หน้าแรก ตรวจหวย โปรโมชั่น เว็บบอร์ด ควิซ การเงิน Pic Post
 
Page หาเพื่อน Chat หาเพื่อน Line หาเพื่อน Skype
 
อัลบั้ม แต่งรูป คำคม Glitter สเปซ ไดอารี่
 
เกมถอดรหัสภาพ เกม วิดีโอ
 
คำนวณ การเงิน ราคา BitCoin/Crypto
 
ติดต่อเว็บไซต์ลงโฆษณาลงข่าวประชาสัมพันธ์แจ้งเนื้อหาไม่เหมาะสมเงื่อนไขการให้บริการ
 
Login เข้าสู่ระบบ สมัครสมาชิก
 
เว็บบอร์ด บอร์ดต่างๆค้นหาตั้งกระทู้

ถอดรหัสเลขที่บัตรเครดิต / เดบิต

ถอดรหัสเลขที่บัตรเครดิต / เดบิต

จากการแถลงข่าวของธปท.และสมาคมธนาคารไทย พูดถึงเลขที่บัตร ว่าเป็น 6+6 โดย 6 ตัวแรกจะเป็น IID และอีก 6 ตัวหลังเป็นเลขที่บัตร

แต่ถ้าเราไปดูบัตรเครดิต / เดบิต ของเราจะเห็นว่าเป็นเลข 16 หลัก ทุกท่านสงสัยกันไหมครับว่า เลข 16 หลักมีที่มาที่ไปอย่างไร

ผมไม่ได้มีประสบการณ์ทำงานในแวดวงธนาคารนะครับ ไม่รู้ว่าที่จริงแล้วแต่ละธนาคารมีสูตรการออกเลขบัตรเครดิตอย่างไร แต่จะอธิบายและคาดการณ์จากประสบการณ์ในฐานะ CIO ที่รับผิดชอบการ implement medical devices ของโรงพยาบาล

เมื่อประมาณ 20 ปีก่อน มีโรงพยาบาลในประเทศไทย ซื้อและติดตั้งระบบ PACS หรือเอ็กซเรย์แบบดิจิทัลเป็นครั้งแรกในประเทศไทย ตอนนั้นทุกโรงพยาบาลยังใช้เอ็กซเรย์แบบอนาล็อก ที่ต้องพิมพ์ฟิลม์เอ็กซเรย์ แล้วเอามาอ่านที่ตู้อ่านฟิลม์

ผมไปขอดูระบบนี้กับเพื่อน โรงพยาบาลแรกในประเทศไทยที่ซื้อระบบนี้ ไม่ใช่ บรร. หรือเครือรพ.กรุงเทพนะครับ เป็นโรงพยาบาลเอกชนขนาดไม่ใหญ่มาก

ปัญหาที่ผมอยากรู้ตอนนั้นและเป็นปัญหาของทุกโรงพยาบาลที่จะเปลี่ยนระบบเอ็กซเรย์จากอนาล็อกมาเป็นดิจิทัล ก็คือจะแปลงฟิลม์เอ็กซเรย์เก่า มาเป็นไฟล์ดิจิทัลได้อย่างไร ทั้งที่เป็นเอ็กซเรย์ธรรมดาหรือ CT / MRI / Ultrasound เพราะหมอต้องดูฟิลม์เก่าเปรียบเทียบทุกครั้ง

การจะแปลงฟิลม์เอ็กซเรย์เก่าของคนไข้ทั้งโรงพยาบาลให้เป็นดิจิทัล ไม่ได้ง่ายๆแค่การซื้อเครื่องสแกนฟิลม์มาแปลงภาพนะครับ มีมาตรฐาน DICOM Standard

ที่สำคัญคือ DICOM header ในภาพเอ็กซเรย์ แต่ละภาพ จะมี Unique ID ขนาด 128 byte ประกอบด้วย device ID, patient ID, hospital id, study id +++++ เยอะไปหมดครับ

เมื่อเราสแกนฟิลม์เอ็กซเรย์เก่า มาเป็นไฟล์ดิจิทัล เราต้องสร้าง file header ตาม DICOM standard เพื่อจะสามารถเรียกดูได้ตาม DICOM Protocol

