PQC อาจจะมาถึงเร็วกว่าที่คิด

จีนทำลายการเข้ารหัส RSA ด้วยคอมพิวเตอร์ควอนตัม สัญญาณเตือนใหม่สำหรับความปลอดภัยข้อมูลโลก

การพัฒนาเทคโนโลยีควอนตัมในยุคปัจจุบันได้ก้าวข้ามจุดเปลี่ยนสำคัญ เมื่อทีมนักวิจัยจากประเทศจีนสามารถทำลายระบบเข้ารหัส RSA ด้วยคอมพิวเตอร์ควอนตัมได้สำเร็จ ซึ่งถือเป็นเหตุการณ์ที่สร้างความกังวลให้กับชุมชนความปลอดภัยไซเบอร์ทั่วโลก

ความก้าวหน้าที่น่าตกใจ

หากคุณเข้าใช้บัญชีธนาคารออนไลน์ในเช้าวันนี้ ระบบรักษาความปลอดภัยอาจดูเหมือนยังคงแข็งแกร่ง แต่ความจริงแล้วโลกเทคโนโลยีกำลังเปลี่ยนแปลงอย่างรวดเร็ว ทีมนักวิจัยจากจีนได้แสดงให้เห็นว่าคณิตศาสตร์ที่เป็นรากฐานของระบบเข้ารหัส RSA กำลังเริ่มยอมจำนนต่อพลังของเทคโนโลยีควอนตัม

นักวิจัยจากมหาวิทยาลัยเซี่ยงไฮ้ นำโดยศาสตราจารย์ วัง เฉา (Wang Chao) ได้ใช้เครื่องประมวลผลแบบควอนตัม แอนนีลลิง (Quantum Annealing Processor) ที่ผลิตโดยบริษัท D-Wave Systems ในการทำลายระบบเข้ารหัส RSA ขนาด 22 บิตได้สำเร็จ ซึ่งถือเป็นความสำเร็จที่เกินกว่าความพยายามในอดีตที่หยุดอยู่ที่ 19 บิต

ระบบเข้ารหัส RSA: ป้อมปราการดิจิทัลที่เริ่มแตกร้าว

ระบบเข้ารหัส RSA ได้เปิดตัวครั้งแรกในปี 1977 และได้รับการยกย่องว่าเป็นระบบรักษาความปลอดภัยที่เชื่อมโยงกับความยากลำบากในการแยกตัวประกอบของจำนวนเซมิไพรม์ขนาดใหญ่ออกเป็นจำนวนเฉพาะสองตัว ความซับซ้อนทางคณิตศาสตร์นี้ทำให้ RSA กลายเป็นหนึ่งในระบบเข้ารหัสที่ใช้กันอย่างแพร่หลายที่สุดในโลก

คอมพิวเตอร์แบบดั้งเดิมยังคงต้องใช้เวลาแบบซับเอกซ์โพเนนเชียลในการทำลายคีย์ขนาด 2048 บิตที่ใช้ในปัจจุบัน คีย์ที่ใหญ่ที่สุดที่เคยถูกทำลายด้วยวิธีการแบบดั้งเดิมมีขนาดเพียง 829 บิต (RSA-250) ซึ่งใช้เวลาหลายสัปดาห์บนซูเปอร์คอมพิวเตอร์

วิธีการใหม่ที่เปลี่ยนเกม

“การใช้ระบบ D-Wave Advantage เราสามารถแยกตัวประกอบจำนวนเต็ม RSA 22 บิตได้สำเร็จ ซึ่งแสดงให้เห็นถึงศักยภาพของเครื่องจักรควอนตัมในการจัดการกับปัญหาทางคริปโตกราฟี” นักวิจัยกล่าวในรายงานการศึกษา

ทีมวิจัยได้พัฒนาแนวทางใหม่โดยการแปลงปัญหาการแยกตัวประกอบให้เป็นปัญหา Quadratic Unconstrained Binary Optimization ซึ่งระบบ D-Wave Advantage สามารถแก้ไขได้โดยให้คิวบิตผ่านอุโมงค์ผ่านกำแพงพลังงานเพื่อหาสถานะพลังงานต่ำสุด

สิ่งที่น่าสนใจยิ่งไปกว่านั้นคือ พวกเขายังใช้วิธีการเดียวกันในการโจมตีระบบเข้ารหัสประเภท Substitution-Permutation Network (SPN) เช่น Present และ Rectangle ซึ่งเป็น “ครั้งแรกที่คอมพิวเตอร์ควอนตัมจริงได้ก่อให้เกิดภัยคุกคามที่สำคัญต่ออัลกอริทึมโครงสร้าง SPN หลายตัวที่ใช้งานจริงในปัจจุบัน”

ข้อจำกัดและศักยภาพ

แม้ว่าคีย์ขนาด 22 บิตจะเล็กมากเมื่อเทียบกับ RSA ระดับการใช้งานจริง แต่ความสำเร็จครั้งนี้มีความหมายสำคัญเพราะแสดงให้เห็นว่าแนวทางนี้สามารถขยายขนาดเกินกว่าการทดลองในอดีตที่หยุดอยู่ที่ 19 บิต และใช้คิวบิตน้อยกว่าต่อตัวแปร

การลดค่าสัมประสิทธิ์ local-field และ coupling ในโมเดล Ising ช่วยลดสัญญาณรบกวน ทำให้ตัวประมวลผลแอนนีลเลอร์สามารถเข้าถึงคำตอบที่ถูกต้องได้บ่อยขึ้น และชี้ทางไปสู่ความเป็นไปได้ในการจัดการกับคีย์ขนาดใหญ่ขึ้นในอนาคต

เสียงเตือนจากผู้เชี่ยวชาญ

“ความก้าวหน้าของคอมพิวเตอร์ควอนตัมสามารถคุกคามความปลอดภัยและความเป็นส่วนตัวของข้อมูลสำหรับองค์กรต่างๆ ได้อย่างจริงจัง” Prabhjyot Kaur จากบริษัทที่ปรึกษา Everest Group ซึ่งไม่ได้มีส่วนร่วมในการศึกษานี้ให้คำเตือน

ความแตกต่างระหว่างเทคโนโลยี

คอมพิวเตอร์ควอนตัมแบบ Gate-Based แบบดั้งเดิมใช้อัลกอริทึมของ Shor ซึ่งในทางทฤษฎีสามารถทำลาย RSA ได้โดยการหาคาบของการยกกำลังแบบโมดูลาร์ในเวลาพหุนาม อย่างไรก็ตาม อุปกรณ์เหล่านี้ยังคงมีปัญหาเรื่องการแก้ไขข้อผิดพลาด

ในทางตรงกันข้าม ระบบแอนนีลเลอร์ของ D-Wave แม้จะไม่สามารถใช้งานได้อย่างหลากหลายเหมือนระบบแบบ Gate-Based แต่สามารถบรรจุคิวบิตได้มากกว่า 5,000 ตัว และหลีกเลี่ยงปัญหาของวงจรลึกโดยใช้สภาพแวดล้อมเย็นจัดที่ 15 มิลลิเคลวิน

การตอบสนองของรัฐบาลและอุตสาหกรรม

องค์กรกำหนดมาตรฐานไม่ได้นิ่งดูดาย ในเดือนสิงหาคม 2024 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐอเมริกา (NIST) ได้เปิดตัวมาตรฐาน FIPS 203, 204 และ 205 ซึ่งเป็นมาตรฐานกลางแรกสำหรับระบบคริปโตกราฟีหลังยุคควอนตัมที่อิงตาม lattice problems

ในเดือนมีนาคม 2025 NIST ได้เลือกระบบ HQC สำหรับคลื่นการพัฒนาถัดไป งานแถลงข่าวในทำเนียบขาวได้เรียกร้องให้หน่วยงานรัฐบาลสหรัฐฯ เริ่มเปลี่ยนแปลงคีย์ที่เสี่ยงต่อการโจมตี เนื่องจากมีความเป็นไปได้ที่ศัตรูอาจกำลังสะสมข้อมูลเข้ารหัสไว้สำหรับการโจมตีแบบ “แฮกเดี๋ยวนี้ ถอดรหัสทีหลัง”

ความท้าทายสำหรับภาคธุรกิจ

“ธุรกิจจะต้องจัดการกับการต่ออายุระบบคริปโตกราฟีเหมือนกับการดำเนินโครงการโครงสร้างพื้นฐานแบบหลายปี” Wall Street Journal’s CIO briefing ให้ข้อสังเกตเมื่อมาตรฐานสุดท้ายกำลังจะเปิดตัวในปีที่แล้ว

ปัญหาคือธุรกิจส่วนใหญ่ยังไม่ได้ทำการสำรวจระบบคริปโตกราฟีของตนเอง และหลายแห่งไม่ทราบด้วยซ้ำว่าระบบของพวกเขาใช้อัลกอริทึมใดบ้าง

คำแนะนำจากผู้เชี่ยวชาญ

ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้เริ่มต้นด้วยการตรวจสอบภายในเพื่อระบุการใช้งาน RSA, ECC และอัลกอริทึมอื่นๆ ที่อาจเสี่ยงต่อการโจมตี ก่อนที่จะสร้างแผนการแทนที่

แม้ว่าการย้ายข้อมูลแบบครบวงจรอาจใช้เวลาหลายปี องค์กรต่างๆ สามารถเริ่มต้นได้ด้วยการทดสอบไลบรารีที่ปลอดภัยจากการโจมตีควอนตัม เช่น Open Quantum Safe และการใช้วิธีการแลกเปลี่ยนคีย์แบบไฮบริด

อนาคตที่กำลังมาถึง

ระบบ D-Wave วางแผนที่จะเปิดตัวตัวประมวลผลแบบ Zephyr-topology ที่มีคิวบิตมากกว่า 7,000 ตัวในปลายปีนี้ การปรับปรุงโทโพโลยีแต่ละครั้งจะช่วยปรับปรุงการเชื่อมต่อ ซึ่งจะลดจำนวนคิวบิตทางกายภาพที่จำเป็นต่อตัวแปรลอจิคัลหนึ่งตัว

