Schneier on security , Bruce Schneier

Written by pspn on . Posted in InfoSec Book

alt

หนังสือเล่มนี้เป็นการรวบรวมบทความของเขา  จากที่เคยเผยแพร่ตามสื่อต่างๆ  ไม่ว่าจะเป็นหนังสือพิมพ์  นิตยสาร  เว็บไซต์  และจากจดหมายข่าวรายเดือน Crypto-Gram ระหว่าง ปี 2002 – 2008   โดยมีจุดที่น่าสนใจ 4 เรื่องที่เขาแนะนำให้ต้องทำความเข้าใจก่อนที่จะอ่านบทความต่าง ๆของเขาทั้งหมดในหนังสือเล่มนี้ :

Security is a trade-off - ความปลอดภัยคือการถ่วงดุลกันระหว่างสิ่งที่จะได้มากับที่ต้องเสียไป   คำนี้ถูกต้องมากๆ  เพราะเรื่องของความปลอดภัยต้องแลกมาด้วยความไม่สะดวก  หรือ อาจต้องใช้เงินเยอะ ใช้ทรัพยากรเยอะเช่น คนหรือเวลา  ดังนั้นเราต้องถ่วงให้สมดุลกัน
You are a security consumer– เราทุกคนเป็นผู้บริโภคด้านความปลอดภัย  ไม่ว่าจะเป็นตัวเราเอง  บริษัท  หรือในระดับประเทศ  เนื่องจากการรักษาความปลอดภัยคือการถ่วงดุล  ซึ่งแต่ละคนก็มีการถ่วงดุลแต่ต่างกันไปเนื่องจากการรักษาความปลอดภัยเป็นสิ่งที่จัดต้องไม่ได้ (Subjective) ไม่ตายตัว   เหมือนกันกับเรื่องการเลือกซื้อผงซักฟอก  แต่ละคนก็เลือกแตกต่างๆกันไป
Security is system  - บ่อยครับที่เราคิดกันไปว่าการรักษาความปลอดภัยเป็นเรื่องเฉพาะตน  หรือเป็นเรื่องของเฉพาะเกี่ยวกับการโจมตีและการป้องกัน  แต่จริงๆแล้วความปลอดภัยเป็นส่วนหนึ่งของระบบ
Technology causes security imbalance  - เทคโนโลยีเป็นตัวที่เปลี่ยนตัวถ่วงดุลด้านความปลอดภัย  มันทำให้บางอย่างถูกลง  หรืออาจจะแพงขึ้น  เร็วขึ้น  หรืออาจจะใช้เวลามากขึ้น  ซึ่งเทคโนโลยีอาจทำให้การโจมตีง่ายขึ้น  หรือทำให้การป้องกันง่ายขึ้นก็เป็นได้   ในโลกปัจจุบันที่เทคโนโลยีมีการเปลี่ยนแปลงไปอย่างรวดเร็ว มันเป็นเรื่องสำคัญที่เราต้องเฝ้าจับตามองเรื่องความปลอดภัยที่ไม่สมดุล

ในตอนต้นพูดถึงเรื่องของการก่อการร้ายในรูปแบบต่าง ๆ  และการรักษาความปลอดภัยที่ใช้ในการรับมือกับผู้ก่อการร้าย ไปจนถึงเครื่องมือ  ไม่ว่าจะเป็นเทคโนโลยี   กฎหมาย  หรือ การอนุญาตกันอย่างลับๆ ของรัฐบาลฯ ในการดำเนินการต่างๆ  เพื่อตรวจจับหรือคาดการเหตุการณ์การก่อการร้ายที่อาจเกิดขึ้น  อาจสืบเนื่องมาจากเหตุการณ์ 9/11 ที่ทุกคนคงจำกันได้  และ Schneier ได้พูดถึงเหตุการณ์นี้อยู่หลายครั้งตลอดทั้งเล่ม

 