ตอนนี้ทุกท่านเดาได้แล้วใช่ไหมครับ เลขที่บัตรเครดิต / บัตรเดบิต ก็คล้ายกับ unique identifier ของ dicom image แต่ unique dicom identifier มันสลับซับซ้อนกว่าเยอะมากครับ

ต่อมาผมได้รับมอบหมายให้รับผิดชอบ การ implement ระบบ PACS ของโรงพยาบาลแห่งหนึ่ง ทางโรงพยาบาลซื้อระบบ PACS ของ startup รายเล็กๆ ในราคาไม่แพงมาก และพยายามจะติดตั้งมา 2 ปี แต่ไม่สำเร็จ ผมเลยได้รับมอบหมายให้มาดูแลโปรเจ็กนี้

ประเด็นของผม ในฐานะที่เป็น CIO และเป็นหมอด้วย ที่ผมกลัวมากที่สุดคือ และเป็นประเด็นที่ DPO ควรจะต้องระวัง

1. ผมกลัวว่าเจ้าหน้าที่ไอที หรือ vendor จะแอบมาเปลี่ยนรูปภาพเอ็กซเรย์ ซึ่งจะมีผลต่อการฟ้องร้องหมอและโรงพยาบาล รวมถึงเอ็กซเรย์ที่ต้องใช้เป็นหลักฐานทางคดีในเคสนิติเวช

2. ผมกลัวว่าหมอหรือพยาบาล อาจจะแอบลักลอบทำสำเนาภาพเอ็กซเรย์ของ VIP หรือคนเด่นคนดัง แล้วเอาไปเผยแพร่

3. ผมกลัวว่าคนไข้จะขอสำเนาการตรวจออกไป แล้วเอาไปเผยแพร่ในเน็ต แล้วมาฟ้องร้องดำเนินคดีกับโรงพยาบาลว่า เอาข้อมูลการตรวจไปเผยแพร่

ปัญหาที่ทำให้โรงพยาบาล implement ระบบ PACS ไม่สำเร็จ ไม่ใช่เรื่อง security & privacy issues เลยนะครับ เพราะทั้งผู้บริหาร และเจ้าหน้าที่ไอที และเจ้าหน้าที่รังสีเทคนิค รวมทั้ง vendor ไม่มีใครรู้เรื่อง security & privacy เลย แต่ผมรู้เพราะผมติดตาม HIPAA มานานแล้ว ตั้งแต่ยังเป็นร่างกฎหมายในสหรัฐ ก่อนจะประกาศใช้ในปี 1996

ผู้บริหารเข้าใจว่าแค่ซื้อระบบมา แล้วเดินสาย LAN ก็ใช้งานได้แล้ว ไม่รู้เรื่อง IT Infrastructure ทั้ง Network architecture, Application Architecture, Servers, Storage และที่ยากสุดก็คือ การ integrate กับ modalities (เครื่องเอ็กซเรย์ , CT, MRI, U/S) ที่ร้อยพ่อพันแม่ เพราะเครื่องเอ็กซเรย์แต่ละเครื่อง มีอายุใช้งาน ไม่ต่ำกว่า 10 ปี

ผมเรียก PACS vendor มาคุยเพื่อสอบถามว่ามีปัญหาอะไร ระบบพัฒนาอย่างไร เป็นไปตามมาตรฐานสากลหรือไม่ พอได้คุยก็ตกใจมาก เขียนด้วย php และใช้ opensource หมด รวมท้งใช้ opensource database ส่วนเรื่อง security & privacy ไม่มีเลย

แต่น้องเขาเป็นแฮกเกอร์แบบ hardcore ตัวจริงเสียงจริง เลยคุยกันถูกคอรู้เรื่อง ตกลงกันว่าให้เขารื้อเขียนใหม่หมด ทุกอย่างต้องเป็นมาตรฐานสากล พัฒนาด้วย Java บน Java server บน solaris platform และใช้ oracle database

ใช้เวลารื้อเขียนโปรแกรมใหม่และฝัง security controls & privacy controls เข้าไปในระบบ 1 ปี ระหว่างนี้ ผมก็เตรียม IT infrastructure ของโรงพยาบาลเพื่อ implement ระบบ PACS

ขอไม่ลงรายละเอียดเรื่อง security controls & privacy controls มากนะครับ เป็นเรื่องทางเทคนิคมาก แต่จะเล่าหลักๆ เพื่อให้ทุกท่านได้พอเข้าใจ

Security Controls คือต้องตอบโจทย์ความเสี่ยงขององค์กรในเรื่อง confidentiality, Integrety, Availability

ตั้งแต่ secure coding, data encryption, network monitoring, database activities monitoring, privilege user monitoring, backup & recovery, replication, fault tolerance, high availability etc.