ในขณะเดียวกัน นักคริปโตกราฟีแนะนำให้ใช้ระบบไฮบริดที่ผสมผสานอัลกอริทึมที่อิงตาม lattice เช่น CRYSTALS-Kyber เข้ากับลายเซ็น RSA แบบดั้งเดิม เพื่อสร้างความปลอดภัยในระยะยาวระหว่างช่วงการเปลี่ยนผ่าน

กลุ่มเสี่ยงสูง

องค์กรที่เก็บข้อมูลสำคัญในระยะยาว เช่น บันทึกการรักษาพยาบาล ข้อมูลจีโนม หรือเอกสารทางการทูต จะมีความเสี่ยงสูงที่สุดหากรอจนกว่าคอมพิวเตอร์ควอนตัมแบบครบวงจรจะเกิดขึ้น

ผู้สังเกตการณ์บางคนชี้ให้เห็นว่าผลการทดลองจากเซี่ยงไฮ้ยังคงต้องอาศัยการประมวลผลแบบคลาสสิกอย่างหนักทั้งก่อนและหลังการใช้ควอนตัม และระบบแอนนีลเลอร์ยังคงต้องทำงานหลายรอบเพื่อค้นหาคำตอบที่ถูกต้อง

อย่างไรก็ตาม ประวัติศาสตร์แสดงให้เห็นว่าการพิสูจน์แนวคิดทางคริปตอนาลิติกไม่ค่อยจะอยู่ในระดับเล็กๆ นาน ระบบ DES ล้มลงต่อเครื่องจักรมูลค่า 250,000 ดอลลาร์ในปี 1998 เพียงสี่ปีหลังจากการโจมตีบางส่วนครั้งแรกปรากฏขึ้น

บทสรุป

ความก้าวหน้าจากจีนในการทำลายระบบเข้ารหัส RSA ด้วยคอมพิวเตอร์ควอนตัมแม้จะยังอยู่ในระดับเริ่มต้น แต่ก็ส่งสัญญาณเตือนที่ชัดเจนว่ายุคของการปกป้องข้อมูลด้วยระบบเข้ารหัสแบบดั้งเดิมกำลังจะสิ้นสุดลง องค์กรต่างๆ ควรเริ่มเตรียมความพร้อมสำหรับการเปลี่ยนแปลงครั้งใหญ่นี้ตั้งแต่วันนี้

การศึกษานี้ตีพิมพ์ในวารสาร Chinese Journal of Computers และแสดงให้เห็นว่าแข่งขันเพื่อความปลอดภัยในยุคหลังควอนตัมได้เริ่มต้นขึ้นแล้ว การเตรียมความพร้อมและการลงทุนในเทคโนโลยีความปลอดภัยใหม่จะเป็นกุญแจสำคัญในการรักษาความปลอดภัยของข้อมูลในอนาคต

อ้างอิง

https://www.earth.com/news/china-breaks-rsa-encryption-with-a-quantum-computer-threatening-global-data-security/

Quantum Computing Cybersecurity Preparedness Act

ข้อมูลที่โดดเด่นคือ สหรัฐอเมริกา ได้มีการออกกฎหมาย Quantum Computing Cybersecurity Preparedness Act (H.R.7535) ซึ่งตราเป็นกฎหมายในปี 2022 กฎหมายฉบับนี้มุ่งเน้นให้หน่วยงานของรัฐบาลกลางเตรียมพร้อมรับมือกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่อาจเกิดขึ้นจากคอมพิวเตอร์ควอนตัม โดยกำหนดให้มีการจัดทำบัญชีรายการระบบเทคโนโลยีสารสนเทศที่อาจมีความเปราะบางต่อการถูกถอดรหัสด้วยคอมพิวเตอร์ควอนตัม และพัฒนากลยุทธ์ในการเปลี่ยนผ่านไปใช้การเข้ารหัสแบบทนทานต่อควอนตัม (post-quantum cryptography)

นอกจากสหรัฐอเมริกาแล้ว ยังมีประเทศและกลุ่มประเทศอื่น ๆ ที่กำลังดำเนินการในเรื่องนี้อย่างจริงจัง:

  • สหภาพยุโรป (EU): แม้ว่าจะไม่ได้มีชื่อกฎหมายเฉพาะเจาะจงแบบเดียวกับสหรัฐอเมริกา แต่ EU ก็มีกรอบการทำงานด้านความมั่นคงปลอดภัยทางไซเบอร์ที่กว้างขวาง เช่น NIS2 Directive และ Cyber Resilience Act ซึ่งแม้จะไม่ได้มุ่งเน้นเรื่องควอนตัมโดยตรง แต่ก็สร้างพื้นฐานที่สำคัญสำหรับการรับมือกับภัยคุกคามทางไซเบอร์ในอนาคต รวมถึงภัยจากควอนตัม นอกจากนี้ หน่วยงานอย่าง ANSSI (ฝรั่งเศส) และ BSI (เยอรมนี) ก็มีการเผยแพร่แนวทางและเริ่มวางแผนสำหรับการเปลี่ยนผ่านไปสู่การเข้ารหัสแบบทนทานต่อควอนตัม
  • แคนาดา: มีการริเริ่มและเผยแพร่แนวปฏิบัติระดับชาติเพื่อเตรียมความพร้อมสำหรับควอนตัม (National Quantum-Readiness: Best Practices and Guidelines) และมีแผนที่จะนำเสนอมาตรฐานการเข้ารหัสแบบทนทานต่อควอนตัม
  • สหราชอาณาจักร (UK): กำลังเร่งพัฒนาเทคโนโลยีควอนตัมและให้ความสำคัญกับการยกระดับการป้องกันภัยไซเบอร์ที่เกี่ยวข้อง
  • จีน: ได้จัดตั้งโครงการวิจัยควอนตัมระดับชาติและลงทุนจำนวนมากเพื่อสนับสนุนการพัฒนาเทคโนโลยีนี้ ซึ่งรวมถึงการพิจารณาด้านความปลอดภัยที่เกี่ยวข้องด้วย มีรายงานเกี่ยวกับการวิจัยและการประยุกต์ใช้การเข้ารหัสแบบทนทานต่อควอนตัม
  • ออสเตรเลีย: มีแผนที่จะเปลี่ยนผ่านไปใช้การเข้ารหัสที่ทนทานต่อควอนตัมภายในปี 2030
  • สิงคโปร์: หน่วยงาน Monetary Authority of Singapore (MAS) ได้ออกคำแนะนำเกี่ยวกับความเสี่ยงด้านความปลอดภัยทางไซเบอร์ที่เกี่ยวข้องกับควอนตัมสำหรับภาคบริการทางการเงิน

จะเห็นได้ว่า หลายประเทศตระหนักถึงความสำคัญของปัญหาและกำลังอยู่ในขั้นตอนต่าง ๆ ของการเตรียมความพร้อม ตั้งแต่การออกกฎหมายเฉพาะ การกำหนดนโยบายและยุทธศาสตร์ระดับชาติ การวิจัยและพัฒนามาตรฐานการเข้ารหัสแบบใหม่ ไปจนถึงการสร้างความตระหนักรู้และให้คำแนะนำแก่หน่วยงานภาครัฐและเอกชน

สิ่งสำคัญที่ควรทราบคือ:

  • คำว่า “พระราชบัญญัติ” หรือ “Act” อาจไม่ได้ถูกใช้ในทุกประเทศ รูปแบบของมาตรการทางกฎหมายและนโยบายอาจแตกต่างกันไป
  • การพัฒนาด้านเทคโนโลยีควอนตัมและความปลอดภัยทางไซเบอร์เป็นไปอย่างรวดเร็ว ข้อมูลเกี่ยวกับกฎหมายและมาตรการต่าง ๆ อาจมีการเปลี่ยนแปลงและปรับปรุงอยู่เสมอ

ดังนั้น แม้ว่าสหรัฐอเมริกาจะมีกฎหมายที่ใช้ชื่อ “Quantum Computing Cybersecurity Preparedness Act” อย่างชัดเจน แต่ประเทศอื่น ๆ ก็มีมาตรการและการดำเนินการในลักษณะเดียวกันหรือเทียบเคียงได้ เพื่อเตรียมพร้อมรับมือกับผลกระทบของการประมวลผลควอนตัมต่อความมั่นคงปลอดภัยทางไซเบอร์

ร่างกฎหมาย H.R.7535 หรือที่รู้จักในชื่อ “Quantum Computing Cybersecurity Preparedness Act” เป็นกฎหมายของสหรัฐอเมริกาที่มีเป้าหมายเพื่อเตรียมความพร้อมด้านความมั่นคงไซเบอร์ของหน่วยงานรัฐบาลกลางต่อภัยคุกคามจากคอมพิวเตอร์ควอนตัม โดยกฎหมายนี้มีผลบังคับใช้เมื่อวันที่ 21 ธันวาคม 2022 ภายใต้กฎหมายหมายเลข 117-260 congress.gov+10congress.gov+10congress.gov+10

