อภิมวลมหาความเสี่ยงจากการใช้ Windows XP หลังวันหมดอายุ 8 เม.ย. 2014
อภิมวลมหาความเสี่ยงจากการใช้ Windows XP หลังวันหมดอายุ 8 เม.ย. 2014"
Windows XP จะสิ้นอายุขัยอย่างสมบูรณ์แบบในวันที่ 8 เมษายน 2014 หรืออีกไม่ถึง 3 เดือนนับจากนี้ Blognone เขียนเตือนเรื่อง Windows XP มานับครั้งไม่ถ้วน ผลลัพธ์ที่ได้คือมีผู้ใช้กลุ่มหนึ่งตอบกลับมาว่า "ก็ฉันจะใช้ต่อไป ใครจะทำไม" (อ่านแล้วอยากเลิกทำเว็บเลยครับ)
บทความนี้เขียนขึ้นโดยมีจุดประสงค์ว่าต้องการ "ท้าชน" ผู้ใช้ Windows XP ทุกท่าน ถ้าอ่านแล้วยังไม่รู้สึกอะไรก็คงทำอะไรไม่ได้อีกแล้วล่ะครับ
Since 2001 เราอยู่กันมานานแล้วนะ
ปีนี้ปี 2014
Windows XP เปิดตัวและวางขายครั้งแรกในเดือนตุลาคม 2001
ย้ำว่า 2001
ลบเลขครับ
12 ขวบเกือบครึ่ง!
ถ้า XP เป็นคน ตอนนี้ก็คงเรียนอยู่ประถมปลายเตรียมขึ้นมัธยมต้นแล้ว
ผมเชื่อว่าช่วงชีวิตของผู้อ่าน Blognone ทุกคนก็คงผ่านวันเวลาอันยาวนานของ XP กันหมด ลองหลับตา 1 นาทีระลึกว่า ตลอด 12 ปีที่ผ่านมานี้ ชีวิตของคุณมีอะไรเปลี่ยนแปลงบ้าง (เปลี่ยนโรงเรียน เข้ามหาวิทยาลัย ทำงาน ย้ายงาน แต่งงาน มีลูก ฯลฯ) ความเปลี่ยนแปลงในชีวิตคงมหาศาล
ลองดูชีวิตของผู้ชายคนนี้สิครับ
2001: (ภาพจาก Biography.com)
2013:
แต่ถ้าเรายังใช้ Windows XP คอมพิวเตอร์ของเราก็ยังถูกผนึกค้างไว้ที่ปี 2001 อยู่ ถึงแม้ช่วงเวลาที่ผ่านมา ไมโครซอฟท์จะมีอัพเดตให้บ้าง 3 service packs แต่หลักใหญ่ใจความแล้ว มันก็คือระบบปฏิบัติการของปี 2001 อยู่ดี
หมดอายุอะไรยังไง
คอมพิวเตอร์ประกอบด้วยฮาร์ดแวร์และซอฟต์แวร์ ในฝั่งของฮาร์ดแวร์คงไม่ต่างอะไรจากเครื่องใช้ไฟฟ้า ถ้ามันไม่พังก็ใช้ต่อไปได้เรื่อยๆ
แต่ฝั่งของซอฟต์แวร์นี้มี "อายุขัย" ของมัน (เหมือนกับนมบูด ปลากระป๋องเน่า) ถึงแม้ตัวซอฟต์แวร์จะใช้ต่อไปได้ก็จริง (และไม่มีใครไปกำหนด deadline ว่าหลังจากวันนี้แล้วห้ามใช้) แต่ "บริการแวดล้อม" ของตัวซอฟต์แวร์นั้นๆ มันไม่ได้อยู่ต่อไปชั่วกาลอวสานไปด้วย
"บริการแวดล้อม" ที่ว่านี้ หลักๆ แล้วมันคือการอัพเดตแพตช์ความปลอดภัย บริการหลังขาย และความเข้ากันได้ของซอฟต์แวร์เวอร์ชันใหม่ๆ
ไมโครซอฟท์มีนโยบายเรื่องการอัพเดตแพตช์ที่แบ่งเป็น 2 ระดับคือ mainstream support และ extended support (อ้างอิง)