ทุกท่านอาจจะคุ้นกันก็คือ ROPA ตาม GDPR หรือ ม.39 ของ พรบ.คุ้มครองข้อมูลส่วนบุคคลของไทยเรา กิจกรรมพวกนี้ ต้องฝังเข้าไปใน software ที่องค์กรใช้ครับ ความยากสำหรับโรงพยาบาลของผมคือ มีระบบ software ที่มาจากร้อยพ่อพันแม่ ประมาณ 30 ระบบครับ

กลับมาที่โจทย์เรื่อง security & privacy ของระบบ PACS ของผม

1. ภาพเอ็กซเรย์ทุกภาพ จากเครื่องเอ็กซเรย์ดิจิทัล ก่อนที่จะเอาเข้าระบบ PACS ต้องมีการสแกนด้วย antivirus ที่ update virus signature และต้องมีการบันทึกว่าใครเป็นผู้บันทึกเข้าระบบ เสร็จแล้ว จะมีการใช้ digital signature กำกับไว้ทุกภาพ

2 เมื่อหมอหรือพยาบาลเรียกดูภาพเอ็กซเรย์ ก่อนจะส่งภาพออกไป ต้องดูว่า digital signature ตรงกับที่บันทึกไว้หรือไม่

3. ในทุกครั้งที่ส่งภาพออกจากระบบ จะมีการบันทึก ชื่อ นามสกุล , user id, ip address, MAC adderss, workstation ID ฝังใน file header เพื่อที่ว่าถ้ามีการรั่วไหลออกไป จะสามารถตรวจสอบย้อนกลับได้ว่า รั่วออกไปได้อย่างไร

เลขที่บัตรเครดิต / เดบิต 6 + 6 = ตัวเลข 15 + 1 หลัก ก็คล้ายกับ DICOM header ของระบบ PACS ของผมครับ

ในการฝัง secret privacy control ใน file header ของผม ผมไม่สามารถใส่ plain text ได้ เพราะมันยาวมาก ผมใช้ hash function + asymmetric encryption ที่จะทำให้เราสามารถที่จะ verify ได้ว่าภาพเอ็กซเรย์นี้เป็นของเราจริง และใครเป็นคนเรียกดูและบันทึกออกจากระบบ

ในเลขที่บัตรเดรดิต / เดบิท ตัวเลขที่ธนาคารใช้จริงๆคือ 6 + 6 ครับ และเลขที่บนบัตร หลักสุดท้ายเป็น check digit ดังนั้นเลขอีก 3 หลักมันโผล่มาจากไหน และโผล่มาได้อย่างไร

ถ้าทุกท่านสังเกตุ เลขที่บัตรเครดิต แต่ละธนาคาร จะไม่ได้เรียงกัน 000001, 000002, ..... เรียงกันดื้อๆนะครับ

เลขที่บัตรสร้างมาจากสูตรการคำนวณทางคณิตศาสตร์ โดยใช้ข้อมูลที่มาสร้างคือ

1. secret key ของทางธนาคาร น่าจะเป็นตัวเลขยาวหลายร้อยหลัก

2. bank id

3. เลขที่ sequence ของบัตร

4. วันหมดอายุบัตร

5. cvv (อันนี้ผมไม่แน่ใจว่า ธนาคารเอาเข้ามาในสูตรด้วยหรือไม่) หรือสร้างหลังจากได้เลขที่บัตรแล้ว

กระบวนการทางคณิตศาสตร์ ที่มาสร้างข้อมูล แปลงข้อมูลจากเลขยาวๆ ให้เหลือแค่เลข 15 หลัก โดยที่มีโอกาสซ้ำกันน้อยมาก คือ hash function / algorithm

ตอนนี้มาถึง climax ของเรื่องแล้วครับ

algorithm ในการ hash เป็นมาตรฐานครับ ไม่ได้เป็นความลับ แต่ที่เป็นความลับคือ 1. secret key ของแต่ละธนาคารครับ