วัตถุประสงค์หลักของกฎหมาย

  1. การย้ายระบบ IT ไปสู่การเข้ารหัสที่ทนทานต่อควอนตัม (Post-Quantum Cryptography): เนื่องจากคอมพิวเตอร์ควอนตัมมีศักยภาพในการถอดรหัสข้อมูลที่เข้ารหัสด้วยวิธีการปัจจุบัน กฎหมายนี้จึงกำหนดให้หน่วยงานบริหารของรัฐบาลกลางเตรียมพร้อมโดยการย้ายระบบ IT ไปสู่การเข้ารหัสที่สามารถต้านทานการถอดรหัสด้วยคอมพิวเตอร์ควอนตัมในอนาคต
  2. การจัดทำบัญชีระบบเข้ารหัส: ภายใน 180 วันหลังจากกฎหมายมีผลบังคับใช้ สำนักงานบริหารและงบประมาณ (OMB) ต้องออกแนวทางให้หน่วยงานบริหารจัดทำและรักษาบัญชีของระบบเข้ารหัสที่ใช้อยู่ เพื่อระบุระบบที่อาจเสี่ยงต่อการถูกถอดรหัสโดยคอมพิวเตอร์ควอนตัม
  3. การพัฒนาแผนการย้ายระบบ: หลังจากที่สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ (NIST) ออกมาตรฐานการเข้ารหัสที่ทนทานต่อควอนตัม OMB จะต้องออกแนวทางให้หน่วยงานบริหารพัฒนาแผนการย้ายระบบ IT ของตนไปสู่การเข้ารหัสดังกล่าว
  4. การรายงานต่อสภาคองเกรส: OMB ต้องรายงานต่อสภาคองเกรสเกี่ยวกับกลยุทธ์ในการจัดการความเสี่ยงจากการถอดรหัสโดยคอมพิวเตอร์ควอนตัม ความต้องการงบประมาณสำหรับการปกป้องระบบ IT และความพยายามในการประสานงานระหว่างหน่วยงานเพื่อพัฒนามาตรฐานการเข้ารหัสที่ทนทานต่อควอนตัม
ระดับการบังคับใช้ (Federal Enforcement)
  • บังคับใช้จริงกับหน่วยงานรัฐบาลกลาง
    • หน่วยงานต้องจัดทำบัญชีระบบที่ใช้การเข้ารหัส
    • ต้องเตรียมแผนย้ายระบบไปสู่การเข้ารหัสที่ทนทานต่อคอมพิวเตอร์ควอนตัม (Post-Quantum Cryptography, PQC)
    • อยู่ภายใต้การกำกับของ OMB (Office of Management and Budget)
  • ไม่บังคับใช้กับเอกชน
    • แต่ภาคเอกชน เช่น ธนาคารหรือผู้ให้บริการด้านโครงสร้างพื้นฐาน อาจต้องเตรียมพร้อมเพราะจะได้รับแรงกดดันทางอ้อมจากนโยบายและมาตรฐานของ NIST
  • เป็นแรงผลักดันสำคัญระดับโลก
    • เพราะรัฐบาลกลางสหรัฐฯ เป็นต้นแบบของการจัดซื้อจัดจ้าง และความมั่นคงไซเบอร์ระดับชาติ
    • ภาคอุตสาหกรรมที่รับจ้างรัฐบาล (เช่น Defense Contractors) จะต้องปฏิบัติตามกฎหมายนี้โดยปริยาย

CNSA 2.0 คืออะไร

CNSA 2.0 (Commercial National Security Algorithm Suite 2.0) คือชุดอัลกอริทึมเข้ารหัสที่ถูกกำหนดโดย NSA (National Security Agency) ของสหรัฐอเมริกา สำหรับใช้ในระบบของภาคธุรกิจและหน่วยงานที่เกี่ยวข้องกับ ความมั่นคงแห่งชาติ (National Security Systems – NSS) เพื่อเตรียมความพร้อมรับมือกับภัยคุกคามจาก Quantum Computer ที่อาจสามารถถอดรหัสอัลกอริทึมแบบเดิมได้ในอนาคต

จุดประสงค์ของ CNSA 2.0
  • เพิ่มความแข็งแกร่งของการเข้ารหัส ให้ทนทานต่อการถอดรหัสด้วย Quantum Computer
  • เป็นแนวทางการเปลี่ยนผ่าน จากอัลกอริทึมแบบเดิม เช่น RSA, ECC ไปสู่ Post-Quantum Cryptography (PQC)
  • กำหนด มาตรฐานการใช้ ในระบบที่ต้องการความมั่นคงระดับสูง เช่น การทหาร, หน่วยข่าวกรอง, หน่วยงานของรัฐ
🔐 อัลกอริทึมใน CNSA 2.0
ประเภทอัลกอริทึมที่แนะนำจุดเด่น
Key ExchangeCRYSTALS-Kyberทนทานต่อ Quantum
Digital SignatureCRYSTALS-Dilithium
LMS, XMSS		Post-Quantum & Hash-based
Symmetric EncryptionAES-256ยังปลอดภัยแม้ในยุคควอนตัม
Hash FunctionsSHA-384, SHA-512ใช้สร้างความสมบูรณ์ของข้อมูล
ไทม์ไลน์การนำ CNSA 2.0 มาใช้
2025: เริ่มใช้งานในระบบใหม่
2030: ระบบทั้งหมดที่เกี่ยวข้องควรเริ่มเปลี่ยนผ่าน
2035: ควรเปลี่ยนเป็น PQC ทั้งหมดแล้ว

🏛 ใช้กับใคร?

  • ผู้ผลิตอุปกรณ์ที่ขายให้ภาครัฐสหรัฐ
  • ผู้พัฒนาโซลูชันด้านความปลอดภัย
  • องค์กรที่มีข้อมูลระดับลับ/สำคัญระดับประเทศ

Harvest Now Decrypt Later

Harvest Now, Decrypt Later (HNDL) ภัยคุกคามไซเบอร์ยุคควอนตัมที่องค์กรไม่ควรมองข้าม

ในยุคที่ข้อมูลกลายเป็นทรัพยากรที่มีมูลค่าสูงสุดขององค์กรทั่วโลก แนวคิด “Harvest Now, Decrypt Later” หรือ “เก็บข้อมูลในวันนี้ เพื่อถอดรหัสในวันหน้า” กำลังกลายเป็นหนึ่งในยุทธวิธีของผู้ไม่หวังดีที่มีความสามารถขั้นสูง โดยเฉพาะในบริบทของภัยคุกคามจาก Quantum Computing ที่กำลังจะปฏิวัติแนวทางการเข้ารหัสข้อมูลในโลกปัจจุบัน

แนวคิดเบื้องหลัง “Harvest Now, Decrypt Later”

การโจมตีแบบ Harvest Now, Decrypt Later (HNDL) คือการที่แฮกเกอร์หรือองค์กรที่มีศักยภาพสูง ดักจับและเก็บข้อมูลที่เข้ารหัสไว้ในปัจจุบัน โดยเชื่อว่าภายในอนาคต (อาจอีก 5-10 ปีข้างหน้า) เทคโนโลยีควอนตัมจะสามารถถอดรหัสข้อมูลเหล่านี้ได้อย่างง่ายดาย ไม่ว่าจะเป็นเอกสารลับของรัฐ การสื่อสารทางการทูต หรือข้อมูลลูกค้าของบริษัทเอกชน

ทำไม Quantum Computing จึงเป็นตัวแปรสำคัญ?

Quantum Computer ที่พัฒนาไปถึงระดับ “Cryptanalytically relevant quantum computer” สามารถใช้ อัลกอริธึมของ Shor เพื่อถอดรหัส RSA, ECC และอัลกอริธึมแบบ Asymmetric อื่น ๆ ที่ใช้ในระบบความมั่นคงปัจจุบัน เมื่อวันนั้นมาถึง ข้อมูลที่ถูกเก็บไว้ในปัจจุบันโดยแฮกเกอร์ก็สามารถนำมาใช้ประโยชน์ทางยุทธศาสตร์ได้ทันที

ตัวอย่างผลกระทบของ HNDL

  • หน่วยงานรัฐบาล: ข้อมูลข่าวกรองอ่อนไหว เช่น รายชื่อสายลับ, การเจรจาทางการเมืองระหว่างประเทศ
  • ธุรกิจการเงิน: ข้อมูลบัญชี, การโอนเงิน, เอกสาร KYC
  • ภาคเอกชน: แบบแปลนเทคโนโลยี, ความลับทางการค้า, การสื่อสารภายในองค์กร
  • ผู้ใช้งานทั่วไป: รูปภาพส่วนตัว, รหัสผ่าน, ประวัติสุขภาพ

แนวทางการป้องกัน: Post-Quantum Cryptography (PQC)

เพื่อรับมือกับภัยจาก HNDL หน่วยงานต่าง ๆ ต้องเริ่มปรับใช้ Post-Quantum Cryptography หรือการเข้ารหัสที่ออกแบบมาให้ทนทานต่อการคำนวณของคอมพิวเตอร์ควอนตัม อาทิ:

  • Kyber (สำหรับการเข้ารหัส)
  • Dilithium, SPHINCS+ (สำหรับลายเซ็นดิจิทัล)
  • เทคโนโลยี Open Quantum Safe (OQS) ที่นำมาใช้ใน OpenSSL และระบบปฏิบัติการต่าง ๆ

ทำไมต้องเริ่มตั้งแต่วันนี้?

