ดร. ครรชต มาลยวงศ
ประทป ยงเขต
อ�าพล สงวนศรธรรม
จระ หองส�าเรง
คมสน เหลาศลปเจรญ
วโรจน อศวรงส
บณฑต คปพทยานนท
กตตพงศ ตนสวรรณ
กตตพล มลพนจ [email protected]
ชยรตน คมโภคา
จระเดช โชตชวง
จราภรณ กตตจนทรขจร [email protected]
ศรพรรณ ตนตนรนาท [email protected]
วลยพร มงคลแพทย [email protected]
พนธทพย กชจรสศร [email protected]
เยาวมาลย เจรญผล [email protected]
ธดา เลศสรพบล [email protected]
เพญบญ โทร. 0-2615-8625
บรษท พพ เพลท แอนด ฟลม จ�ากด
โทร. 0-2274-7988-91
โรงพมพ พมพด โทร. 0-2401-9401
ยอดขายอนดบ 1
สำารวจโดย ซเอดบกเซนเตอร ขอมลอพเดตสด วดจาก “ยอดขายจรง” ไมใช “โพลส”
บรษท ดแอสไพเรอรสกรป จ�ำกด
431/6 อาคาร สาธร เพล ส ชน 2 ถนนกรงธนบร
แขวงคลอง ตนไทร เขต คลองสาน กรง เทพ ฯ 10600
โทรศพท 0-2440-0330 โทรสาร 0-2440-0338
กำรสงบทควำมมำลงตพมพในนตยสำร
นตยสาร PC Today ยนดพจารณาบทความจากบคคล ภายนอก โดย กรณาสงมาทกองบรรณาธการ นตยสาร PC Today ตาม ทอยของ บรษทขางตน ส�าหรบตนฉบบทส งมา ขอใหอย ในรปแบบของเทกซไฟลหรอจะเปนไมโครซอฟทเวรดกได พรอมภาพ ประกอบขอเขยนเหลานน โดยทางบรษทจะพจารณาคาเรองเพอตอบแทนตามมาตรฐานบรษทฯ ตอไป อนง เนองจากบรษทฯ ไมรบบทความทเปนการละเมดลขสทธของผใด ดงนน ขอเขยนดงกลาวตองไมเปนการละเมดลขสทธผอนผใด และหากเปนการรวบรวม และเรยบเรยงขนใหมจากตนฉบบอนมลขสทธจากแหลงไหน โปรดระบทมาโดยละเอยด และสงส�าเนาแนบมาดวยหมายเหต : ทรรศนะและขอคดทปรากฏอยในบทความตางๆ ของนตยสาร PC Today เปนความคดเหนสวนตวของผเขยน แตละทาน ไมจ�าเปนตองเปนความคดเหนของบรษทฯ เสมอไป และขอเขยนทนกเขยนภายนอกสงมา หากมไดปฏบตตาม ขอก�าหนดขางตน และมการละเมดลขสทธเกดขน ทางบรษทฯจะไมขอรบผดชอบแตประการใด
สอบถำมขอสงสยในเรองบทควำม
ในกรณทตองการถามปญหาทางเทคโนโลย เรองเทคนคใน การใชงานโปรแกรมตางๆ และเรองบทความ เนองจากทาง บรษทฯ ไมสะดวกทจะใหบคคลภายนอกตดตอกองบก. และ นกเขยนนอกโดยตรงตลอดเวลา ดงนน กรณาสงจดหมาย ค�าถาม ตดตอมาไดทกองบรรณาธการ นตยสาร PC Today ตามทอย
กำรสมครสมำชกและกำรเปลยนทอย
กรณาหาแบบฟอร มสมครสมาชกและอ านรายละเอยดไดในทายเลม ส�าหรบผสงสยเพมเตมกรณาโทรศพทสอบถามได ทฝายสมาชก โทร. 0-2439-7644 ตอ 212, 224, 777
กำรขออนญำตและพมพซ�ำ
บทความทตพมพในนตยสาร PC Today สงวนสทธตาม พระราชบญญตลขสทธ พ.ศ. 2537 กรณทตองการน�าสวนหนง สวนใดของนตยสารไปใชโปรดตดตอไดท บรรณาธการบรหาร นตยสาร PC Today ตามทอย หรออเมล และเบอรโทรศพทขางตน
กำรแจงขำวผลตภณฑใหม และบรกำรอนๆ
บรษทใดทตองการประชาสมพนธผลตภณฑของตน ใหสงรายละเอยดพรอมรปถายผลตภณฑมาไดทกองบรรณาธการ นตยสาร PC Today อนง ทางกองบรรณาธการขอสงวนสทธในการพจารณาเลอกตพมพให ตามเหมาะสม
กำรรบรควำมเปนเจำของลขสทธ
และเครองหมำยกำรคำ