- mainstream support นับช่วงแรกหลังวางขายซอฟต์แวร์ ออกแพตช์ความปลอดภัยให้ และไมโครซอฟท์จะปรับแก้บั๊กหรือฟีเจอร์บางอย่างของตัวระบบปฏิบัติการถ้าจำ เป็น (ถ้าใครทันยุค SP1/2 จะเห็นว่ามีฟีเจอร์เปลี่ยนเยอะระหว่างรุ่น)
- extended support หลังหมดระยะ mainstream support แล้ว ไมโครซอฟท์จะออกแพตช์ความปลอดภัยให้เพียงอย่างเดียวเท่านั้น ไม่เพิ่มฟีเจอร์หรือแก้บั๊กให้อีกแล้ว
Windows XP หมดระยะ mainstream support ตั้งแต่ปี 2009 และกำลังจะหมดระยะ extended support ในปี 2014
ส่วน Windows รุ่นอื่นๆ คือ Vista ปี 2017, Windows 7 ปี 2020, Windows 8 ปี 2023 (อ้างอิง)
จะเกิดอะไรขึ้นหลังไมโครซอฟท์หยุดออกแพตช์ความปลอดภัย
คนที่เข้าใจการทำงานของระบบความปลอดภัยคอมพิวเตอร์ คงทราบดีว่าปัญหาเรื่อง "รูรั่ว" หรือช่องโหว่ความปลอดภัย เป็นเกมแมวจับหนูที่ไม่มีวันจบสิ้น เพราะตอนสร้างซอฟต์แวร์ขึ้นมา คนสร้างก็ไม่รู้หรอกว่ามันมีช่องโหว่ตรงไหนบ้าง ดังนั้นเมื่อซอฟต์แวร์วางขายแล้ว ทั้งคนในคนนอก ไม่ว่าจะหวังดีหรือประสงค์ร้าย ก็มีหน้าที่ค้นหาช่องโหว่เหล่านี้ ฝั่งของไมโครซอฟท์เองก็มีหน้าที่อุดช่องว่างเหล่านี้ไปเรื่อยๆ เท่าระยะเวลาที่สัญญาไว้
ในกรณีของ Windows XP จะไม่มีอัพเดตแพตช์ใดๆ หลังวันที่ 8 เมษายนนี้ แต่ Windows รุ่นอื่นๆ ที่ใหม่กว่าจะยังได้อัพเดตแพตช์ต่อไป
เมื่อ Windows เป็นระบบปฏิบัติการที่มีพื้นฐานเดียวกัน ชิ้นส่วนบางชิ้นก็ตกทอดสืบเนื่องกันมานานหลายชั่วคน ดังนั้นมีโอกาสสูงที่จะพบช่องโหว่สักแห่งมีผลกับ Windows ทุกรุ่น
ถ้าหากเกิดกรณีแบบนี้ขึ้น ไมโครซอฟท์จะอุดช่องโหว่บน Windows รุ่นใหม่ๆ แต่ไม่อุดรูเดียวกันบน Windows XP แบบนี้ก็เสร็จโจรสิครับ (ช่องโหว่แบบนี้เรียกว่า zero-day attack)
สิ่งที่แฮ็กเกอร์จะทำคือโหลดแพตช์ของ Windows รุ่นใหม่ๆ มาแกะดูว่า ไมโครซอฟท์อุดรูอย่างไร จากนั้นก็ reverse engineer เขียนมัลแวร์ที่อาศัยช่องโหว่เดียวกันไปเจาะ Windows XP ได้แบบง่ายๆ เลย (จากเดิมที่ต้องงมหาช่องโหว่เอง ก็เปลี่ยนเป็นลอกการบ้านไมโครซอฟท์แทน ง่ายกว่ากันเยอะ)
ไมโครซอฟท์เคยออกมาเตือนเรื่องนี้อย่างเป็นทางการแล้ว ย้อนอ่านในข่าวเก่า
ช่องโหว่ลักษณะนี้มีโอกาสสูงที่จะป้องกันไม่ได้ด้วยแอนตี้ไวรัสหรือ ซอฟต์แวร์ความปลอดภัยต่างๆ (อาจสกรีนได้บ้างที่ระดับของไฟร์วอลล์) เพราะเป็นช่องโหว่ของตัวระบบปฏิบัติการโดยตรงนั่นเอง