เพราะภัยจาก HNDL ไม่ใช่การโจมตีในอนาคต แต่มันเริ่มต้นแล้วในวันนี้ การที่องค์กรไม่อัปเกรดระบบให้รองรับ PQC เท่ากับการเปิดโอกาสให้ข้อมูลถูกดักเก็บโดยไม่มีโอกาสย้อนกลับ เมื่อถึงวันหนึ่งที่ Quantum Computer พัฒนาสมบูรณ์ “การป้องกัน” จะสายเกินไป

สรุป

“Harvest Now, Decrypt Later” ไม่ใช่เพียงแนวคิด แต่มันคือยุทธวิธีที่กำลังเกิดขึ้นในโลกไซเบอร์ การเตรียมตัววันนี้ด้วยการปรับเปลี่ยนระบบเข้ารหัสให้ปลอดภัยในยุคควอนตัม (Quantum-Resistant) คือการรักษาความมั่นคงในอนาคตขององค์กร ไม่ว่าคุณจะเป็นภาครัฐ เอกชน หรือผู้ใช้ทั่วไป — เวลานี้คือเวลาของการลงมือ ไม่ใช่รอให้ภัยมาถึงแล้วค่อยหาทางแก้ไข

สวัสดี

Nontawatt

เมื่อ CVE หยุดการให้บริการอะไรจะเกิดขึ้น

​โครงการ Common Vulnerabilities and Exposures (CVE) ได้รับการแจ้งเตือนเกี่ยวกับการหมดอายุของสัญญาเงินทุนจากรัฐบาลสหรัฐฯ เมื่อวันที่ 15 เมษายน 2025 โดย MITRE ซึ่งเป็นองค์กรที่ดูแลโครงการ CVE ได้ส่งจดหมายถึงคณะกรรมการโครงการเพื่อแจ้งว่าสัญญาจะหมดอายุในวันที่ 16 เมษายน 2025 อย่างไรก็ตาม ในคืนวันที่ 16 เมษายน 2025 หน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ได้ดำเนินการขยายสัญญาออกไปอีก 11 เดือน เพื่อป้องกันการหยุดชะงักของบริการ

CVE คืออะไร ?

โครงการ Common Vulnerabilities and Exposures (CVE) เป็นระบบมาตรฐานกลางที่ใช้ระบุและติดตามช่องโหว่ด้านความมั่นคงปลอดภัยไซเบอร์ในซอฟต์แวร์และฮาร์ดแวร์ โดยแต่ละช่องโหว่จะได้รับหมายเลขประจำตัว (CVE ID) ที่ไม่ซ้ำกัน เช่น CVE-2025-12345 เพื่อให้สามารถอ้างอิงและจัดการได้อย่างเป็นระบบ​

ประวัติของ CVE
  • ก่อตั้ง: โครงการ CVE เริ่มต้นในเดือนพฤษภาคม 1999 โดย MITRE Corporation ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรที่ได้รับการสนับสนุนจากรัฐบาลสหรัฐฯ
  • เปิดตัวสู่สาธารณะ: รายการ CVE ชุดแรกที่ประกอบด้วย 321 รายการ ถูกเผยแพร่สู่สาธารณะในเดือนกันยายน 1999
  • วัตถุประสงค์: เพื่อสร้างมาตรฐานกลางในการระบุช่องโหว่ที่เปิดเผยต่อสาธารณะ และลดความซ้ำซ้อนในการรายงานช่องโหว่จากแหล่งต่าง ๆ​
โครงสร้างและการดำเนินงาน
  • การบริหารจัดการ: MITRE Corporation ทำหน้าที่เป็นผู้ดูแลหลักของโครงการ CVE โดยได้รับการสนับสนุนจากหน่วยงาน Cybersecurity and Infrastructure Security Agency (CISA) ภายใต้กระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ
  • CVE Numbering Authorities (CNAs): องค์กรที่ได้รับสิทธิ์ในการกำหนดหมายเลข CVE สำหรับช่องโหว่ที่ค้นพบในผลิตภัณฑ์ของตนเอง เช่น Microsoft, Oracle, Red Hat เป็นต้น
  • การประยุกต์ใช้: CVE ถูกนำไปใช้ในระบบต่าง ๆ เช่น National Vulnerability Database (NVD), ระบบจัดการช่องโหว่ (Vulnerability Management Systems), และเครื่องมือด้านความมั่นคงปลอดภัยอื่น

หากไม่มี CVE อะไรจะเกิดขึ้น ?

โลกไซเบอร์ในปัจจุบันต้องพึ่งพา “CVE” หรือ Common Vulnerabilities and Exposures อย่างหลีกเลี่ยงไม่ได้ ระบบนี้คือฐานข้อมูลกลางที่ระบุ “ช่องโหว่” (Vulnerabilities) ในซอฟต์แวร์และฮาร์ดแวร์ทั่วโลกอย่างเป็นมาตรฐาน แต่ในช่วงเดือนเมษายน 2025 ระบบอาจหยุดทำงานเพียงเพราะ… “เงินหมด” เหตุการณ์นี้ได้จุดประกายคำถามสำคัญว่า เราควรพึ่งพาแหล่งเดียวหรือไม่? และทางออกควรเป็นอย่างไร?

จุดเริ่มของวิกฤติ: รัฐบาลสหรัฐฯ ลังเลต่อสัญญา

MITRE ซึ่งเป็นองค์กรไม่แสวงผลกำไร ดำเนินโครงการ CVE มานานหลายสิบปี โดยได้รับเงินสนับสนุนหลักจากหน่วยงาน CISA (Cybersecurity and Infrastructure Security Agency) สังกัดกระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ

แต่ในปีงบประมาณ 2025 สัญญาระหว่าง CISA และ MITRE ใกล้หมดอายุ และไม่มีการอนุมัติวงเงินสนับสนุนชุดใหม่ทันเวลา ส่งผลให้มีความเป็นไปได้ที่บริการทั้งหมดจะ “หยุดทำงาน” โดยไม่มีการแจ้งเตือนล่วงหน้า

CVE ไม่ใช่แค่ระบบเล็ก ๆ แต่คือโครงสร้างพื้นฐานระดับโลก

ระบบตรวจสอบและจัดการช่องโหว่เกือบทั้งหมดในโลก เช่น:

  • NVD (National Vulnerability Database) ของ NIST
  • ระบบแจ้งเตือนในผลิตภัณฑ์ Antivirus / SIEM / Vulnerability Assessment Tools
  • ช่องโหว่ที่เกิดจากการแจ้งเตือนในระบบศูนย์ SoC (Security Operation Center)

ต่างอ้างอิง “CVE ID” เป็นรหัสหลัก หากระบบนี้ล่มลง จะเกิดผลกระทบเป็นลูกโซ่:

  • การวิเคราะห์ช่องโหว่ล่าช้า
  • ระบบแจ้งเตือนภัยไซเบอร์หยุดทำงาน
  • การป้องกัน Zero-Day ล่าช้ากว่าปกติหลายวัน
ได้งบต่อ 11 เดือน แต่…

หลังแรงกดดันจากชุมชนและองค์กรเอกชนจำนวนมาก CISA ตัดสินใจ ขยายสัญญากับ MITRE อีก 11 เดือน แบบเฉพาะกิจเพื่อให้โครงการ CVE ยังเดินหน้าต่อได้ แต่ไม่มีใครรับประกันว่า ในปีถัดไป โครงการนี้จะไม่ตกอยู่ในความเสี่ยงอีกครั้ง

มีแหล่งข่าวจาก Wired ทางรัฐบาลสหรัฐอเมริกาลงงบประมาณให้ กับ CVE ปีล่ะหลายสิบล้านยูเอสดอลล่าร์ หรือถ้าเป็นสกุลเงินประเทศไทยก็กว่าหลายร้อยล้านบาทไทยต่อปีเพื่อให้มีการค้นคว้าวิจัยช่องโหว่ เพื่อออกค่า CVE อย่างต่อเนื่อง

การตั้ง “CVE Foundation” เพื่อระยะยาว

เพื่อลดการพึ่งพางบรัฐอย่างเดียว ทีมงาน CVE ประกาศจัดตั้ง CVE Foundation ซึ่งเป็นองค์กรไม่แสวงหาผลกำไรใหม่ ที่จะ:

  • เป็นตัวกลางด้านการระดมทุนจากหลายภาคส่วน
  • บริหารจัดการฐานข้อมูลอย่างเป็นอิสระ
  • กระจายความรับผิดชอบผ่านชุมชนสากล
ทางเลือกอื่นหาก CVE หยุดทำงาน?

แม้ CVE จะเป็นระบบหลัก แต่ก็ยังมีทางเลือกหรือระบบเสริม เช่น:

  • OSV (Open Source Vulnerabilities) โดย Google
  • VulDB, ExploitDB, หรือ GitHub Security Advisories
  • โครงการ Threat Intelligence เอกชน และ
  • แนวคิด Decentralized Vulnerability Ledger บน Blockchain ที่หลายฝ่ายกำลังวิจัย
ข้อคิด: ความมั่นคงไซเบอร์ไม่ควรขึ้นกับรัฐเดียว

ในโลกที่การโจมตีทางไซเบอร์เป็นเรื่องระดับชาติ CVE ถือเป็น “โครงสร้างพื้นฐาน” ด้านความมั่นคงของโลก หากขึ้นกับรัฐเดียวโดยไม่มีแผนสำรองหรือองค์กรกลาง จะทำให้ทั้งระบบมีความเสี่ยงสูง

การเกิดขึ้นของ CVE Foundation อาจเป็นจุดเริ่มต้นของระบบ “ความมั่นคงแบบไร้พรมแดน” ที่ทุกคนร่วมมือกันอย่างแท้จริง

บทส่งท้าย
เหตุการณ์ CVE กำลังจากหายไป ไม่ใช่แค่ปัญหาด้านงบประมาณ แต่เป็น สัญญาณเตือนสำคัญ ให้กับผู้บริหารด้านความมั่นคงสารสนเทศทั่วโลกว่า ถึงเวลาหรือยังที่เราต้อง “กระจายความเสี่ยง” และสร้าง ระบบไซเบอร์ที่ยั่งยืนกว่าเดิม

Nontawatt Saraman

Cybersecurity Thailand World skill

และแล้ว ก็ดันจนเกิด

การแข่งขันฝีมือแรงงานแห่งชาติ ถือเป็นเวทีแสดงศักยภาพของเยาวชนไทย และยังเป็นโอกาสในการยกระดับการพัฒนาบุคลากรของประเทศให้มีความรู้ ความเชี่ยวชาญ พร้อมรับมือกับภัยคุกคามทางไซเบอร์ การแข่งขันจัดขึ้นในระหว่างวันที่ 21-23 มีนาคม 2568 นี้ ณ ศูนย์แสดงสินค้าอิมแพค เมืองทองธานี