การที่แฮกเกอร์สามารถสุ่มเลขที่บัญชีได้ แสดงว่าแฮกเกอร์สามารถถอดและรู้ secret key ของแต่ละธนาคารของไทยหรือเปล่าครับ ทำให้สามารถสุ่มเลขที่บัตรแล้วเอาไปตัดเงินผ่าน EDC ได้เป็นจำนวนมากแบบนี้

ผมภาวนา อย่าให้เป็นแบบที่ผมวิเคราะห์เลยครับ ถ้าเป็นแบบนั้นจริง เงินในบัญชีเราทุกคน มีโอกาสโดนแฮกหมดตัวได้ทุกวินาที

นพ.สุธี ทุวิรัตน์ CISSP, HCISPP

(22 ต.ค. 2564)

ขอบคุณเนื้อหา และสามารถติดตามเพิ่มเติมได้ที่: https://www.facebook.com/thaitribune1/photos/a.208103229396861/1703663623174140/
⚠ แจ้งเนื้อหาไม่เหมาะสม 


โพสท์โดย: มารคัส
เป็นกำลังใจให้เจ้าของกระทู้โดยการ VOTE และ SHARE
5 VOTES (5/5 จาก 1 คน)
VOTED: tipphayamaya
Hot Topic ที่น่าสนใจอื่นๆ
ลุงชรา เบิกเงินธนาคาร พนง.ให้ไปกด ATM เรื่องนี้เป็นคติเตือนใจได้ดีที่สุด..ต้องฆ่ๅกันก่อนถึงจะลงพื้นที่!! หนุ่มวอนหน่วยงานพื้นที่ช่วยเคลียเพื่อนบ้านจอดซากรถขวางทางเข้าออก #พอเตือนกลับโดนทุบรถ!!โรงแรมเก่ากว่า 100 ปี! ตอนนี้เป็นงั้ยบ้าง #โรงแรมยุคแรกของเมืองเชียงใหม่สาวแก่อยากเคี้ยวเด็กหนุ่มในออฟฟิค!!มุมมืดสังคมร่าน$ex 18+แค่ก้มหน้าใจจะวาย เพราะหล่อทะลุแมสก์!! เจอเด็กปั้มหล่อวัวตายควายล้ม #สาวๆอยากเติมน้ำมันทั้งวันชาวเน็ตตะลึงหนัก!! เจ้าบ่าวจับมือสาวอื่นลับหลังเจ้าสาว ขณะถ่ายภาพร่วมกันหลานสาวสุดจะทน! แฉพฤติกรรมจนท.พยาบาล ชอบตะคอกใส่ หลังตรวจเลือดไหลไม่หยุด พยาบาลลั่น "ญาติอย่าตื่นเต้น"ช็อตฮาสัตว์โลก : จุดจบ พี่หนูสายดึงดาว สภาพมันก็แบบเนี้ยอ่ะเป็นคุณกล้ากินไหม ตักน้ำมันจากท่อมาทอดอาหารให้กินชาวเน็ตลั่น! ถ้าทางค่ายต้นสังกัด GLG ประกาศจุดยืนแบบนี้ "ขอแบนทั้งวง" หลังยืนยันจะเดบิวต์ "ลูกหนัง ศีตลา"ชาวเน็ตขยี้ตาแรง! "นึกว่าหมู" พอน้องหันหน้ามาเท่านั้นแหละ ฮาแตกแฟนคลับทัก! "โหน่ง ชะชะช่า" ผอมลงไปมาก หลังโพสต์ภาพคู่กับคุณปัญญาเพจดังถาม พวกคุณว่าเรารักดีหลายอย่างเป็นสลิ่ม สรุป สามกีบ เป็นเผด็จการใช่ไหม??
กระทู้อื่นๆในบอร์ด ข่าววันนี้
ดร.โสภณพาชมด่านพรมแดนไทยลาว 3 แห่งไม้ด่างกับแม่สังวาลย์ แม่ประสาน ต อาฮี ท่าลี่ จ เลยไหว้พระ ชม Skywalk เชียงคานสหภาพแรงงานผู้ประเมินค่าพบคุณไวทิต ศิริสุวรรณ
ตั้งกระทู้ใหม่