เนองจากนตยสาร PC Today ไมสามารถประกาศความเปน เจาของลขสทธและเครองหมายการคาทมอยมากใหครบถ วน สมบรณ อกทงความนยมในลขสทธ และเครองหมายการคา ดงกลาวมกเปลยนแปลงตลอดเวลา ดงนน ทางกองบรรณาธการจะประกาศ ความเปนเจาของลขสทธเฉพาะทมการกลาวถงในบทความ ประกอบลงในบทความนนๆ เลย และถาสทธ ดงกลาวเปนทรบรกนโดยทวไปแลว ทางนตยสารขอสงวนสทธ ทจะไมกลาวซ�า ทงนเพอประโยชนในการเขยนบทความใหกระชบนาอาน
www .pc t oda y t h a i l a nd . c om
f a c e b oo k . c om / p c t o d a y
tw i t t e r . c om / p c t o d a y
p c t o d a y@a sp i r e r s . c om
STAFFทปรกษากตตมศกด :
ทปรกษานตยสาร :
บรรณาธการผพมพผโฆษณา :
Editorial Staff
บรรณาธการบรหาร :
บรรณาธการเทคนค :
หวหนากองบรรณาธการ :
ผสอขาวอาวโส :
บรรณาธการฝายศลป :
Sales Staff
Senior Account Executive :
Back Office
ฝายจดจ�าหนาย :
สมาชกสมพนธ :
จดจ�าหนายโดย :
รานแยกส :
พมพท :
Vol. 10 | ISSUE 134 | 2014
CONTENTS
28
58
22
Smart Story 28
ทำ�สม�รทโฟนใหเปนรโมทอจฉรยะ
School 3.0 8
แนะนำ�แอพดๆ สำ�หรบเดกอนบ�ล
Geek Programming13
รจกกบชองโหว Heartbleed รรว
ททำ�ใหตองรบ เปลยนรหสผ�นโดยดวน
Mac Mania 22
เทคนคตรวจสอบก�รใชพลงง�น
บน OSX
Smart Action 40
•ตดตอวดโอดวย Photoshop CC
•ลองใช Firefox Nighty กอนใคร
ฟเจอรใหมเพยบ
WIN7 Hot Tip 84
•บงคบให IE ทำ�ง�นในโหมด Full Restricted
•ยกเลกฟเจอร Aeropeek
•ยกเลกฟเจอรธมเนลสของ Firefox บน Taskbar
•ปองกนก�รแก Homepage ใน IE
• เซตไทมโซนจ�ก Command Prompt
•กำ�หนด Homepage แบบต�ยตว
•ปด-เปดโปสเซส Explorer แบบทนใจ
• เส�ะห�วอลลเปเปอรทซอนอย
•ปดคำ�เตอน Hide Protected operating
system files
• เปดใช Command Prompt ผ�น Windows
Task Manager
40
138
127
59
106
124
120
DIY 75
ประกอบเครองพซแบบ IP-PBX
ตอนท 4 : ทำ�เมน IVR สำ�หรบก�รโอนส�ย
Inside Windows 8 96
10 ทปง�ยๆ ใหก�รใชง�น Window 8.1
ฟนกว�เดม
Photo Lover 112
สร�งภ�พแบบแนวๆ ดวยตวหนงสอ
Tech Inside 127
แกะกลอง Asus Chromebox มนพซพลง
กเกล
Try Before Buy 124
•Astro A40+MixAmp Pro
•Bitdefender Total Security
•WD My Cloud 3 TB
Street Product 120
96
8475
112
Vol. 10 | ISSUE 134 | 2014
CONTENTS
w w w . p c t o d a y t h a i l a n d . c o m 7
EDITOR TALK
สมารทโฟน
ท�าอะไรไดมากกวาทคด
โดย กตตพล มลพนจ
EDITOR TALK
อปกรณทเรยกวาสมารทโฟนน อาจกลาวไดวาเปลยนการใชชวตของเราไปอยางสนเชง ถดจาก
การมโทรศพทเคลอนทและอนเทอรเนต ยคของสมารทโฟนคอยคทอะไรๆ กเปนไปได ดวยพลง
ประมวลผล แอพพลเคชนทชาญฉลาด การเชอมตอทรวดเรวท�าใหสมารทโฟนไดกลายเปนสวนหนง
ของชวตประจ�าวนทขาดไมได หลายคนตนเชามาท�างาน ลมโนตบกกยงเฉยๆ แตลมสมารทโฟนน
ตองรบกลบบานไปเอาเลยทเดยว
PCToday เลมนแนะน�าอกหนงความสามารถของสมารทโฟนทหลายคนอาจไมทราบมากอน
นนคอการท�างานในรปแบบของรโมทคอนโทรล ควบคมเครองพซ/โนตบกผานไวไฟ อาท สงเลอน
สไลดเพาเวอรพอยนต, สงเปด-ปดและความดงของเสยงใน VLC หรอ KM Player, พมพหรอเลอน
เมาสโดยไมตองนงหนาคอมพ, รวมถงถาคณมสมารทโฟนทมคณสมบต IR Blast กยงใชสมารทโฟน
ท�าเปนรโมททวและเครองปรบอากาศไดอกดวย!
