปได้ทั้งหมด โอกาสที่มันจะผ่านไม่ได้จะน้อยกว่า 1 ในพันล้าน (แปลว่า ในทางปฎิบัติ ผ่านชัวร์) ที่ว่ามานี้เป็นการอนุมานทางสถิติ
ดังนั้น ถ้าใช้ตัวเลข 5 หลัก จะทำนายว่ามันลองเพียงไม่เกิน 7 หมื่นครั้งก็ผ่านชัวร์ (ค่าเฉลี่ยอยู่ที่ 1 หมื่นครั้ง)
ถ้าใช้อักขระผสม เช่น A-Z, a-z, 0-9 ทำให้แต่ละหลักเป็นไปได้ราว 70 แบบ ก็จะทำให้การโจมตียากขึ้น สำหรับ 5 หลัก ต้องยิง 7 พันล้านครั้ง ถึงจะผ่าน ซึ่งทำแล้วจะหลงเข้ามายากขึ้น แต่ระบบแบบนี้มีสิทธิทำให้เกิด denial of service ได้ ซึ่งถ้ามันใช้ คงไม่หว่านแห เพราะถ้ามันทำหว่านแห มันจะเป็นเหมือนเชื้ออีโบล่า คือเป็นปรสิตที่อันตรายเกินไปจนไม่มีพาหะเหลือแบกมันไปแพร่กระจาย ถ้ามันระดมยิงแบบนั้น เป้าหมายมันจะตายหมด และมันก็จะไม่ได้ประโยชน์ ผมเชื่อว่ามันคงใช้วิธีให้คนชี้เป้าและเจาะจงโจมตี
ทางออกมีอะไรบ้าง
โดยอาจใฃ้สองระบบควบคู่ ทั้งภาพและข้อความ
ขอขยายความเรื่องข้อ 2
..ที่ทำให้การ post ที่มี link density สูง หรือมีคำศัพท์ต้องห้าม (ซึ่งเข้าข่ายว่าอาจเป็นลักษณะจำเพาะของขยะ)ไม่ว่าเข้าไปในส่วนใดของระบบ ไม่ว่าจะอยู่ session ต่างกันหรือไม่ จะต้องเข้าคิวรอแบบมี priority ต่ำสุดเสมอ และมีการหน่วงเวลาแบบทวีคูณ เพื่อให้ต้นทุนเวลาในการโจมตีแบบทื่อ ๆ แพงขึ้นมหาศาล
ผมเคยพบว่า มีการระดมแปะสแปมเข้ามาเป็นชุด ๆ ติด ๆ กัน โดยเปลี่ยน IP ไปเรื่อย ๆ (มัน spoof IP เป็นว่าเล่น) และยิงไปยังกระทู้ (เปลี่ยนกระทู้ไปเรื่อย ๆ ด้วย) ซึ่งผมจะไม่แปลกใจถ้ามันมีการเปลี่ยนข้อความสแปมไปเรื่อย ๆ
แต่ไม่ว่ามันเปลี่ยนอย่างไร ลักษณะเฉพาะตัวของมันยังเหมือนเดิม คือมี link density สูง (จำนวนวลีที่เกี่ยวข้องกับการ link เช่น href, http:, url ฯลฯ มีมากผิดปรกติ) ซึ่งเป็นเหมือน 'ลายนิ้วมือ'ของนักบุกรุก
ดังนั้น ถ้า server ใดที่เอาจริงเอาจังเรื่องนี้ ควรมีระบบเตือนให้ตื่นตัวทุกครั้งที่เห็นลายนิ้วมือผู้บุกรุกชัด และอาจต้องสร้างระบบคิวแบบขนาน คือถ้าไม่มีลายนิ้วมือ ก็ผ่านช่องทางปรกติ ถ้ามีลายนิ้วมือก็ผ่านไปอีกแถวของคิว (เป็นคิวสำหรับพวกผิดปรกติ) โดยมีระบบหน่วงเวลาสำหรับคิวผู้ไม่ปรกติ (ทำให้เป็น circular queue ด้วยจะยิ่งดี) โดยไม่ต้องสนใจเรื่อง session เพราะมันคงเก่งถึงขั้นปลอมได้เป็นว่าเล่นอยู่แล้ว ดังนั้น มันอยากยิงสุ่มแบบทื่อ ๆ ก็ปล่อยให้ยิงมา หลุดไปได้บ้างก็หลุดไป แต่ระบบหน่วงเวลาจะทำให้มันทำอะไรไม่ได้มาก นอกจากการรอ
ขอเสริมในส่วนที่คุณหมอวัลลภแนะไว้
เลข IP น่าจะซ่อนไว้ ให้แสดงเฉพาะ webmaster ไว้ตรวจสอบ
เห็นด้วยมากครับ
เพราะเคยพบว่ามันมีการ 'ชี้เป้า' ด้วยการ post ข้อความที่เป็น null value เข้ามา และแทบไม่ทิ้งร่องรอยอื่นเลย ทิ้งช่วงไปสักพัก จะมีการระดมยิงเข้ามาเป็นชุดอย่างแม่นยำในกระทู้นั้น แสดงว่ามันเอา IP ปลอมของมันนั่นแหละ เป็นระบบชี้เป้า ! ดังนั้น หากการแสดงผลไม่มี IP ไม่ปรากฎ การชี้เป้าก็ควรล้มเหลว
(นี่เป็นการอนุมานจากร่องรอยที่มันเคยทิ้งไว้นะครับ ไม่เคยลองทำจริง แต่รู้ว่าถ้าขยันลบมือให้บ่อยในกระทู้ที่เป็น blank ก็ช่วยให้ความหนาแน่นของพวกนี้น้อยลงไปมาก)
ขอเสนอเพิ่มเติมนิดหน่อยครับ สำหรับระบบรหัสตัวเลข คือคนสายตายาว (อย่างผม) มองไม่ชัดเท่าไหร่ หลังจากที่ อ.ธวัชชัยกรุณาปรับขนาด font ก็ดีขึ้น แต่ตัวอักขระที่ยังทำให้ตาลายก็อย่างเช่นเลข 1 กับตัว l, เลข 0 กับตัว o เล็ก ถ้าตัดบางตัวออกไปน่าจะลดความสับสนได้สำหรับผู้มีปัญหาทางสายตา
พวกนี้เป็นพวกรับจ้างจากจีนนะครับ ผมเคยโดนเหมือนกัน ได้แต่ลบมือก็พอจะช่วยได้นะครับ พูดถึงเรื่องสืบๆ
ถ้าไม่ใช่พวก คอมพิวเตอร์ต้องที่นี่เลยครับ http://www.นักสืบเอกชน.net/