เก่ากว่า เสี่ยงกว่า
เวลา 12 ปีเปลี่ยนบิล เกตส์ จากหนุ่มเฟี้ยวเป็นชายกลางคน เส้นผมเริ่มสีเทา ช่วงเวลาเดียวกันนี้ โลกของความปลอดภัยก็พัฒนาไปมาก มีเทคนิคและกระบวนการมากมายที่ช่วยปกป้องให้ระบบปฏิบัติการปลอดภัยมากขึ้น
ผมขออ้างข้อมูลของไมโครซอฟท์เอง (Microsoft Security Blog) ที่บอกว่า Windows แต่ละรุ่นมีพัฒนาการด้านความปลอดภัยที่ดีขึ้นอย่างไร (คลิกเพื่อดูภาพขนาดเต็ม)
และข้อมูลสถิติว่า Windows แต่ละรุ่นโดนเจาะหรือติดมัลแวร์-ไวรัสต่างกันมากน้อยแค่ไหน (มีถึงเฉพาะ Windows 7)
ช่างมันฉันไม่แคร์
ผู้ใช้ Windows XP จำนวนไม่น้อย (โดยเฉพาะกลุ่มที่ใช้ของเถื่อน) ปิดการอัพเดต Windows เพื่อป้องกันปัญหา Windows Genuine Advantage (WGA) และไม่ได้แคร์เรื่องความปลอดภัยของระบบปฏิบัติการอยู่แล้ว
ถ้าเป็นคอมส่วนตัวใช้เอง แบกรับปัญหาเองได้ รับผิดชอบเองเป็น (ซึ่งเวลาเกิดเหตุแล้วมักจะไม่เป็นเช่นนั้น :P) อันนั้นก็ถือเป็นเรื่องอิสระในการใช้ชีวิตของปัจเจกชน
แต่ถ้าเป็นคอมพิวเตอร์ขององค์กร ห้างร้าน หน่วยงานต่างๆ ความเสี่ยงพวกนี้ถือเป็นภาระความรับผิดชอบและ "หน้าที่" ของฝ่าย IT support ที่จะต้องป้องกันไม่ให้ปัญหาเหล่านี้เกิดขึ้น
คนใช้ Windows XP ยังมีเยอะแค่ไหนในไทย?
ในตลาดโลก สถิติล่าสุดจาก Net Applications ระบุว่ามีคนใช้ Windows XP อยู่ที่ 28.98% ของระบบปฏิบัติการของพีซี ซึ่งถือว่ายังเยอะมาก (นับเฉพาะเครื่องคอมที่ต่อเน็ต)
สำหรับในเมืองไทย ข้อมูลที่ผมหาได้มี 2 แหล่งที่มา
แห่งแรกคือ StatCounter บอกว่าสถิติล่าสุดของไทย มีคนใช้ Windows XP เหลืออยู่ 28.89% (มกราคม 2014) ส่วนกราฟสถิติช่วง 1 ปีย้อนหลังของผู้ใช้เน็ตไทย เห็นแนวโน้มชัดเจนว่า Windows XP ลดลงตลอดแต่ก็ยังเหลือผู้ใช้อยู่อีกเป็นจำนวนมาก
อีกเจ้าคนไทยคุ้นเคยกันดี สถิติของ TrueHits บอกว่าเดือนธันวาคม 2013 คนไทยใช้ XP ที่ 22.19% ซึ่งแนวโน้มก็ลดลงเรื่อยๆ เช่นกัน
ความเสี่ยงของการใช้ Windows XP ที่หมดอายุแล้ว
มีบทความ-รายงาน-บทวิเคราะห์จำนวนมากที่พูดถึงปัญหาของการใช้งาน Windows XP ที่หมดอายุแล้ว ผมขออ้างอิงรายงานของ Lenovo ที่พาดหัวไว้ซะน่ากลัวว่า Windows XP – A Compliance and Risk Nightmare in April 2014 ซึ่งแบ่งปัญหาออกเป็น 3 ข้อ