สมารทโฟนของทานยงคงมอกหลายความสามารถทรอใหเราคนพบ ถามอะไรเจงๆ อก PCToday
จะทยอยมาน�าเสนอใหคณผอาน ไมพลาดอยางแนนอนครบ
”“
8 PC Today VOL. 10 | ISSUE 134
โดย @eka_x (www.aofapp.com)
SCHOOL 3.0
iPad นนเปนอปกรณทเหมาะส�าหรบทกเพศทกวยนะครบ (ยกเวนเดกทารก ทยงไมควรใหใช
แทบเลตนะ มนเสยสายตา) เพราะใชงานงาย ควบคมงาย วนนผมจงขอแนะน�าแอพดๆ ส�าหรบนองๆ
วยอนบาล ใหไดฝกทกษะกนสนกๆ แถมยงไดใชจนตนาการคดเลาเรองอก ทส�าคญหนงในแอพของ
วนนยงเปนแอพชนเยยมฝมอคนไทยดวยครบ
แนะนำ�แอพดๆ
สำ�หรบเดกอนบ�ล
SCHOOL 3.0
w w w . p c t o d a y t h a i l a n d . c o m 9
หลงจากทหางหายจากการแนะน�าแอพการเรยนการสอนฝมอคนไทยมานาน เพราะหาไมคอยเจอ
555 วนนกไดกลบมาแนะน�าแอพไทยๆ กนอกครงอยาง “ถามคร” ครบ
ถามครเปนแอพทออกแบบมาส�าหรบเดกอนบาล ใหท�าแบบฝกหดเสรมทกษะไดสนกสนาน
มากขน แทนทจะตองเบอกบการท�าบนกระดาษเหมอนเดม โดยรองรบการแสดงผล 3 ภาษาคอ
ไทย, องกฤษ และจน ซงจะมเสยงของภาษานนๆ สอดแทรกในระหวางทเลนเกมอกดวย โดยตอนนม
แบบฝกหดใน 2 เรองหลกๆ คอ
แบบฝกหดสรางเสรม IQ ทม 10 แบบทดสอบคอ
• ใหโดมโนมา 3 ตว แลวใหเลอกโดมโนตวท 4 ทสมพนธกบ 3 ตวกอนหนา
• ใหกลองสเหลยมเรยงหลายๆ กลองในรปแบบ 3 มต แลวลองนบดวามกกลอง
• ใหภาพทสมบรณมา แลวใหเลอกเลอกวาอะไรคอสวนประกอบของภาพนน
• เลอกภาพทเหมอนกบตนฉบบ
• เลอกภาพทตางจากตนฉบบ
• เลอกภาพทมขนาดเทากบตนฉบบ
• จบครปภาพทใหมาใหตรงกบเงา
• เลอกภาพทหมนในดานเดยวกบภาพตนฉบบ
Taamkru
ร�ค�: ฟร เหม�ะกบ: เดกอ�ย 4 ขวบขนไป
ฝกทกษะ: ก�รคดวเคร�ะห ไหวพรบ ก�รพจ�รณ�รปภ�พ ก�รคำ�นวณ
10 PC Today VOL. 10 | ISSUE 134
SCHOOL 3.0
• จากภาพตงตน ใหเลอกภาพทจะเกดขนตอจากเหตการณนน
• จากภาพตงตน ใหเลอกภาพทเกดขนกอนเหตการณนน
และแบบฝกหดสรางเสรมทกษะทางคณตศาสตร กมอก 5 แบบทดสอบ
• บอกเวลาจากนาฬกาแบบเขมใหถกตอง
• มล�าดบเลขมา 4 ตว แลวใหเดกๆ บอกตวเลขทหายไป
• เลอกภาพทมจ�านวนเทากบภาพตวอยาง
• บวกเลข แลวเลอกภาพทมจ�านวนเทากบเลขทค�านวณได
• ลบเลขแลวเลอกภาพทมจ�านวนถกตอง
ซงแอพถามครนออกแบบโดยผเชยวชาญดานการเรยนรส�าหรบเดกชาวไทย จงท�าใหแบบฝกหด
ทง 15 ชดนแตกตางจากแอพส�าหรบเดกตวอนๆ นะครบ เพราะมนไมใชการถามตอบตรงๆ แตจะ
เปนการใหเลอกรปภาพ หรอใหคดวเคราะหกอนตอบ ซงค�าถามหลายชดอยางเลอกภาพทหมนดาน
เดยวกบตนฉบบ ผใหญเองกใชเวลาคดภาพตามในหวพอสมควรเลยทเดยว หลงจากตอบค�าถาม
ในแตละหวขอเรยบรอยกจะมการสรปคะแนนใหเดกไดด ถาขอไหนตอบผด หรอตอบไมทนเวลากอด
คะแนนไป ซงจะมสวน Leaderboard ทลอกใหผปกครองด (โดยการถามตวเลขเปนค�าภาษาองกฤษ
แลวใหปอนเปนตวเลขทง 4 ตวใหถก จงจะเขาสวนนได) เพอไมใหเดกเกดอาการนอยใจเมอรวา
ตวเองท�าคะแนนไดนอยกวาคนอนๆ