จับ Generative AI ใส่ใน Line

ในยุคที่ปัญญาประดิษฐ์ (AI) กลายเป็นส่วนหนึ่งของชีวิตประจำวัน การมีผู้ช่วยอัจฉริยะที่สามารถโต้ตอบ สร้างเนื้อหา วิเคราะห์ข้อมูล และสรุปบทความให้คุณได้ทันที

ทำให้ชีวิตง่ายขึ้นกว่าเดิม AI Chat Assistant บน LINE เพียงเพิ่มเพื่อน ก็ทำงานได้เลย

ชื่อ Mindtre AI สามารถเดูข้อมูลเพิ่มเติมได้ที่ https://mindtreai.com

Retrieval-Augmented Generation Design ตอนที่ 2

การออกแบบระบบ RAG ทำงานร่วมกับฐานข้อมูล (Database)

การผสานระบบ RAG เข้ากับฐานข้อมูลทำให้ระบบสามารถใช้ข้อมูลที่เป็นปัจจุบันและมีโครงสร้างจากฐานข้อมูลขององค์กรได้ ซึ่งช่วยเพิ่มประสิทธิภาพและความถูกต้องของคำตอบ ต่อไปนี้เป็นการออกแบบการทำงานร่วมกัน:

สถาปัตยกรรมระบบ RAG ทำงานร่วมกับฐานข้อมูล

องค์ประกอบหลักของสถาปัตยกรรม RAG กับฐานข้อมูล
1. ส่วนเก็บข้อมูล (Data Storage)
  • ฐานข้อมูลหลัก: SQL (Oracle, MySQL) หรือ NoSQL (MongoDB) – เก็บข้อมูลมีโครงสร้างและกึ่งโครงสร้าง
  • คลังเอกสาร: เก็บเอกสารที่ไม่มีโครงสร้าง (PDF, DOCX) – SharePoint, NAS
  • Vector Database: เก็บ embeddings – Pinecone, Qdrant, Weaviate, Chroma
  • Metadata Store: เก็บข้อมูลเกี่ยวกับแหล่งที่มา, เวลา, การควบคุมการเข้าถึง
2. ส่วนการประมวลผล (Processing Layer)
  • Data Connectors & Transformers: เชื่อมต่อกับฐานข้อมูลผ่าน JDBC, ODBC, API
  • DB-to-Text Converter & Chunking: แปลงข้อมูลจากฐานข้อมูลให้เป็นข้อความและแบ่งเป็นส่วนย่อย
  • Embedding Generator: สร้าง vector embeddings จากข้อความ
  • SQL/Query Generator & Executor: แปลงคำถามเป็นคำสั่ง SQL หรือ NoSQL query
3. ส่วนการรวมข้อมูลและให้บริการ (Orchestration & Serving Layer)
  • Query Router & Planner: วิเคราะห์คำถามและตัดสินใจเลือกวิธีค้นหาที่เหมาะสม
  • Combined Retriever (Hybrid Search): ผสมผสานการค้นหาข้อมูลจากหลายแหล่ง
  • Context Builder: รวบรวมข้อมูลจากทุกแหล่งและจัดทำ prompt
  • LLM Integration: เชื่อมต่อกับ LLMs เช่น GPT-4, Claude, Llama 3, Gemini
วิธีการทำงานร่วมกัน
การเตรียมข้อมูล (Data Preparation)
  1. การเชื่อมต่อฐานข้อมูล: ใช้ Data Connectors เชื่อมต่อกับฐานข้อมูลต่างๆ
  2. การแปลงข้อมูลมีโครงสร้าง: แปลงข้อมูลจากตารางในฐานข้อมูลให้อยู่ในรูปแบบข้อความ Copyตัวอย่าง: ข้อมูลลูกค้า ID: 1001, ชื่อ: นาย สมชาย ใจดี, อีเมล: somchai@example.com, ประเภท: ลูกค้าประจำ, ยอดซื้อปี 2023: 250,000 บาท
  3. Chunking ตามบริบท: แบ่งข้อมูลเป็นส่วนย่อยตามความสัมพันธ์ของข้อมูล
  4. การสร้าง Embeddings: สร้าง vector embeddings จากข้อความและเก็บในฐานข้อมูล vector
กระบวนการตอบคำถาม (Query Processing)
  1. การวิเคราะห์คำถาม: ระบบวิเคราะห์คำถามว่าต้องการข้อมูลประเภทใด
  2. การเลือกวิธีค้นหา:
    • คำถามเกี่ยวกับข้อมูลที่มีโครงสร้าง → สร้าง SQL query
    • คำถามเกี่ยวกับข้อมูลไม่มีโครงสร้าง → ค้นหาด้วย vector similarity
    • คำถามผสมผสาน → ใช้การค้นหาแบบ hybrid
  3. การรวบรวมข้อมูล
    • ข้อมูลจาก SQL query (ข้อมูลเชิงสถิติ, ตัวเลข)
    • ข้อมูลจาก vector search (เนื้อหาเชิงบรรยาย)
    • ข้อมูล metadata (แหล่งที่มา, ความน่าเชื่อถือ)
  4. การสร้าง Context
    • นำข้อมูลทั้งหมดมารวมกันเป็น prompt ที่มีโครงสร้าง
    • แนบ SQL query และผลลัพธ์
    • แนบข้อมูลที่ค้นคืนจาก vector search
  5. การส่งไปยัง LLM
    • ส่ง prompt ไปยัง LLM พร้อมคำสั่งในการสร้างคำตอบ
    • LLM สร้างคำตอบที่ผสมผสานข้อมูลทั้งหมด
เทคนิคและแนวปฏิบัติ
1. การแปลงข้อมูลในฐานข้อมูลให้อยู่ในรูปแบบที่เหมาะสม
  • Row-based format: แปลงแต่ละแถวให้เป็นข้อความที่อธิบายรายการนั้น
  • Table summaries: สร้างสรุปเชิงสถิติของตาราง
  • Entity-based summaries: รวมข้อมูลที่เกี่ยวข้องกับ entity เดียวกัน
2. การใช้งาน SQL Generation
  • SQL Chain: ใช้ LLM แปลงคำถามเป็น SQL query
  • Few-shot prompting: ใช้ตัวอย่าง SQL สำหรับคำถามที่คล้ายกัน
  • Schema awareness: แนบโครงสร้างฐานข้อมูลให้ LLM รู้จัก
3. การใช้งาน Hybrid Search
  • Keyword + Vector: ผสมผสานการค้นหาแบบ keyword และ semantic
  • Re-ranking: จัดลำดับผลการค้นหาอีกครั้งด้วยอัลกอริทึมเฉพาะ
  • Metadata filtering: กรองผลลัพธ์ตาม metadata
4. การจัดการความปลอดภัยและการเข้าถึง
  • Row-level security: ควบคุมการเข้าถึงข้อมูลระดับแถว
  • Data masking: ปกปิดข้อมูลที่ละเอียดอ่อน
  • Access control: ตรวจสอบสิทธิ์การเข้าถึงข้อมูล
ตัวอย่างการประยุกต์ใช้งาน
1. ระบบสนับสนุนลูกค้า
  • ค้นหาข้อมูลลูกค้าจากฐานข้อมูล CRM
  • ค้นหาประวัติการสั่งซื้อ การแจ้งปัญหา
  • ค้นหาเอกสารคู่มือการใช้งาน
  • สร้างคำตอบที่มีข้อมูลครบถ้วนและตรงประเด็น
2. ระบบวิเคราะห์ข้อมูลองค์กร
  • ค้นหาข้อมูลยอดขาย สถิติ จากฐานข้อมูล
  • ค้นหารายงานการวิเคราะห์ก่อนหน้า
  • สร้างรายงานวิเคราะห์ใหม่ที่มีข้อมูลเชิงลึกและตัวเลขที่ถูกต้อง
3. ระบบช่วยเหลือด้านการรักษาพยาบาล
  • ค้นหาประวัติผู้ป่วยจากฐานข้อมูลโรงพยาบาล
  • ค้นหาข้อมูลยา วิธีรักษา จากฐานความรู้ทางการแพทย์
  • ให้คำแนะนำที่ผสมผสานประวัติผู้ป่วยและความรู้ทางการแพทย์

ด้วยสถาปัตยกรรมนี้ ระบบ RAG จะสามารถใช้ประโยชน์จากข้อมูลในฐานข้อมูลได้อย่างมีประสิทธิภาพ ทำให้ AI สามารถตอบคำถามที่ต้องการทั้งข้อมูลเชิงโครงสร้างและข้อมูลเชิงบรรยายได้อย่างถูกต้องและครบถ้วน

ขอบคุณ

Nontawatt Saraman

Retrieval-Augmented Generation Design ตอนที่ 1

การออกแบบระบบ RAG (Retrieval-Augmented Generation) ร่วมกับ AI

RAG (Retrieval-Augmented Generation) เป็นเทคนิคที่ช่วยเพิ่มประสิทธิภาพของ AI โดยการนำข้อมูลภายนอกมาเสริมความสามารถในการตอบคำถามหรือสร้างเนื้อหา ผมจะอธิบายการออกแบบระบบ RAG ร่วมกับ AI ดังนี้