“It’s not about data collection; it’s about data analysis”  เป็นข้อความที่โดนใจมาก..  เพราะการเก็บรวบรวมข้อมูลต่าง ๆ  ไม่ใช่ทำไปเพิ่มเก็บไว้เฉยๆ  ต้องเอามาวิเคราะห์เพื่อให้ได้ข้อมูลที่มีประโยชน์  ก็เลยเป็นที่มาของระบบ BI (Business Intelligence)…  ที่บริษัทส่วนใหญ่กำลังเอามาใช้กันในระบบธุรกิจ

 

... ผมก็เพิ่งรู้จากหนังสือเล่มนี้เองว่าที่อเมริกา  เขาใช้ระบบ AI ในการแจ้งเตือนเหตุการณ์การก่อการร้ายด้วย  แต่ Schneier วิจารณ์ไว้ได้น่าฟังมาก  เขามองว่าระบบพวกนี้ไม่สามารถใช้งานได้จริง  เพราะการเก็บข้อมูลมากมายขนาดนั้นจะทำให้เกิด Fault Positive คือระบบแจ้งเตือนว่าจะมีการก่อการร้ายแต่จริงๆ ไม่ใช้ ทำให้ผู้ปฏิบัติงานมองข้ามเหตุการณ์ที่อาจจะเกิดจริงไป และยังเปลืองงบประมาณชาติอีกต่างหาก  แถมยังเป็นการระเมินความเป็นส่วนตัว (Privacy) ด้วย    อันนี้บ้านเราก็กำลังเอาเข้ามาทำกันอยู่ :(   

นอกจากนั้นยังมีกฎหมายการอนุญาตให้ CIA สามารถดักฟังการสนทนาของประชาชนได้อย่างไม่ผิดกฎหมายอีกด้วย  อันนี้สำคัญเพราะเราไม่รู้ว่าเขาจะเอาไปใช้ในทางที่ผิดหรือไม่  และไม่มีใครมาคอยตรวจสอบอำนาจนี้  เขาเสนอว่าควรที่จะดังฟังเฉพาะผู้ที่ต้องสงสัยเท่านั้น  แต่พี่ท่านเล่นดักฟังทั้งประเทศเลย...  ถ้าอยากรู้รายละเอียดเพิ่มเติมเรื่องนี่ลองค้นคำนี้ดู  “Echelon Project” เป็นโปรแกรมของ NSA ที่ใช้ในการดักจัดข้อมูลที่ผ่านเข้าออกประเทศทั้งหมด  นอกจากนี้ยังมีโครงการทำนองนี้อีกหลายโครงการ

 

..ต่อมาเขาได้พูดถึงเรื่องของการรักษาความปลอดภัยของสนามบิน  การตรวจสอบผู้โดยสารก่อนเข้าสนามบิน เพื่อป้องการผู้ก่อการร้าย  และระบบ No-Fly List  ซึ่งก็อีกนั่นแหละ    เขาก็วิจารณ์ซะแหลกเลยเมือนกันซึ่งก็มีส่วนจริงอยู่บ้าง  เนื่องจากการใช้ระบบ No-Fly List ก็ไม่ค่อยได้ผลเหมือนกัน  เมื่อดูจากเหตุการณ์การก่อการร้ายต่างๆ ที่เกิดขึ้นมาก (เขาได้รวบรวมเหตุการณ์ต่างๆประกอบให้เห็นภาพด้วย)  เพราะไม่มีผู้ก่อการร้ายไหนใช้ชื่อจริงในการลงทะเบียนเลย  แถมยังมีปัญหากับบางคน  ที่เป็นผู้บริสุทธิ์ แต่ชื่อดังไปตรงกับที่อยู่ใน No-Fly List ก็ซวยกันไป :)    ทางรัฐฯ ก็แก้ไขได้การเพิ่มระบบ “Trusted Traveler Program” คือรายชื่อผู้ที่น่าเชื่อถือ เช่น รัฐมนตรี  นักธุรกิจใหญ่ ... ก็ไมต้องมีการตรวจสอบที่เข้มมาก    ก็เป็นช่องทางสะดวกของผู้ก่อการร้ายด้วยเหมือนกัน ....