ถงตอนน Taamkru จะยงมแบบฝกหดไมเยอะมาก แตกนาจะขยายไปยงเดกวยอนๆ ในอนาคต
ดวย แตถาผปกครองคนไหนอยากไดเทคนคในการเลยงลก ขาวการศกษา บทความวชาการ
และแบบทดสอบส�าหรบเดกๆ อกกสามารถดขอมลเพมเตมไดท www.taamkru.com เลยครบ
SCHOOL 3.0
w w w . p c t o d a y t h a i l a n d . c o m 11
Tiny Firefighters
ร�ค�: 1.99 เหรยญ เหม�ะกบ: เดกอ�ย 4 ขวบขนไป
ฝกทกษะ: เสรมสร�งจนตน�ก�ร ฝกคว�มช�งสงเกต ก�รตงคำ�ถ�ม
แอพตวตอมานกยงเปนเกมทออกแบบมาส�าหรบเดกเลกครบ แตกสนกสนานจนผใหญแอบแยง
เดกเลนเลยทเดยว
เมอเปดเกม Tiny Firefighters ขนมาจะมพนทใหเลอกเลนอย 2 ฉาก คอเรองราวของนกดบเพลง
กบความวนวายในเมองของต�ารวจ ซงเมอเลอกเลนฉากไหนแลว Tiny Firefighters กไมอธบายอะไร
เยอะ เปดโอกาสใหเดกๆ ทอยากรอยากเหนอยแลวไดกดไปทตวละครในฉากมากมายแลวดวา
จะเกดอะไรขน ซงดวยภาพในลกษณะสไมนารก เพลงประกอบทลนหกท�าใหเลนเพลนไดไมยากครบ
12 PC Today VOL. 10 | ISSUE 134
SCHOOL 3.0
ภายในหนงฉากนนมเรองราวมากมายใหเดกๆ ไดตดตามและใชจนตนาการรวมโดยไมตองใหเกม
คอยบรรยายวาเกดอะไรขน อยางในฉากของนกดบเพลงจะมววอย ซงถาเดกไปแตะทววเขา มนกจะ
เดนมนๆ ตกน�าไป ล�าบากนกดบเพลงของเราทตองไปชวยยกววออกจากบงน�า หรอเมอแตะไปทบาน
สมาชกครอบครวในบานกจะเดนออกไปเทยว แตไมรวาท�าผดพลาดอะไรไวในบาน จนท�าใหไฟไหม
บาน (ลองถามเดกๆ ใหคดวามนนาจะเกดอะไรขน) นกดบเพลงจงรบขบรถมาดบไฟ
แลวในฉากของต�ารวจ เดกๆ จะไดเหนการคมกนคนดงใหขนรถลมซนออกจากฉาก รวมไปถง
การตามจบโจรขโมยกระเปา หรอชวยเหลอ Superman ในการปฏบตภารกจ ซงทง 2 ฉากของเกมน
มรายละเอยดซอนอยเยอะมากครบ กดดในภาพแลวจะเกดแอกชนแทบทกจด เชน แตะทไซเรนกดง
แตะทรถยนตกวง แตะทแมวกปนขนตนไม ใหทงเดกและผปกครองไดรวมกนคนหาความลบทม
อยในเกม พยายามหาจดทแตะแลวเคลอนไหวไดทงหมด แลวลองใหเดกจนตนาการเรองราวทเกดขน
ในฉากทงหมด แลวเลาใหผปกครองฟงครบ
Tiny Firefighters จงเปนเกมทเปดกวางใหผเลนไดตงค�าถามวาเกดอะไรขน ไดคดตอเตมเรองราว
ในสวนทขาดหายไป ไมแนนะหลงจากเลนเกมนแลว เราอาจจะไดพบนกเลาเรองตวนอยถอก�าเนดขน
ในบานกได
w w w . p c t o d a y t h a i l a n d . c o m 13
GEEK PROGRAMMINGโดย วศน สทธฉายา
GEEK PROGRAMMING
รจกกบชองโหว Heartbleed
รรวททำ�ใหตองรบ
เปลยนรหสผานโดยดวน
สวสดครบทานผอาน ในชวงสปดาหทผานมานคงไมมขาวไหนดงไปกวาขาวชองโหว Heartbleed
ทเพงคนพบและเผยแพรไปเมอชวงตนเดอนเมษายนทผานมา ชองโหวดงกลาวถอเปนชองโหว
ทมความรนแรงมากและสงผลกระทบตอผใชทวไปเปนจ�านวนมากขนาดวศวกรความปลอดภย
ทางคอมพวเตอรไดจดระดบความรายแรงของชองโหว Heartbleed อยในระดบ Grave เลยทเดยว
(มความรายแรงสงมาก เปนรองแคระดบ Critical เทานน)
