Thursday, April 23, 2009

10 Immutable Laws of Security

กฏความปลอดภัย 10 ประการในการเสริมภูมิต้านทานให้คอมพิวเตอร์
ทีมงาน Microsoft Security Response Center ได้เผยแพร่คำแนะนำ 10 ประการ ซึ่งถือเป็นกฏความปลอดภัยที่ช่วยเสริมภูมต้านทานให้การใช้งานคอมพิวเตอร์และอินเทอร์เน็ต

Law #1: If a bad guy can persuade you to run his program on your computer, it's not your computer anymore
ถ้าผู้ประสงค์ร้ายสามารถทำให้คุณรันโปรแกรมของเขาบนคอมพิวเตอร์ของคุณได้ คอมพิวเตอร์นั้นไม่ได้เป็นของคุณอีกต่อไป เนื่องจากเมื่อโปรแกรมถูกรัน มันสามารถที่จะทำอะไรก็ได้ เช่น เฝ้ามองการกดคีย์บอร์ดแล้วทำการส่งข้อมูลกลับไปยังผู้ที่เป็นเจ้าของมัน หรือทำการเปิดอ่านไฟล์เอกสารบนเครื่อง หรือแม้แต่การเข้าควบคุมระบบ

วิธีป้องกัน:
ไม่ทำการรัน หรือแม้แต่ทำการดาวน์โหลดโปรแกรมจากแหล่งที่ไม่น่าเชื่อถือ โดยแหล่งในที่นี้หมายถึงผู้ที่เขียนโปรแกรมนั้นๆ

Law #2: If a bad guy can alter the operating system on your computer, it's not your computer anymore
ถ้าผู้ประสงค์ร้ายสามารถทำการเปลี่ยนแปลงระบบปฏิบัติการบนคอมพิวเตอร์ของคุณได้ คอมพิวเตอร์นั้นไม่ได้เป็นของคุณอีกต่อไป เนื่องจากระบบปฏิบัติการนั้นจะทำงานในแบบ system-level privilege ซึ่งทำหน้าที่ตัวจัดการระบบทั้งหมด เช่น manage user accounts, handle password changes ดังนั้นเมื่อผู้ประสงค์ร้ายทำการแก้ไขหรือเปลี่ยนแปลงระบบปฏิบัติการได้ ทำให้ระบบนั้นหมดความน่าเชื่อถือลงอย่างสิ้นเชิง

วิธีป้องกัน:
ตรวจสอบให้แน่ใจว่า ystem files (registry และอื่นๆ) ได้รับการป้องกันอย่างเหมาะสม อ่านรายละเอียดได้ที่เว็บไซต์ Security Checklist http://technet.microsoft.com/en-us/library/cc958360.aspx

Law #3: If a bad guy has unrestricted physical access to your computer, it's not your computer anymore
ถ้าผู้ประสงค์ร้ายสามารถเข้าถึงตัวเครื่องคอมพิวเตอร์ได้ คอมพิวเตอร์นั้นไม่ได้เป็นของคุณอีกต่อไป เนื่องจากผู้ประสงค์ร้ายอาจจะทำการขโมย ทำลาย ก็อปปี้ข้อมูล ดูพลิเคทดิสก์ และ ฯลฯ

วิธีป้องกัน:
ตรวจสอบให้แน่ใจว่าคอมพิวเตอร์ได้รับการปกป้องอย่างเหมาะสมกับมูลค่าของมัน (มูลค่านั้นจะเป็นเชิงข้อมูลและความสำคัยไม่ใช่ในเชิงราคาของตังฮารืดแวร์) ตัวอย่างเช่น Domain controllers, database servers, and print/file servers ควรจัดเก็บอยู่ในห้องที่มีการล็อกอย่างแน่นหนาและปลอดภัย ในกรณีที่ของการใช้งานแลปท็อปให้พิจารณาใช้โปรแกรมเข้ารหัสข้อมูลเพื่อป้องกัน

Law #4: If you allow a bad guy to upload programs to your website, it's not your website any more
ถ้าผู้ประสงค์ร้ายสามารถทำการอัพโหลดโปรแกรมขึ้นเว็บไซต์ของคุณได้ เว็บไซต์นั้นไม่ได้เป็นของคุณอีกต่อไป เนื่องจากถ้าคุณอนุญาตให้ผู้ใช้สามารถอัพโหลดและรันโปรแกรมบนเว็บไซต์ของคุณได้ ผลที่ได้ก็จะไม่ต่างกับผลใน Law #1