- ความเสี่ยงทางเทคนิคที่จะโดนโจมตีผ่านช่องโหว่ความปลอดภัย (ตามที่อธิบายไปแล้วข้างต้น)
- ความเสี่ยงที่จะถูกจารกรรมข้อมูล แล้วองค์กรโดนปรับหรือโดนฟ้อง (บางประเทศมีกฎหมายคุ้มครองข้อมูลของลูกค้า ทำหายแล้วโดนปรับ)
- ค่าใช้จ่ายในการบำรุงรักษาระบบไอทีในระยะยาวจะเพิ่มสูงมาก การบำรุงรักษาระบบปฏิบัติการเก่ามีต้นทุนระยะเวลาสูงกว่าระบบปฏิบัติการ ใหม่ๆ ที่มีความพร้อมกว่าในทุกด้าน
ผมเชื่อว่าของพวกนี้ไม่เห็นโลงศพไม่หลั่งน้ำตาครับ อีกไม่นานเราคงเห็น "การโจมตี Windows XP ครั้งใหญ่" ที่สร้างผลสะเทือนในวงกว้าง ซึ่งจะกลายเป็นจุดเปลี่ยน กระตุ้นให้หน่วยงานต่างๆ หันมาสนใจปัญหานี้ (แต่ระหว่างนั้นจะโดนลูกหลงด้วยหรือไม่ ก็ขึ้นกับความใส่ใจขององค์กรแล้ว)
ความเข้ากันได้ของซอฟต์แวร์และฮาร์ดแวร์
นอกจากปัญหาเรื่องช่องโหว่ความปลอดภัยแล้ว เราก็คงรู้กันดีว่า ยังมีเรื่องความเข้ากันได้กับฮาร์ดแวร์รุ่นใหม่ๆ ที่ไม่มีไดรเวอร์ของ XP แล้ว และซอฟต์แวร์ชื่อดังหลายตัวก็แทบไม่รองรับ XP แล้วเช่นกัน
ผมลองรวมข้อมูลแบบคร่าวๆ ดูว่า ซอฟต์แวร์อะไรบ้างที่รองรับหรือไม่รองรับ XP
- Chrome ใช้งานได้อีก 1 ปีไปจนถึงเดือนเมษายน 2015 (อ้างอิง)
- Firefox ยังไม่มีแผนที่จะเลิกรองรับ Windows XP (อ้างอิง) (แต่ทิ้ง XP SP1)
- Opera ยังไม่มีแผนที่จะเลิกรองรับ Windows XP (อ้างอิง)
- Office 2003 หมดอายุพร้อม Windows XP ในวันที่ 8 เม.ย. (อ้างอิง)
- Office 2007 บนระบบปฏิบัติการทุกตัว หมดอายุปี 2017 (อ้างอิง)
- อโดบีประกาศ Photoshop รุ่นถัดไปไม่สนับสนุน Windows XP แล้ว (CS6 เป็นรุ่นสุดท้าย)
- Microsoft Security Essentials จะหยุดอัพเดตพร้อม Windows XP
- Apple iCloud ไม่รองรับ XP แล้ว
ทางออก
คำตอบแบบกำปั้นทุบดินคือ อัพเกรดครับ เปลี่ยนไปใช้อะไรก็ได้ที่ใหม่กว่า Windows XP จะย้ายค่ายไปใช้แมคหรือลินุกซ์ก็ไม่มีปัญหา
คำตอบแบบละเอียดแยกตามกรณี
1. ผู้ใช้ตามบ้าน
สำหรับผู้ใช้ทั่วไปที่มีคอมพิวเตอร์ของตัวเองและรัน Windows XP แยกได้เป็น 2 กลุ่มใหญ่ๆ
1.1 ใช้ Windows XP เพราะคอมเก่า
ถึงแม้สเปกขั้นต่ำของ Windows แทบไม่เปลี่ยนแปลงเลยนับจาก Vista เป็นต้นมา แต่มันก็ยังมีช่องว่างของฮาร์ดแวร์ขั้นต่ำสำหรับ XP และ Vista ขึ้นไปอยู่