Geek Programming ในเลมนเราจงน�าเสนอรายละเอยดของชองโหว Heartbleed วามนคออะไร
เปนชองโหวทพบในซอฟตแวรอะไร และมผลกระทบกบเราอยางไร ลองตดตามกนดครบ
14 PC Today VOL. 10 | ISSUE 134
โปรโตคอล SSL/TLS คออะไร
โปรโตคอล Transport Layer Security (TLS) คอโปรโตคอลทางดานวทยาการรหสลบ
(Cryptographic Protocol) ทใชในการเพมความปลอดภยใหกบการสอสารผานอนเทอรเนต
โดยปกตขอมลทถกสงทางอนเทอรเนตจะไมมการเขารหสแตอยางใด ท�าใหขอมลทถกดกระหวาง
ทางสามารถถกอานไดอยางงายดาย แตถาใชโปรโตคอล TLS ขอมลจะถกเขารหสกอนทจะสงไปยง
ปลายทาง ท�าใหผดกขอมลไมสามารถอานขอมลดงกลาวไดโดยงาย ซงอลกอรทมเขารหสท TLS
ใชนน มทงอลกอรทมแบบกญแจสวนตว และอลกอรทมแบบกญแจสาธารณะโปรโตคอล TLS
แบงออกเปน 2 เลเยอรคอ TLS Record Protocol และ TLS Handshake Protocol ซงสามารถเขยน
เปนแผนภาพรวมกบ Internet model ไดดงรปตอไปน
ร�ยละเอยดของโปรโตคอลทสำ�คญมดงตอไปน
• TLS Record Protocol ใชส�าหรบเขารหสขอมลของโปรโตคอลทอยชนสงกวา โดยจะท�าการ
แบงขอมลออกเปนสวนยอยหลายสวน จากนนจงบบอดขอมลใหเลกลง (สามารถเลอกไดวาจะบบอด
ขอมลหรอไม) และท�าการค�านวณคา MAC พรอมทงเขารหสขอมล เมอกระบวนการทงหมดเสรจสน
จงจะสงไปยงโปรโตคอลทอยชนลางเพอสงขอมลทเขารหสเรยบรอยแลวไปยงปลายทาง
• TLS Handshake Protocol ประกอบดวยโปรโตคอลยอย 3 ชนดคอ Handshake, Change
Cipher Spec, และ Alert ใชส�าหรบการตกลงกนระหวางตนทางกบปลายทางเกยวกบพารามเตอร
ส�าหรบรกษาความปลอดภยของขอมลโดยพารามเตอรดงกลาวจะถกใชใน TLS Record Protocol
w w w . p c t o d a y t h a i l a n d . c o m 15
GEEK PROGRAMMING
ส�าหรบโปรโตคอล Secure Sockets Layer (SSL) เปรยบเสมอนโปรโตคอลตนแบบทถกพฒนา
ตอเปน TLS ในภายหลง ในบางครงเราจะเขยน TLS/SSL เพราะโปรโตคอล TLS สามารถลดระดบ
การท�างานใหเปนโปรโตคอล SSL ไดเพอรองรบอปกรณทยงไมรองรบโปรโตคอล TLS
โปรโตคอล TLS มขอดคอ ผพฒนาโปรแกรมในชน Application layer ไมจ�าเปนตองพฒนา
ขนตอนวธการเขารหสดวยตนเอง แตโปรโตคอล TLS ตองการโปรโตคอลทมความนาเชอถอในชน
ทอยต�ากวา เชน โปรโตคอล TCP เปนตน อยางไรกตาม ในปจจบนมการพฒนาโปรแกรมในชน Application
layer ทตองการโปรโตคอลทไมมความนาเชอถออยาง UDP ชวยในการท�างาน ตวอยางเชน
เกมออนไลน เปนตน ท�าใหไมสามารถใช TLS ในการรกษาความปลอดภยของขอมลได ดงนนจงม
การพฒนาโปรโตคอลตวใหมโดยใช TLS เปนตนแบบซงกคอ Datagram Transport Layer Security
(DTLS) ส�าหรบรกษาความปลอดภยของขอมลทถกสงดวยโปรโตคอลทไมมความนาเชอถอ
OpenSSL คออะไร
OpenSSL เปนการน�าโปรโตคอล SSL/TLS มาสรางเปนซอฟตแวร และแจกจายใหใชโดยไมม
คาใชจายใดๆ ผใชสามารถดรายละเอยดของตวโปรแกรม และสามารถน�าไปพฒนาตอยอดได