วิธีป้องกัน:
จำกัดสิทธิ์การใช้งานเว็บไซต์ของผู้ใช้ เพื่อความปลอดภัยให้อนุญาตให้รันเฉพาะโปรแกรมที่คุณพัฒนาเองหรือจากผู้พัฒนาที่คุณเชื่อถือ ในกณรีที่มีการใช้งานเว็บไซต์แบบ shared server ต้องมีการกำหนดนโยบายความปลอดภัย

Law #5: Weak passwords trump strong security
การใช้รหัสผ่านที่ง่ายๆ เช่น 12345 ทำให้ระบบมีความเสี่ยงเนื่องผู้ประสงค์ร้ายอาจจะทำการล็อกออนแบบสุ่มเข้าระบบได้

วิธีป้องกัน:
เลือกใช้รหัสผ่านที่มีความยาวอย่างน้อน 7 ตัว และควรมีความซับซ้อนด้วย เช่น ควรมีการใช้ตัวอักษร ตัวเลข ตัวอักษรพิเศษ เป็นต้น

Law #6: A computer is only as secure as the administrator is trustworthy
ความปลอดภัยคอมพิวเตอร์จะขึ้นอยู่กับความน่าเชื่อถือของ Administrator

เนื่องจาก Administrator เป็นผู้ใช้ที่มีพลังอำนาจไร้ขีดจำกัด สามารถกระทำการทุกๆ อย่างได้กับเครื่องคอมพิวเตอร์ ดังนั้นถ้า Administrator ขาดความน่าเชื่อถือสามารถจะไม่สนใจมาตรการรักษาความปลอดภัยใด และอาจจะทำการละเมิดกฏระเบียบต่างๆ เช่น เปลี่ยนแปลง Permission, แก้ไข system security policies หรือติดตั้ง malicious software เป็นต้น หน่วยงานใดมีAdministrator ขาดความน่าเชื่อถือ เท่ากับหน่วยงานนั้นขาดความปลอดภัยโดยสิ้นเชิง

วิธีป้องกัน:
ในการจ้างพนักงาน Administrator ให้ทำการตรวจสอบให้แน่ใจว่ามีความน่าเชื่อถืออาจจะต้องมีแหล่งอ้างอิงที่น่าเชื่อถือ หรือตรวจสอบประวัติการทำงานๆ จากบริษัทที่เคยทำงานมาก่อนหน้า และหลังจากรับเข้าทำงานแล้วก็ต้องทำการประเมินเป็นระยะ และที่สำคัญอย่าให้สิทธิ์ระดับ Administrator แก่พนักงานชั่วคราวหรือผู้รับเหมาเป็นอันขาด

นอกจากนี้ควรมีการบันทึกการเข้า-ออกห้อง Server (ห้อง Server ควรทำการล็อกประตูไว้ตลอดเวลา) และถ้าเป็นไปได้ใช้กฏ "Two Person" เมื่อต้องทำการติดตั้งหรืออัพเกรดระบบทั้งฮาร์ดแวร์และซอฟต์แวร์ และขั้นตอนสุดท้ายควรทำการออดิตระบบและเก็บข้อมูลต่างๆ ที่ได้จากการออดิต ไว้บนสื่อเก็บข้อมูลชนิดอ่านได้อย่างเดียว

Law #7: Encrypted data is only as secure as the decryption key
ความปลอดภัยของ Encrypted data ขึ้นอยู่กับความน่าเชื่อถือของ decryption key
เนื่องจากต่อให้ใช้การเข้ารหัสข้อมูลที่ดีและแข้งแกร่งขนาดไหน ถ้า decryption key ไม่ได้รับการจัดเก็บหรือป้องกันที่ดีแล้ว เสมือนกับข้อมูลดังกล่าวไม่ได้ถูกเข้ารหัสไว้ เนื่องจากใครก็ตามที่สามารถเข้าถึง decryption key ก็สามารถที่จะทำการถอดรหัสข้อมูลได้ง่ายๆ