องค์ประกอบหลักของระบบ RAG
  1. ระบบจัดเก็บข้อมูล (Knowledge Base)
    • ฐานข้อมูลเอกสาร/ข้อมูลองค์กร
    • Vector Database สำหรับเก็บ embeddings
    • ระบบจัดการ metadata และ context
  2. ส่วนประมวลผลข้อมูล (Processing Pipeline)
    • การแปลงเอกสารให้อยู่ในรูปแบบที่เหมาะสม
    • การสร้าง embeddings จากข้อความ
    • การแบ่งเอกสารเป็นส่วนย่อย (chunking)
  3. ส่วนค้นคืนข้อมูล (Retrieval Component)
    • การค้นหาข้อมูลที่เกี่ยวข้องด้วย semantic search
    • การจัดอันดับความเกี่ยวข้องของข้อมูล
    • การเลือกข้อมูลที่เหมาะสมที่สุด
  4. ส่วน AI Generation
    • Large Language Model (LLM)
    • Prompt engineering
    • การผสานข้อมูลที่ค้นคืนได้เข้ากับ prompt
ขั้นตอนการทำงาน
  1. การเตรียมข้อมูล
    • รวบรวมเอกสารที่เกี่ยวข้อง (PDF, HTML, TXT, ฯลฯ)
    • แปลงเอกสารเป็นรูปแบบข้อความ
    • แบ่งเอกสารเป็นส่วนย่อย (chunks) ขนาดเหมาะสม
    • สร้าง embeddings จากแต่ละ chunk ด้วย embedding model
  2. การจัดเก็บข้อมูล
    • บันทึก embeddings ลงใน vector database
    • จัดเก็บข้อมูลต้นฉบับและ metadata
  3. กระบวนการตอบคำถาม
    • รับคำถามจากผู้ใช้
    • สร้าง embedding ของคำถาม
    • ค้นหาเอกสารที่เกี่ยวข้องด้วย vector similarity search
    • เลือกเอกสารที่เกี่ยวข้องที่สุด
    • สร้าง prompt โดยรวมข้อมูลที่ค้นคืนได้
    • ส่ง prompt ไปยัง LLM
    • คืนคำตอบให้ผู้ใช้พร้อมอ้างอิงแหล่งที่มา
เทคโนโลยีที่เกี่ยวข้อง
  1. Vector Databases
    • Pinecone, Weaviate, Milvus, Qdrant, Chroma
    • เก็บ vector embeddings และให้บริการค้นหาแบบ similarity search
  2. Embedding Models
    • OpenAI Embeddings API
    • Sentence Transformers
    • HuggingFace Embeddings
  3. LLM Models
    • OpenAI GPT-4/GPT-3.5
    • Claude (Anthropic)
    • Llama 3, Mistral, Gemini
  4. เครื่องมือเสริม
    • LangChain/LlamaIndex สำหรับจัดการ pipeline
    • Document loaders สำหรับอ่านเอกสารรูปแบบต่างๆ
    • Text splitters สำหรับแบ่ง chunks
การปรับแต่งและเพิ่มประสิทธิภาพ
  1. Chunking Strategies
    • ขนาด chunk ที่เหมาะสม (ปกติ 512-1024 tokens)
    • วิธีการแบ่ง chunk (ตามย่อหน้า, ตามหัวข้อ, แบบทับซ้อน)
  2. Retrieval Techniques
    • BM25 + Vector search (hybrid search)
    • Query expansion
    • Re-ranking ผลลัพธ์
  3. Prompt Engineering
    • การออกแบบ prompt template ที่มีประสิทธิภาพ
    • การกำหนดบทบาทให้ AI
    • การกำหนดรูปแบบคำตอบที่ต้องการ
  4. การประเมินผล
    • ความถูกต้องของข้อมูล (factual accuracy)
    • ความครบถ้วนของคำตอบ
    • การติดตามและปรับปรุงประสิทธิภาพอย่างต่อเนื่อง
ข้อควรพิจารณาในการใช้งานจริง
  1. ความปลอดภัยของข้อมูล
    • การเข้ารหัสข้อมูล
    • การจัดการสิทธิ์การเข้าถึง
    • การติดตามการใช้งาน (audit logs)
  2. การทำงานแบบ real-time
    • การจัดการกับข้อมูลที่อัปเดตบ่อย
    • การปรับ index ในฐานข้อมูล
  3. ต้นทุนและทรัพยากร
    • ค่าใช้จ่ายในการเรียกใช้ API ของ LLM
    • ทรัพยากรในการจัดเก็บและประมวลผล embeddings
    • การจัดสรรทรัพยากรให้เหมาะสม
  4. การปรับใช้ให้เข้ากับบริบทเฉพาะ
    • การปรับแต่งให้เข้ากับโดเมนเฉพาะ
    • การเพิ่ม domain-specific knowledge
    • การฝึก fine-tuning LLM (ถ้าจำเป็น)

การนำ RAG มาใช้ร่วมกับ AI เป็นวิธีที่มีประสิทธิภาพในการเพิ่มความถูกต้องและความน่าเชื่อถือของคำตอบ โดยเฉพาะในกรณีที่ต้องการข้อมูลเฉพาะที่อาจไม่มีอยู่ในข้อมูลฝึกของ LLM หรือเป็นข้อมูลที่ต้องการความเป็นปัจจุบัน

ภาพนี้แสดงกระบวนการทำงานของระบบ RAG (Retrieval-Augmented Generation) ร่วมกับ AI แบ่งเป็น 2 ส่วนหลัก

ส่วนที่ 1: การเตรียมข้อมูล (Indexing Pipeline)
  1. เริ่มจากเอกสารต้นฉบับ (เช่น PDF, HTML, TXT)
  2. แบ่งเอกสารเป็นส่วนย่อย (Chunking) ขนาดที่เหมาะสม
  3. สร้าง Embeddings จากข้อความด้วย Embedding Model
  4. จัดเก็บลงใน Vector Database (เช่น Pinecone, Weaviate, Chroma, Qdrant)
ส่วนที่ 2: กระบวนการตอบคำถาม (Retrieval-Augmented Generation)
  1. ผู้ใช้ส่งคำถามเข้ามาในระบบ
  2. ระบบแปลงคำถามเป็น Query Embedding
  3. ค้นหาข้อมูลที่เกี่ยวข้องจาก Vector Database ด้วย semantic search
  4. นำข้อมูลที่ค้นได้มาสร้าง Prompt ที่มีข้อมูลประกอบ
  5. ส่ง Prompt ไปยัง LLM (เช่น GPT-4, Claude, Llama 3, Gemini)
  6. LLM สร้างคำตอบและส่งกลับไปยังผู้ใช้

ด้วยกระบวนการนี้ AI จะสามารถให้คำตอบที่มีความถูกต้อง เป็นปัจจุบัน และตรงกับบริบทเฉพาะขององค์กรหรือข้อมูลเฉพาะทางที่ต้องการได้อย่างมีประสิทธิภาพ

ขอบคุณ

Nontawatt Saraman

Zero day exploit ตอนที่ 2

รูปแบบการโจมตีและเทคนิคที่ใช้ใน Zero Day Exploit

ผู้โจมตีที่ใช้ Zero-Day Exploit มักประยุกต์ใช้เทคนิคขั้นสูงหลายอย่างในการเจาะระบบเป้าหมาย เพื่อให้การโจมตีสำเร็จลุล่วงแม้ระบบจะมีมาตรการป้องกันอยู่บ้าง เทคนิคสำคัญที่พบได้บ่อยในการโจมตีซีโร่เดย์ ได้แก่:

  • Code Injection (การฉีดโค้ดร้ายลงในระบบ) – เป็นเทคนิคที่ผู้โจมตี “ฉีด” หรือฝังโค้ดที่เป็นอันตรายเข้าไปในกระบวนการทำงานของโปรแกรมเป้าหมาย โดยอาศัยช่องโหว่ที่โปรแกรมนั้นประมวลผลข้อมูลภายนอกไม่รัดกุม ทำให้ข้อมูลดังกล่าวถูกตีความเป็นคำสั่งให้รันได้​เมื่อโจมตีสำเร็จ ผู้โจมตีจะสามารถสั่งให้ระบบรันโค้ดที่ตนต้องการได้ เช่น ฝัง shellcode (ชุดคำสั่งระดับต่ำที่ให้เครื่องรันโดยตรง) เพื่อให้ระบบเปิดช่องเชื่อมต่อกลับไปยังผู้โจมตีหรือติดตั้งมัลแวร์เพิ่มเติม ตัวอย่างการโจมตีแบบ Code Injection ที่รู้จักกันดีคือ SQL Injection (ฉีดคำสั่ง SQL) และ OS Command Injection ซึ่งแม้ไม่ใช่การโจมตีระดับระบบปฏิบัติการโดยตรง แต่หากช่องโหว่นั้นเป็น Zero-Day (เช่นยังไม่เคยถูกค้นพบ) ก็ถือเป็น Zero-Day Exploit ในบริบทของแอปพลิเคชันนั้น ๆ ได้เช่นกัน
  • Return-Oriented Programming (ROP) – ROP เป็นเทคนิคการโจมตีหน่วยความจำขั้นสูงที่คิดค้นขึ้นเพื่อหลบเลี่ยงมาตรการป้องกันอย่าง DEP/NX (Data Execution Prevention) ที่ป้องกันไม่ให้รันโค้ดบนหน่วยความจำบางส่วน ROP ช่วยให้ผู้โจมตีสามารถรันโค้ดที่ต้องการได้ แม้ในสภาพแวดล้อมที่เปิดใช้การป้องกันดังกล่าว​ วิธีการคือผู้โจมตีจะอาศัยช่องโหว่ (มักเป็นบัฟเฟอร์ล้นบนสแตก) เพื่อควบคุม call stack หรือตัวชี้กลับของโปรแกรม จากนั้นเปลี่ยนทิศทางการทำงานของโปรแกรมให้ไปทำงานตามชุดคำสั่งสั้น ๆ ที่มีอยู่แล้วในหน่วยความจำของโปรแกรมหรือไลบรารี (เรียกว่า “gadgets”) ซึ่งชุดคำสั่งเหล่านี้ลงท้ายด้วยคำสั่ง return ทำให้สามารถเชื่อมต่อกันเป็นลำดับการทำงานต่อเนื่อง เมื่อเชื่อม gadget หลาย ๆ อันต่อกัน ผู้โจมตีจะสร้างชุดคำสั่งที่ทำงานตามต้องการได้ แม้จะไม่สามารถฝังโค้ดใหม่ลงไปตรง ๆ กล่าวได้ว่า ROP ทำให้ผู้โจมตี “ต่อจิ๊กซอว์” คำสั่งที่มีอยู่แล้วให้กลายเป็นเพย์โหลดอันตราย ซึ่งมีประสิทธิภาพในการข้ามผ่านการป้องกันหน่วยความจำอย่าง DEP หรือการเซ็นรับรองโค้ด​
  • Heap Spraying – เป็นเทคนิคสนับสนุนการโจมตี (spraying คือการ “พ่น”) ซึ่งมักใช้ร่วมกับช่องโหว่หน่วยความจำ โดยผู้โจมตีจะพยายามจองหน่วยความจำกอง (heap) จำนวนมากและเติมค่าไบต์ตามต้องการลงไป เพื่อเพิ่มโอกาสให้ข้อมูลเพย์โหลด (เช่น shellcode) ถูกวางอยู่ในตำแหน่งที่คาดเดาได้ในหน่วยความจำของกระบวนการที่ถูกโจมตี​ Heap Spraying ไม่ได้ทำให้เกิดช่องโหว่ขึ้นเอง แต่ช่วยจัดสภาพหน่วยความจำให้เอื้อต่อการใช้ประโยชน์จากช่องโหว่อื่นได้ง่ายขึ้น กล่าวคือในระบบที่มีการป้องกันแบบสุ่มที่อยู่หน่วยความจำ (ASLR) หรือมีความไม่แน่นอนสูง ผู้โจมตีจะใช้การพ่น heap เพื่อสร้าง NOP sled ขนาดใหญ่ (ชุดของคำสั่ง NOP หรือชุดไบต์ที่ทำให้โปรแกรมข้ามไปจนเจอโค้ดจริง) ทำให้การคาดเดาตำแหน่งของโค้ดที่ฉีดลงไปง่ายขึ้นและลดโอกาสที่โปรแกรมจะล่มก่อนโจมตีสำเร็จ​ เทคนิคนี้เคยถูกใช้บ่อยในการโจมตีเว็บเบราว์เซอร์ช่วงปี 2005–2010 โดยเฉพาะในการโจมตี Internet Explorer หลายชุด ซึ่งทำให้แฮ็กเกอร์รุ่นใหม่สามารถสร้างเอ็กซ์พลอยต์ที่ได้ผลโดยดัดแปลงจากโค้ดพ่น heap เดิมเพียงเล็กน้อย​