OpenSSL มอยหลายรนโดยรนทใชในปจจบนคอ 1.0.1 ตวโปรแกรมหลกถกเขยนดวยภาษาซ
สรางขนโดยใช SSLeay เปนตวตนแบบ (พฒนาขนโดย Eric A. Young และ Tim J. Hudson)
อลกอรทมเขารหสท OpenSSL เตรยมไวส�าหรบน�าไปใชงานมดงตอไปน
• อลกอรทมเขารหสแบบสมมาตร: AES, Blowfish, Camellia, SEED, CAST-128, DES, IDEA,
RC2, RC4, RC5, Triple DES, GOST 28147-89
• อลกอรทมเขารหสแบบอสมมาตร: RSA, DSA, Diffie–Hellman key exchange, Elliptic
curve, GOST R 34.10-2001
• อลกอรทมแฮช: MD5, MD4, MD2, SHA-1, SHA-2, RIPEMD-160, MDC-2, GOST R 34.11-94
สวนเสรม Heartbeat (SSL/TLS Heartbeat Extension)
สวนเสรม Heartbeat (RFC 6520) มไวเพอตรวจสอบสถานะของคสนทนาทอยอกฝงหนงวาอยใน
สภาพพรอมสอสารหรอไม การท�างานของ Heartbeat เรมจากการสงแพกเกตไปยงเครองปลายทาง
เปนระยะๆ สม�าเสมอ ถาเครองทอยปลายทางไดรบแพกเกตดงกลาวจะท�าการสงแพกเกตตอบกลบ
มายงเครองตนทาง ท�าใหเครองตนทางทราบวาเครองปลายทางยงท�างานเปนปกต แตถามความ
ผดปกตเกดขน เชน เครองทอยปลายทางเสยหาย หรอชองทางสอสารเสยหายท�าใหเครองปลายทาง
16 PC Today VOL. 10 | ISSUE 134
GEEK PROGRAMMING
ไมไดรบแพกเกต เมอเวลาผานไประยะหนง เมอเครองตนทางไมไดรบการตอบกลบจากเครอง
ปลายทาง เครองตนทางจะทราบไดทนทวาเกดปญหาขน
โปรโตคอล Heartbeat จะมก�รสงแพกเกต 2 ประเภทดงตอไปน
1. HeartbeatRequest เปนขอความทตนทางสงไปยงปลายทาง โดยตนทางสามารถสงตอนไหน
กไดในชวงทมการเชอมตอกบปลายทางอย แตมขอแมคอ หามสง HeartbeatRequest ในชวงของ
การท�า Handshake และถา HeartbeatRequest เดมยงไมหมดอาย หามสง HeartbeatRequest
ซ�าเดดขาด
2. HeartbeatResponse เปนขอความทสงจากปลายทางไปยงตนทางเมอปลายทางไดรบ
HeartbeatRequest โดยขอความ HeartbeatResponse ทสงกลบไปยงตนทางตองม payload
ถกตองตามทตนทางตองการดวย มฉะนนตนทางจะสรปวาเกดปญหาขนระหวางการสอสาร
โครงสรางของแพกเกตทสงดวยโปรโตคอล Heartbeat จะอยในลกษณะดงตอไปน
(อางองจากเอกสาร RFC 6520)
struct {
HeartbeatMessageType type;
uint16 payload_length;
opaque payload[HeartbeatMessage.payload_length];
opaque padding[padding_length];
} HeartbeatMessage;
ความยาวของแพกเกตทงหมดจะตองไมเกน 214 ไบตหรอคา max_fragment_length
ตามทก�าหนดในเอกสาร RFC 6066 รายละเอยดของแตละฟลดมดงตอไปน
• type: ใชระบชนดของขอความวาเปน HeartbeatRequest หรอ HeartbeatResponse
• payload_length: ความยาวของฟลด payload
• payload: สวนทใชบรรจขอความตางๆ
• padding: ใชส�าหรบเตมเตมขอความโดยสมขอมลใสเขาไปเพอใหขอความโดยรวมมขนาดคงท
สวน padding จะถกตดทงไปเมอผรบไดรบขอความเรยบรอยแลว