สำหรับคนกลุ่มที่ยังใช้คอมสเปกต่ำกว่า Vista (แต่ยังรัน XP ได้) ผมแนะนำว่าซื้อคอมใหม่สถาน เดียวครับ คอมสมัยนี้ถูกกว่าเดิมมากแล้ว เงินหลักต่ำหมื่นก็ซื้อคอมสเปกดีๆ ได้สบาย แถมคอมตัวเก่าก็น่าจะคุ้มการลงทุนแล้ว ถ้ายังอยากเก็บไว้ใช้จริงๆ ก็แนะนำให้เปลี่ยนเป็นลินุกซ์แทน (แต่เอาจริงแล้วลินุกซ์ที่รันบนฮาร์ดแวร์ต่ำขนาดนั้นได้ก็ไม่ค่อยมีอีก เหมือนกัน)
สำหรับคนที่ไม่ชัวร์ว่าคอมของเราจะย้ายไปรัน Windows 7 ได้หรือไม่ (Windows 8.x ใช้สเปกเท่ากัน) ไมโครซอฟท์มีโปรแกรมช่วยวิเคราะห์ชื่อ Windows 7 Upgrade Advisor สามารถดาวน์โหลดมารันกันเล่นๆ ได้
1.2 ใช้ Windows XP เพราะคุ้นมือ
ผู้ใช้กลุ่มนี้มีคอมพิวเตอร์ที่สามารถเปลี่ยนไปใช้ Windows รุ่นใหม่กว่าได้ แต่ไม่เปลี่ยนด้วยเหตุผลที่ต่างๆ กันไป (ส่วนใหญ่เป็นเพราะคุ้นเคยกับ XP) คำแนะนำคือ "ถึงเวลาต้องอัพเกรด" แล้วครับ
ทางเลือกเดียวที่เด่นชัดในตอนนี้คือ ควักเงิน 5-6 พันบาทซื้อ Windows 8.1 ของแท้ จ่ายเงินทั้งทีก็ควรเลือกซอฟต์แวร์ใหม่ที่สุด (แต่ถ้ายังเลือกจะอยู่ในเส้นทางสายมืด อย่างน้อยอัพเกรดเป็น Windows 7 เถื่อนก็ยังดีกว่า XP เถื่อนอยู่ดีครับ)
การอัพเกรดจาก XP เป็นระบบปฏิบัติการใหม่ๆ อย่าง Windows 8.1 ไม่สามารถอัพเกรดได้ตรงๆ จำเป็นต้องแบ็คอัพข้อมูลแล้วลงโปรแกรมใหม่ ซึ่งมีต้นทุนเรื่องเวลาและทรัพยากรเพิ่มเข้ามา แต่มันก็เป็นเส้นทางที่ต้องข้ามผ่านครับ
2. ลูกค้าองค์กร
สำหรับลูกค้าองค์กรที่มักใช้ระบบปฎิบัติการที่ติดมากับพีซี ตรงนี้เป็นหน้าที่ของฝ่าย IT ในองค์กรที่จะต้องผลักดันให้ CIO/CEO ขององค์กรเห็นความสำคัญของการ "อัพเกรดฮาร์ดแวร์ใหม่" ครับ
ส่วนจะซื้อพีซี Windows 7 หรือ Windows 8.x คงขึ้นกับนโยบายของแต่ละหน่วยงาน (ไมโครซอฟท์เองก็เคยพูดไว้ว่า ถ้ายังไม่พร้อมสำหรับ Windows 8.x ก็ไม่เป็นไร แต่อย่างน้อยก็ควรรัน Windows 7 ขึ้นไป)
นอกจากนี้ในองค์กรที่มีความซับซ้อนของแอพพลิเคชันไม่เยอะ หรือแอพพลิเคชันส่วนใหญ่เป็นเว็บเบส จะเปลี่ยนไปใช้ระบบปฏิบัติการอื่นๆ ไม่ว่าจะเป็นแมค ลินุกซ์ หรือ Chrome OS ก็คงไม่เป็นปัญหาอะไรมากนัก