Schneier ได้พูดถึงเรื่องความเป็นส่วนตัว (Privacy) ไว้เยอะเหมือนกันตลอดทั้งเล่ม   รวมถึงพลังอำนาจของข้อมูลส่วนตัว (Privacy data) เป็นที่มาว่าทำไมต้องมีเรืองกฎหมายเกี่ยวกับความเป็นส่วนตัว (Privacy Law) ซึ่งบ้านเราก็กำลังเป็นร่างอยู่ ... นานมากแล้ว  ไม่รู้ว่าจะได้คลอดหรือป่าว   เพราะบริษัทต่าง ๆ ไม่ว่าจะเป็นบริษัทบัตรเครดิต  หรือ บริษัทอื่นที่มีข้อมูลส่วนตัวเขาเราเก็บไว้  มีการเอาข้อมูลส่วนตัวของเราไปขายให้คนอื่น  ตอนนี้เมืองไทยเราก็เป็นแบบนี้...   อยู่ดีๆ ก็มีบริษัทประกันโทรมาหาผม เสนอโน้นนี้นั้น  และบอกว่าเป็นโปรโมชั่นของผู้ถือบัตร..  

 

และหากใครมีข้อมูลส่วนตัวของเราในมือ.. เราก็ไม่เหลือความเป็นส่วนตัวอีกแล้ว :(  เขาสามารถใช้ข้อมูลนั้นกระทำการใดๆ โดยแอบอ้างว่าเป็นตัวเราได้    ตอนนี้ Facebook ก็ได้เล็งเห็นปัญหาข้อนี้แล้ว.. และได้ออกฟังก์ชั่นในการควบคุมความเป็นส่วนตัวของเราให้เราสามารถกำหนดได้ว่าให้ใครเห็นได้บ้าง

 

การเลือกตั้งที่สหรัฐฯก้าวหน้าไปมาก  มีการนำเทคโนโลยีเข้ามาช่วยทำให้การเลือกตั้งและการนับผลการเลือกตั้งทำได้รวดเร็วขึ้น  แต่สิ่งที่ตามมาคือเรื่องของการรักษาความปลอดภัย   การเลือกตั้งเป็น Privacy อย่างหนึ่งแต่ต้องโปร่งใสมันอาจดูขัดแย้งกันหน่อยแต่มันก็เป็นอย่างนั้นจริงๆ  เราจะมั่นใจได้อย่างไรว่าไม่มีใครมาแก้ไขสิ่งที่เราเลือกไป  schneier ได้ให้แนวคิดและวิธีแก้ปัญหาไว้ได้น่าสนใจอย่างหนึ่งคือการให้เครื่องที่ใช้โหวตพิมพ์สลิปออกมาด้วยและนำไปหย่อนที่ตู้  เพื่อให้สามารถนำมาตรวจสอบได้ภายหลัง และการโกงผลโหวตก็ทำได้ยากกว่าที่เป็นระบบดิจิตอล

 