w w w . p c t o d a y t h a i l a n d . c o m 17
GEEK PROGRAMMING
เมอฝงผรบไดแพกเกต HeartbeatRequst และไมมความผดปกตในระบบ ผรบจะสงแพกเกต
HeartbeatResponse กลบไปโดยคดลอกคาจากฟลด payload ทไดรบใสไปในแพกเกต
HeartbeatResponse ดวย
เมอผสงไดรบแพกเกต HeartbeatResponse กลบมาจากปลายทางจะท�าการตรวจฟลด payload
วาตรงกบ payload ทสงไปหรอไม ถาตรงกนแสดงวาไมมความผดพลาดเกดขนและปลายทาง
ยงท�างานเปนปกต
ก�รทำ�ง�นของโปรโตคอล Heartbeat
ส�ม�รถสรปเปนแผนภ�พดงน
ชองโหว Heartbleed
ชองโหว Heartbleed (เปนการตงชอลอเลยนสวนเสรม Heartbeat ของโปรโตคอล SSL/TLS)
ถกคนพบโดย Neel Mehta ซงเปนหนงในทมวศวกรความปลอดภยทางคอมพวเตอรของ Google
ชองโหวนไดถกลงทะเบยนในระบบ Common Vulnerabilities and Exposures ดวยหมายเลข
CVE-2014-0160
Heartbleed เกดจากความผดพลาดในการตรวจสอบความยาวของขอมลในสวนเสรม Heartbeat
ท�าใหแพกเกต HeartbeatResponse มขอมลในฟลด payload มากกวาปกต และขอมลทสงเกนไป
18 PC Today VOL. 10 | ISSUE 134
GEEK PROGRAMMING
นเองทเปนตนเหตของการรวไหลของรหสผาน รวมทงกญแจส�าหรบการเขารหสของโปรโตคอล SSL/TLS
การโจมตเรมจากผโจมตสรางแพกเกต HeartbeatRequest ขนโดยมสวน payload สน
แตก�าหนดให payload_length มความยาวมากกวา payload ทผโจมตสรางขน ตวอยางขอความ
HeartbeatRequst ทผโจมตสงแสดงดงรปตอไปน
จากรปจะเหนวาฟลด payload มความยาว 3 ตวอกษร แตฟลด payload_length กลบระบวา
สวน payload มความยาวถง 500 ตวอกษร
เมอเครองเปาหมายไดรบแพกเกต HeartbeatRequest ดงกลาว จะสรางแพกเกต Heartbeat
Response ทมฟลด payload เปน “dog” และตอดวยขอความอะไรกตามทอยในหนวยความจ�าใน
ต�าแหนงทตอเนองจากทเกบ payload ไวอก 497 ตวอกษร ตวอยางขอความ HeartbeatResponse
ทผรบสรางและสงกลบไปยงผโจมตแสดงดงรปตอไปน
จะเหนวาในสวน payload ทเนนดวยสแดง เปนขอมลใดๆ ทอยในหนวยความจ�าของเครอง
ปลายทางทก�าลงท�างานอย ซงขอมลในหนวยความจ�าทอยในต�าแหนงดงกลาวอาจเปนกญแจส�าหรบ
ถอดรหสหรอรหสผานของผใชรายอนกเปนได เมอผโจมตรกญแจส�าหรบถอดรหส ผโจมตสามารถ
น�ากญแจดงกลาวไปถอดรหสขอความใดๆ กไดทผใชรายอนสงไปยงเครองปลายทาง
w w w . p c t o d a y t h a i l a n d . c o m 19
GEEK PROGRAMMING
ชองโหว Heartbleed ท�าใหผโจมตสามารถอานขอมลทอยในหนวยความจ�าของเครองปลายทาง
ทใชซอฟตแวร OpenSSL ไดครงละไมเกน 64 กโลไบต เนองจาก payload_length เปนตวแปรขนาด
16 บต ดงนนจงระบขนาดของ payload ไดไมเกน 65,535 ไบต ซงขอมลทผโจมตไดรบอาจจะไมใช
กญแจส�าหรบถอดรหสกเปนได แตผโจมตสามารถโจมตเครองปลายทางดวยชองโหว Heartbleed
ซ�าหลายๆ ครงเพอใหไดขอมลทเปนประโยชน
ชองโหว Heartbleed ส�ม�รถสรปไดเปนแผนภ�พไดดงน