อีกประเด็นที่สำคัญสำหรับการอัพเกรดคือ แอพพลิเคชันขององค์กร (ที่เขียนกันมาตั้งนานแล้ว สมัยพีซีเอื้ออาทร) ยังใช้ได้เฉพาะบน Windows XP เท่านั้น อันนี้ไม่มีทางเลือกนอกจากการจ่ายเงินเพื่อปรับปรุงแก้ไขหรือเปลี่ยน แอพพลิเคชันใหม่ เป็นเรื่องของ mindset ผู้บริหารว่านี่คือการลงทุนเพื่อระบบไอทีที่ก้าวหน้าขึ้นในอนาคต ไม่เป็นคอขวดหรือภาระขององค์กร มันไม่ใช่การสิ้นเปลืองซื้อคอมใหม่สเปกแรงหรือระบบไอทีแพงๆ ตามแฟชั่นแต่อย่างใด
ผมคิดว่าระบบไอทีภายในองค์กรที่สร้างขึ้นมาตั้งแต่ยุค 2000 ต้นๆ (โดยเฉพาะกลุ่มที่เขียนเองหรือจ้างเขียน ไม่ได้ซื้อสำเร็จ) น่าจะเริ่มล้าสมัยหรือเจอข้อจำกัดกันบ้างแล้ว บวกกับโลกไอทีปัจจุบันกำลังเปลี่ยนรอบของเทคโนโลยีพอดี (แอพที่เคยถูกสร้างมาสำหรับ IE6 คงไม่สามารถรันบน iPad ได้แน่ๆ) ดังนั้นก็น่าจะถือโอกาสยกเครื่องระบบไอทีหรือแอพพลิเคชันภายในให้ทันสมัย ขึ้นไปพร้อมๆ กัน (อาจจะเป็นแอพพลิเคชันบนเว็บ หรือระบบเดสก์ท็อปแบบ virtualized/VDI ก็ได้)
ในรายละเอียดแล้ว การอัพเกรดระบบไอทีขององค์กรจากยุค XP มาเป็นยุค Windows 7/8 ไม่ใช่เรื่องง่าย มีเรื่องจุกจิกหยุมหยิมอีกพอสมควร (แล้วทวีคูณความยากลำบากด้วยจำนวนเครื่องที่มี) ซึ่งคงไม่สามารถลงรายละเอียดได้ในบทความนี้ แต่สามารถหาข้อมูลเพิ่มเติมได้จากลิงก์ข้างล่าง
- งานวิจัยของ IDC ถึงต้นทุน ROI เปรียบเทียบระหว่างการใช้ XP ต่อไป กับการอัพเกรด (ราคาต้นทุนเป็นดอลลาร์ตามเรตฝรั่ง แต่ใช้ดูเป็นแนวทางได้)
- Microsoft Deployment Toolkit รวมชุดเครื่องมือช่วยย้ายและอัพเกรดระบบปฏิบัติการ
- Retiring Windows XP เว็บรวมข้อมูลเรื่องการหมดอายุ Windows XP ของไมโครซอฟท์
- รวมข้อมูลทางเทคนิคสำหรับการอัพเกรดเป็น Windows 7
- รวมข้อมูลทางเทคนิคสำหรับการอัพเกรดเป็น Windows 8
บทสรุป: ความเจ็บปวดที่ต้องก้าวผ่าน
ผมเข้าใจคนที่ยังใช้ XP อยู่ในตอนนี้ว่า ใจจริงก็อยากเปลี่ยนแหละนะ แต่ติดขัดว่าต้องจ่ายเงินเพิ่ม (ซื้อคอมใหม่หรือไลเซนส์ใหม่ และอัพเกรดแอพพลิเคชันองค์กรใหม่ในกรณีคอมองค์กร) และต้องปรับตัวฝึกการใช้งานระบบปฏิบัติการใหม่ๆ อีกมาก
แต่มันไม่มีทางเลือกครับ ฮาร์ดแวร์และซอฟต์แวร์คอมพิวเตอร์ไม่ใช่เครื่องใช้ไฟฟ้าแบบดั้งเดิมที่ใช้ กันไปจนพัง แต่มันเป็นส่วนหนึ่งของ "โซลูชันทางไอที" ที่มีต้นทุนค่าบำรุงรักษาอยู่ตลอดเวลา วันนี้ได้เวลาควักเงินอีกก้อนเพื่อต่ออายุโซลูชันสำหรับอีก 5-10 ปีข้างหน้าแล้ว
นาฬิกานับถอยหลังไปเรื่อยๆ แล้วครับ
ขอบคุณเนื้อหา และภาพประกอบ
บทความโดย: mk