นอกเหนือจากข้างต้น ยังมีเทคนิคอื่น ๆ ที่ผู้โจมตี Zero-Day ใช้ เช่น JIT Spraying (เจาะจงการพ่นหน่วยความจำใน JIT compiler), Control Flow Hijacking แบบอื่น ๆ (เช่นใช้ Return-less Programming หรือ Jump-Oriented Programming หากสภาพแวดล้อมจำกัด ROP) หรือการใช้ Social Engineering ประกอบ (ในกรณีต้องหลอกให้ผู้ใช้เปิดไฟล์หรือลิงก์ที่มีเพย์โหลด 0-day) เป็นต้น การโจมตีเป้าหมายที่มี Zero-Day อาจเป็นแบบ “zero-click” (ไม่ต้องอาศัยการคลิกของเหยื่อ เช่น ช่องโหว่ใน iMessage ที่ถูกกระตุ้นโดยข้อความที่ได้รับ) หรือ “one-click” (ต้องหลอกให้เหยื่อคลิก เช่น เปิดไฟล์เอกสารที่ฝังเอ็กซ์พลอยต์) ทั้งนี้ขึ้นอยู่กับธรรมชาติของช่องโหว่

หนึ่งในเหตุการณ์ Zero-Day ที่เป็นข่าวใหญ่ต้นปี 2021 คือการโจมตีเซิร์ฟเวอร์อีเมล Microsoft Exchange ผ่านชุดช่องโหว่ที่เรียกรวมกันว่า “ProxyLogon” ผู้โจมตี (เชื่อว่าเป็นกลุ่มแฮกเกอร์จีนชื่อ Hafnium) ใช้ช่องโหว่ที่ยังไม่มีแพตช์ใน Exchange Server เพื่อเจาะระบบขององค์กรทั่วโลกหลายหมื่นแห่ง

รายละเอียดช่องโหว่และการโจมตี: ProxyLogon ประกอบด้วยช่องโหว่หลัก 2 รายการ ได้แก่ CVE-2021-26855 (ช่องโหว่ Server-Side Request Forgery – SSRF) ที่ช่วยให้ผู้โจมตีจากระยะไกลสามารถส่งคำขอเข้าสู่ระบบ Exchange โดยปลอมตัวเป็นผู้ดูแลระบบ (bypass authentication) ได้ และช่องโหว่ CVE-2021-27065 ซึ่งเป็นช่องโหว่ post-auth ที่อนุญาตให้เขียนไฟล์ลงเซิร์ฟเวอร์แบบตามใจชอบ​

เมื่อนำสองช่องโหว่นี้มาใช้ร่วมกัน ผู้โจมตีซึ่งยังไม่ยืนยันตัวตนเลยก็สามารถรันคำสั่งใด ๆ บนเซิร์ฟเวอร์ Exchange ได้ผ่านพอร์ต 443 ที่เปิดไว้ (SSL HTTPS)​

ผลลัพธ์คือการเข้าควบคุมเซิร์ฟเวอร์อีเมล เป้าหมายการโจมตีมักเป็นการติดตั้งเว็บเชลล์ (Web Shell) เพื่อขโมยอีเมลหรือกระจายตัวโจมตีในเครือข่ายต่อไป

ผลกระทบ: ช่องโหว่ ProxyLogon นี้ถูกใช้โจมตีแบบกว้างขวางก่อนที่ Microsoft จะออกแพตช์แก้ไขในเดือนมีนาคม 2021 รายงานจากบริษัทความปลอดภัย ESET ระบุว่าในช่วงมีนาคม 2021 (ช่วงที่ช่องโหว่นี้ยังเป็น 0-day) มีอย่างน้อย 10 กลุ่มแฮ็กเกอร์ ที่ต่างก็ใช้ ProxyLogon ในการโจมตีระบบองค์กรทั่วโลกพร้อม ๆ กัน​

แม้ภายหลัง Microsoft จะรีบปล่อยแพตช์ฉุกเฉิน (out-of-band) มาอุดช่องโหว่ แต่หนึ่งสัปดาห์ถัดมายังพบว่ามีเซิร์ฟเวอร์ Exchange กว่า 46,000 เครื่อง ที่ไม่ได้ติดตั้งแพตช์ จึงยังคงเสี่ยงต่อการถูกเจาะด้วย ProxyLogon​ แสดงให้เห็นถึงความร้ายแรงและแพร่หลายของช่องโหว่นี้

การตอบสนอง: Microsoft ได้ออกชุดอัปเดตแก้ไขด่วนเมื่อวันที่ 2 มีนาคม 2021 พร้อมทั้งแจ้งเตือนให้ผู้ดูแลระบบรีบอัปเดตโดยทันที นอกจากนี้ยังเผยแพร่สคริปต์และเครื่องมือสำหรับตรวจสอบการติดตั้งเว็บเชลล์หรือร่องรอยการบุกรุกบน Exchange (เช่น Microsoft Safety Scanner และสคริปต์ตรวจหา ProxyLogon)​​ เหตุการณ์ ProxyLogon ถือเป็นการปลุกวงการด้านความปลอดภัยว่าเซิร์ฟเวอร์ภายในองค์กรก็อาจตกเป็นเป้า Zero-Day ของกลุ่ม APT ได้ และนำไปสู่การยกระดับมาตรการป้องกัน Exchange รวมถึงการเฝ้าระวังช่องโหว่อื่น ๆ ที่คล้ายกัน (ถัดมาในปีเดียวกันก็มีการค้นพบช่องโหว่ “ProxyShell” และ “ProxyOracle” ใน Exchange เช่นกัน ซึ่งแม้จะไม่ใช่ 0-day แต่ก็อันตรายสูง)

กรณี Apple iOS “FORCEDENTRY” – ช่องโหว่ iMessage Zero-Click (ปี 2021)

อีกตัวอย่างของ Zero-Day ที่โด่งดังในช่วงปี 2021 คือช่องโหว่แบบ Zero-Click บนระบบ Apple iOS ที่ถูกใช้โดยสปายแวร์ Pegasus ของบริษัท NSO Group ช่องโหว่นี้ถูกเรียกชื่อว่า FORCEDENTRY และได้รับรหัส CVE-2021-30860

รายละเอียดช่องโหว่และการโจมตี: FORCEDENTRY เป็นช่องโหว่ในระบบ Apple iMessage ซึ่งเกิดจากจุดบกพร่องในชุดไลบรารีการประมวลผลภาพของ Apple (Image Rendering Library) กล่าวคือ การประมวลผลไฟล์ภาพที่ถูกสร้างขึ้นอย่างมุ่งร้ายสามารถทำให้เกิดการรันโค้ดได้โดยไม่ต้องมีปฏิสัมพันธ์จากผู้ใช้ (zero-click exploit)​ กลุ่มนักวิจัย Citizen Lab ได้ตรวจพบช่องโหว่นี้ขณะวิเคราะห์โทรศัพท์ของนักเคลื่อนไหวซาอุดิอาระเบียรายหนึ่งในต้นปี 2021 และพบว่ามือถือของเขาถูกติดตั้งสปายแวร์ Pegasus ผ่านช่องโหว่ iMessage ดังกล่าว โดยไม่มีการคลิกลิงก์หรือเปิดไฟล์ใด ๆ จากฝั่งเหยื่อเลย​​ เทคนิคที่ผู้โจมตีใช้คือส่งไฟล์แนบรูปภาพ (ลักษณะเป็นไฟล์ GIF แต่แท้จริงฝังโค้ด PDF ชุดพิเศษ) ไปยังอุปกรณ์เป้าหมายผ่าน iMessage เมื่ออุปกรณ์ของเหยื่อได้รับข้อความ ข้อมูลภาพนั้นจะถูกประมวลผลโดยไลบรารี CoreGraphics ของ Apple และช่องโหว่ในไลบรารีนี้จะถูกกระตุ้น ส่งผลให้ผู้โจมตีสามารถรันโค้ดเพื่อเจลเบรกเครื่องและติดตั้ง Pegasus ได้ทันที