ผทสนใจรายละเอยดของสครปตโปรแกรมส�าหรบโจมตชองโหว Heartbleed สามารถเขาไป
ศกษาไดท http://www.exploit-db.com/exploits/32745/ สครปตดงกลาวเปนภาษาไพธอนเขยนขน
โดย Jared Stafford มขนตอนการท�างานทงายมากโดยรบขอมลเปนเวบไซตทเปนเปาหมาย
และหมายเลขพอรต จากนนจงท�าการเปดซอคเกตแบบ SOCK_STREAM และสงแพกเกต hello
เพอเปดการตดตอ เมอเปาหมายตอบกลบมาแลวจงสงแพกเกต HeartbeatRequest ทมปญหาไป
และรอรบขอมล
ผลกระทบทเกดขนจ�กชองโหว Heartbleed
ซอฟตแวร OpenSSL รน 1.0.1, 1.0.1a, 1.0.1b, 1.0.1c, 1.0.1d, 1.0.1e,และ 1.0.1f ไดรบผลกระทบ
จากชองโหวนโดยตรง ท�าใหระบบทใชงาน OpenSSL รนดงกลาวไดรบผลกระทบไปดวย ซง Open
SSL รนทไดรบผลกระทบมการเผยแพรและใชงานมาตงแตป 2012 จงมความเปนไปไดทขอมลของ
ผใชงานจะรวไหลออกมาตงแตป 2012 แตยงไมมหลกฐานยนยนวาเคยมผโจมตใชประโยชนจาก
ชองโหว Heartbleed ท�าใหไมรจ�านวนทแนชดของผใชทไดรบผลกระทบ และจ�านวนระบบทถกเจาะ
อยางไรกตามชองโหวดงกลาวถกแกไขเรยบรอยแลวและน�าออกเผยแพรใน OpenSSL รน 1.0.1g
20 PC Today VOL. 10 | ISSUE 134
GEEK PROGRAMMING
นอกจากนยงมระบบปฏบตการทไดรบผลกระทบจากชองโหว Heartbleed ดวยเชนกน
ซงมรายชอและรนดงตอไปน
• Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
• Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
• CentOS 6.5, OpenSSL 1.0.1e-15
• Fedora 18, OpenSSL 1.0.1e-4
• OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
• FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
• NetBSD 5.0.2 (OpenSSL 1.0.1e)
• OpenSUSE 12.2 (OpenSSL 1.0.1c)
วธปองกนชองโหว Heartbleed
ผดแลระบบตองตรวจสอบวาระบบของตนเองใช OpenSSL รนทไดรบผลกระทบจากชองโหว
Heartbleed หรอไม และท�าการอพเดตแพทชเพออดชองโหวดงกลาว และตองสรางกญแจพรอมทง
ขอ SSL Certificate ใหมทงหมด เนองจากกญแจตวเดมอาจจะถกขโมยไปเรยบรอยแลว
ทางดานผใชงานเองกตองเปลยนรหสผานทใชงานบนระบบทไดรบผลกระทบเพราะเราไมมทาง
ทราบไดเลยวารหสผานของเราถกขโมยไปแลวหรอยง นอกจากนผใชงานสามารถตรวจสอบไดวา
เวบไซตไหนเสยงตอการถกโจมตดวยชองโหว Heartbleed ไดทางเวบไซต https://lastpass.com/
heartbleed/
w w w . p c t o d a y t h a i l a n d . c o m 21
GEEK PROGRAMMING
สดทายน ขอเตอนทานผอานทกทานใหรบเปลยนรหสผานใหเรยบรอย และขอฝากการตน
สดเจบปวดจาก xkcd.com เอาไว พบกนใหมเดอนหนา สวสดครบ
ทม�
1. http://heartbleed.com/
2. http://tools.ietf.org/html/
rfc6520
3. http://tools.ietf.org/html/
rfc6066
4. https://lastpass.com/
heartbleed/
5. http://www.exploit-db.com/
exploits/32745/
6. http://xkcd.com/1354/