ภัยพิบัติอาจเกิดจากภัยธรรมชาติ เช่น น้ำท่วม  แผ่นดินไหว ไฟไหม้  ตึกถล่ม  เป็นต้น   แต่เรื่องความปลอดภัยก็อาจทำให้เกิดภัยพิบัติขึ้นมาได้เหมือนกัน เช่น เหตุการณ์ 9/11 ที่ผ่านมา   ก็เป็นตัวอย่างภัยพิบัติที่เกิดจากการก่อการร้ายที่เห็นได้ชัดเลยทีเดียว  และจากเหตุการณ์นั้นก็ทำให้วงการด้านความปลอดภัยเกิดความตระหนักถึงเรื่องการเตรียมการเพื่อรับมือกับเหตุการณ์ภัยพิบัติต่าง ๆ  เพื่อให้ธุรกิจอยู่รอดและดำเนินการได้อย่างต่อเนื่อง  นอกจากผู้ก่อการร้ายแล้ว  อาจเกิดจากสาเหตุอื่นได้อีก  เช่น แฮกเกอร์  ไวรัสคอมพิวเตอร์  เป็นต้น   ในเล่มได้มีการยกตัวอย่างเหตุการณ์ไฟฟ้าดับทั้งประเทศเมื่อวันที่ 14 สิงหาฯ  ที่เกิดจากไวรัสฯ Blaster นี่ก็เป็นเหตุการณ์ที่พวกเราไม่ควรมองข้ามเหมือนกัน  บ้านเราควรมีความตระหนักเรื่องนี้ด้วยเหมือนกัน ใครจะไปคิดว่าระบบ SCADA ที่แยกออกมาจากระบบอื่นๆ จะติดไวรัสฯ ได้

 

Prof. Howard A. Schmidt (ปัจจุบันดำรงตำแหน่ง Chief of Cybersecurity ของประธานาธิบดี Obama.) เคยกล่าวไว้ว่า “การรักษาความปลอดภัยสารสนเทศ  เป็นเรื่องเฉพาะตน” ทุกคนต้องรับผิดชอบเอง  โปรแกรมก็ต้องเขียนโค้ดให้มีความปลอดภัย  บริษัทซอฟต์แวร์ต้องผลิตซอฟต์แวร์ที่มีความปลอดภัยออกสู่ตลาด 

 

แต่ Schneier มีความเห็นต่างออกไป  เขาเห็นว่าการรักษาความปลอดภัยเป็นเรื่องในระดับเศรษฐกิจ  การจะทำให้เกิดความปลอดภัยขึ้นมาได้ต้องทำอย่างเป็นระบบ  การที่จะทำให้ผู้ผลิตซอฟต์แวร์หันมาผลิตซอฟต์แวร์ที่มีความปลอดภัยตั้งแต่แรกนั้นหากไม่มีเรื่องเศรษฐศาสตร์เข้ามาเกี่ยวข้องแล้วเป็นไปได้อยาก เพราะทุกคน/บริษัทต้องการที่จะผลิตสินค้าออกสู่ตลาดให้เร็วทันความต้องการตลาดและลดต้นทุนได้  ดังนั้นหากเรามีระบบเศรษฐศาสตร์เข้ามาช่วยจะทำให้มีการรักษาความเป็นภัยเป็นระบบ  เขาเสนอว่า หากมีกฎหมายให้สามารถฟ้องเรียกร้องค่าเสียหายจากบริษัทได้หากซอฟต์แวร์ที่ผลิตมีปัญหาเรื่องความปลอดภัย  เหมือนกับที่ทำกับผลิตภัณฑ์อื่น เช่น อาหาร หรือ ของใช้อื่น  

 

การนำเรื่องของระบบประกันเข้ามาช่วย  เช่น ลดค่าเบี้ยประกันให้กับบริษัทที่แสดงให้เห็นว่ามีการรักษาความปลอดภัยที่ดีพอ  จะทำให้ผู้บริหารมองเห็นสิ่งที่จะได้รับเป็นรูปประธรรมมากขึ้น งบประมาณด้านการรักษาความปลอดภัยจะได้ดูไม่ไร้ค้าเหมือนทุกวันนี้  ตลอดจนการออกกฎหมายและข้อบังคับเกี่ยวกับการรักษาความปลอดภัยข้อมูลก็มีส่วนช่วยเช่นกัน  เช่น SOX   HIPPA  รวมถึงการตรวจสอบจาก Auditor ในบริษัทที่เข้าสู่ตลาดหลักทรัพย์ ด้วย  จะเห็นว่าการรักษาความปลอดภัยไม่ใช่เรื่องเฉพาะตนอีกแล้วทุกต้องทำกันอย่างเป็นระบบ