ผลกระทบ: ช่องโหว่ FORCEDENTRY มีอิทธิพลกว้างเพราะส่งผลต่ออุปกรณ์ Apple เกือบทุกประเภทที่ยังไม่ได้อัปเดตในช่วงเวลานั้น – ครอบคลุม iPhone ทุกรุ่นก่อน iOS 14.8, Mac ที่ระบบก่อน macOS Big Sur 11.6, และ Apple Watch ก่อน watchOS 7.6.2​ Citizen Lab เชื่อว่าช่องโหว่นี้ถูกใช้โจมตี “อย่างน้อยตั้งแต่เดือนกุมภาพันธ์ 2021” โดยกลุ่มลูกค้าของ NSO Group หลายราย เพื่อสอดแนมเป้าหมายระดับนักกิจกรรม นักข่าว และบุคคลที่น่าสนใจอื่น ๆ ทั่วโลก​​ ความร้ายแรงของมันทำให้ Google Project Zero ออกมาวิเคราะห์เจาะลึกและยกให้ FORCEDENTRY เป็นหนึ่งในเอ็กซ์พลอยต์ที่ซับซ้อนและรุนแรงมาก (“เป็นอาวุธไซเบอร์ที่แทบไม่มีทางป้องกันได้” ตามที่นักวิจัยของ Google กล่าวไว้)

การตอบสนอง: Apple ได้ออกอัปเดตฉุกเฉิน iOS 14.8, macOS 11.6 และชุดอัปเดตสำหรับ watchOS และ Safari ในวันที่ 13 กันยายน 2021 เพื่อแก้ไขช่องโหว่นี้ทันที​

พร้อมทั้งแนะนำให้ผู้ใช้ทุกคนทำการอัปเดตอุปกรณ์โดยด่วน นอกจากนี้ Apple ยังเริ่มพัฒนาฟีเจอร์ด้านความปลอดภัยเพิ่มเติม เช่น BlastDoor sandbox สำหรับ iMessage เพื่อแยกการประมวลผลไฟล์แนบอันตรายไม่ให้กระทบระบบหลัก (แม้ BlastDoor เดิมมีอยู่แล้ว แต่กรณี Pegasus แสดงให้เห็นว่าผู้โจมตีหาวิธีหลบหลีกได้ จึงต้องปรับปรุงเพิ่มเติม) และในปี 2022 Apple ได้ประกาศฟีเจอร์ Lockdown Mode เพื่อให้ผู้ใช้ที่มีความเสี่ยงสูงสามารถเปิดโหมดรักษาความปลอดภัยเข้มงวด ลดฟังก์ชันบางอย่าง (เช่น ปิดการรับไฟล์แนบ iMessage จากคนที่ไม่ได้ติดต่อมาก่อน) เพื่อป้องกัน Zero-Day ในลักษณะคล้ายกัน

กรณี Spyware บน Android – ห่วงโซ่ช่องโหว่ 0-day ของ “Predator” (ปี 2021)

ระบบปฏิบัติการ Android และเบราว์เซอร์ Chrome ก็มีกรณี 0-day โดดเด่นในช่วงไม่กี่ปีที่ผ่านมา หนึ่งในนั้นคือการค้นพบโดยทีม Google Threat Analysis Group (TAG) เกี่ยวกับสปายแวร์เชิงพาณิชย์ชื่อ “Predator” (พัฒนาโดยบริษัท Cytrox) ที่ถูกขายให้รัฐบาลบางประเทศและใช้โจมตีเป้าหมายผ่านสมาร์ทโฟน Android โดยพึ่งพาช่องโหว่ 0-day หลายรายการร่วมกัน

รายละเอียดช่องโหว่และการโจมตี: รายงานของ Google TAG ระบุว่าในปี 2021 สปายแวร์ Predator ถูกใช้ในแคมเปญการโจมตี 3 รูปแบบ โดยมีการใช้ช่องโหว่ซีโร่เดย์ทั้งหมด 5 รายการ อย่างต่อเนื่อง ซึ่งได้แก่ช่องโหว่ใน Google Chrome จำนวน 4 รายการ (CVE-2021-37973, CVE-2021-37976, CVE-2021-38000 และ CVE-2021-38003) และช่องโหว่ในเคอร์เนล Android 1 รายการ (CVE-2021-1048)​ ช่องโหว่เหล่านี้ถูกแพ็กเป็นชุดเอ็กซ์พลอยต์โค้ดโดยบริษัท Cytrox และขายให้กับกลุ่มลูกค้าที่เป็นรัฐ ในประเทศต่าง ๆ เช่น อียิปต์ กรีซ สเปน อินโดนีเซีย เป็นต้น เพื่อนำไปใช้สอดแนมเป้าหมายภายในประเทศเหล่านั้น​ ลำดับการโจมตีที่พบคือ ผู้โจมตีส่งลิงก์เฉพาะทาง (one-time link) ไปให้เหยื่อทางอีเมลหรือข้อความลับ เมื่อเหยื่อคลิกลิงก์ (แคมเปญนี้เป็น one-click) ระบบจะนำเหยื่อไปยังโดเมนของผู้โจมตีซึ่งใช้ช่องโหว่ใน Chrome ทันทีเพื่อรันโค้ดหลบหนีออกจากเบราว์เซอร์ (Chrome sandbox escape) จากนั้นใช้ช่องโหว่ใน Android Kernel (CVE-2021-1048) ซึ่งเป็นบั๊ก Use-After-Free ในไดรเวอร์คอร์ของระบบ เพื่อยกระดับสิทธิขึ้นเป็น root ในเครื่องเหยื่อ ทำให้ติดตั้งตัวแพร่เชื้อ (implant) ลงในเครื่องได้อย่างถาวร​

ช่องโหว่ CVE-2021-38000 ใน Chrome ที่ถูกใช้เป็นหนึ่งในขั้นตอนโจมตีนี้ จัดเป็นช่องโหว่ด้านตรรกะ (logic flaw) ซึ่งช่วยให้สามารถเปิดแอปอื่นผ่าน Intent URL โดยที่ผู้ใช้ไม่ต้องยินยอม ส่งผลให้ Chrome บนเครื่อง Samsung Galaxy สามารถถูกบังคับให้เปิดหน้าเว็บใน Samsung Browser ได้ทันที (ถือเป็นการข้าม context การทำงาน)​

เมื่อผสานกับช่องโหว่อื่น ๆ ข้างต้น ผู้โจมตีจึงสามารถติดตั้งมัลแวร์ ALIEN/PREDATOR ลงในเครื่องเป้าหมาย ซึ่งทำงานอยู่ใน process ที่มีสิทธิ์สูง สามารถดักฟังเสียง บันทึกข้อมูล หรือซ่อนตัวเป็นเวลานาน

ผลกระทบ: กรณีของ Predator ชี้ให้เห็นว่าปัจจุบันมีบริษัทเอกชนจำนวนมาก (Google TAG ระบุว่ากว่า 30 แห่ง) ที่พัฒนาและขายช่องโหว่ซีโร่เดย์หรือสปายแวร์ให้กับรัฐบาลทั่วโลก​

การมีห่วงโซ่ช่องโหว่ยาวถึง 5 รายการเพื่อเจาะอุปกรณ์สมัยใหม่อย่าง Android แสดงถึงระดับความซับซ้อนของภัยคุกคามสมัยใหม่ ซึ่งแต่เดิมเชื่อว่ามีเพียงหน่วยข่าวกรองของประเทศมหาอำนาจเท่านั้นที่ทำได้ แต่ปัจจุบันบริษัทเอกชนก็เสนอขายเทคโนโลยีนี้เป็นการค้า ในปี 2021 ถือเป็นปีที่มีสถิติโจมตีด้วย 0-day สูงที่สุดเป็นประวัติการณ์ โดย Google Project Zero รายงานว่าพบช่องโหว่ 0-day ที่ถูกใช้จริง (in the wild) ถึง 58 รายการ เพิ่มขึ้นเกือบเท่าตัวจากปีก่อนหน้า​

ซึ่งส่วนหนึ่งเป็นผลจากการที่ผู้ผลิตซอฟต์แวร์รายใหญ่เริ่มระบุสถานะ “กำลังถูกโจมตี” ของช่องโหว่ในรายงานแพตช์ ทำให้มีข้อมูลต่อสาธารณะมากขึ้นว่าช่องโหว่ใดเป็น 0-day

การตอบสนอง: Google ได้ทำงานร่วมกับผู้ผลิต (เช่น Samsung ในกรณี Chrome/Android) เพื่ออุดช่องโหว่เหล่านี้ในการอัปเดตความปลอดภัยปลายปี 2021 นอกจากนี้ Google ยังแจ้งเตือนไปยังผู้ใช้ที่ตกเป็นเป้าหมายที่สามารถระบุได้ รวมทั้งเสริมการล่าช่องโหว่ 0-day ภายในผ่านโครงการอย่าง Project Zero และการเพิ่มฟีเจอร์ด้านความปลอดภัย (เช่น เปิดใช้ Control Flow Integrity ใน Android 12 ขึ้นไปสำหรับโมดูลเคอร์เนล เพื่อลดโอกาสโจมตีด้วยเทคนิคหน่วยความจำ)

สวัสดี

Nontawatt.S