 

Who owns your computer?  เป็นคำถามที่น่าสนใจมาก  ทุกวันนี้ในอินเตอร์เน็ตเต็มไปด้วยไวรัสฯ  โทรจัน เวิร์ม ....  และแน่นอนว่าคอมพิวเตอร์ทุกเครื่อง น่าจะมีไวรัสฯอยู่ไม่มากก็น้อย บางทีแอนตีไวรัสที่เราติดตั้งอยู่ก็เป็นไวรัสฯ เสียเอง  และอีกอย่างเราไม่สามารถควบคุมคอมพิวเตอร์ของเราได้เต็มที่  เพราะตอนนี้มันสามารถอับเดรทตัวเองได้โดยที่เราไม่ต้องสั่งงาน... รองคิดดูดสิ  ใครเป็นเจ้าของมันกันแน่!  หากใครใช้งาน iPhone อยู่คงจะตอบคำถามข้อนี้ได้เป็นอย่างดี  เพราะเราไม่สามารถทำอะไรกับมันได้มากนักเพราะมันโดนล็อคไปซะทุกอย่าง

 

ทุกวันนี้ อาชญากรรมในโลกไซเบอร์  และสงครามไซเบอร์ เป็นเรื่องที่เราค้นเคยซะแล้ว  ตัวอย่างที่เป็นได้ใช้แจนก็คือ จีนกับสหรัฐฯ  ก็มีข่าวออกมาอยู่บ่อยๆ   บ้านเมืองเราก็ไม่ต่างกัน  ในสภาวะที่มีการประท้วงเรียกร้องกันอยู่บนถนนในขณะเดียวกันในโลกไซเบอร์อาจมีการดำเนินการอะไรซักอย่างอยู่ก็เป็นได้!   นี้ไปรวมไปถึงการโจมตีกันด้วยการกล่าวร้ายกันผ่านทางเว็บไซต์นะ...  

เครื่องมือที่สำคัญของการก่ออาชญากรรมหรือส่งครามไซเบอร์  ที่นิยมก็คือ BotNet ที่เราอาจเคยเห็นในข่าวอยู่บ่อยๆ ว่ามีแฮกเกอร์โจมตีเว็บไซต์ ต่าง ๆเช่น เว็บไซต์ของกระทรวงกลาโหมสหรัฐฯ ยะฮู  และอื่นๆ อีกมาก

 

สุดท้าย Schneier ได้ให้แนวทางในการรักษาความปลอดภัยคอมพิวเตอร์และข้อมูลสารสนเทศไว้ ไม่ว่าจะเป็นการกำหนดตั้งค่าต่างๆ เพื่อความปลอดภัยตลอดจนการเลือกรหัสผ่านที่มีความปลอดภัย  อันนี้สำคัญมาก เพราะตอนนี้ (มีนา 53) ทวีตเตอร์ของโอบามาโดยแฮกได้เพราะรหัสผ่านอ่อนนี่เอง  การแบ่งแยกความเป็นเข้าของระหว่างเจ้าของข้อมูลและเจ้าของอุปกรณ์เพื่อการรักษาความปลอดภัยที่ง่ายขึ้น   รวมไปถึงการต่อกรกับสแปม  และได้ยกตัวอย่างกรณีที่โดงดังไปทั้งโลกนั่นก็คือ “Sony’s DRM Rootkit”  เป็นการป้องกันลิขสิทธิ์โดยการแอบติดตั้ง Rootkit ไว้ที่เครื่องผู้ใช้และมีการรายงานไปที่ sony ซึ่งโปรแกรมแอนตีไวรัสบางค่ายตรวจจับได้  นี่ก็เป็นภัยที่เราต้องระวังเช่นเดียวกัน.....

 

blog comments powered by Disqus