วิธีป้องกัน:
ถึงแม้ว่าระบบปฏิบัติการและโปรแกรมสำหรับใช้เข้ารหัสข้อมูล จะมีอ็อปชันให้เก็บ decryption key ไว้บนเครื่องคอมพิวเตอร์ก็ตาม แต่ถ้าเป็นไปได้ให้ทำการเก็บ decryption key ไว้ในสื่อเก็บข้อมูลแบบออไลน์ เช่นการส่งออกไปเก็บไว้ใน flash drive (ควรทำการสำเนาไว้อย่างน้อย 2 ชุด และเก็บแต่ละชุดไว้คนละที่กัน)

Law #8: An out of date virus scanner is only marginally better than no virus scanner at all
โปรแกรมป้องกันไวรัสที่ไม่อัพเดทไม่ต่างอะไรกับการไม่มีโปรแกรมป้องกันไวรัส
กฏข้อนี้ไม่มีอะไรซับซ้อน แต่ก็มีผู้ใช้หลายต่อหลายคนที่ไม่ทราบ และบางส่วนก็ไม่ได้ตระหนัก (ตัวอย่างใน Windows XP จะมีเครื่องมือชื่อ Security Center ซึ่งทำหน้าที่ช่วยตรวจสอบการทำงานของโปรแกรมป้องกันไวรัส และแจ้งให้ทราบเมื่อโปรแกรมไม่อัพเดท มีผู้ใช้บางคนที่เมื่อได้รับการเตือนกลับไปปิดไม่ให้มันทำการแจ้งเตือน แทนที่จะทำการอัพเดทโปรแกรมป้องกันไวรัส...???) เนื่องจากปัจจุบันมีไวรัสออกระบาดทุกวันและวันละหลายๆ ตัว และที่สำคัญการระบาดไม่ได้ใช้เวลานานเหมือนเมื่อก่อน แต่เพียงแค่ชัวโมงหรือสองชั่วโมงไวรัสที่เริ่มระบาดที่อเมริกาก็ระบาดถึงเมืองไทยแล้ว ดังนั้นหากโปรแกรมป้องกันไวรัสไม่อัพเดท ก็ไม่มีทางที่จะตรวจพบและป้องกันไวรัสตัวใหม่ได้ นั้นก็คือ ไม่ได้แตกต่างอะไรกับการไม่มีโปรแกรมป้องกันไวรัส

วิธีป้องกัน:
วิธีการป้องกันนั้นทำได้ง่ายๆ (แต่ทำการใมไม่ทำกันก็ไม่ทราบ...?) คือให้ทำการอัพเดทไวรัสทุกวัน โดยแนะนำให้ทำการคอนฟิกให้โปรแกรมทำการอัพเดทโดยอัตโนมัติจะดีที่สุด สำหรับวิธีการคอนฟิกนั้นให้ศึกษาจาก Help ของโปรแกรมป้องกันไวรัสที่ท่านใช้

Law #9: Absolute anonymity isn't practical, in real life or on the Web
ไม่มีการไร้ร่องรอยที่สมบูรณ์แบบในโลกของอินเทอร์เน็ต เนื่องจากเมื่อคุณทำการท่องอินเทอร์เน็ต ไม่ว่าคุณจะระมัดระวังขนาดไหน ใช้โปรแกรมป้องกันที่มีความปลอดภัยสูงขนาดไหน หรือแม้แต่การใช้บริการแบบ Anonymizing service ก็ตาม ไม่ได้ทำให้ร่องรอยการท่องอินเทอร์เน็ตของคุณหายไปอย่างสิ้นเชิง วิธีการต่างๆ เหล่านั้นเพียงแต่ช่วยให้การค้นหาว่าคุณคือใครทำได้ยากขึ้นเท่านั้น แต่ไม่ได้หมายว่าจะเป็นไปไม่ได้เลย นั้นคือเหตุผลที่ทำให้ผู้ใช้อินเทอร์เน็ตสูญเสียความเป็นส่วนตัวได้ง่ายกว่าในทางโลกจริง

วิธีป้องกัน:
หลีกเลี่ยงเว็บไซต์ที่ไม่น่าเชื่อถือ อ่านและทำความเข้าใจกับ Privacy statement ของเว็บไซต์ที่ท่านเข้าใช้งาน และให้ทำการปิดใช้งาน cookie ถ้าไม่มีความจำเป้นต่อการใช้งาน

Law #10: Technology is not a panacea
เทคโนโลยีไม่ใช่ยาครอบจักรวาล ถึงแม้ว่าเทคโนโลยีสามารถทำในสิ่งน่าทึ่งต่างๆ ได้มากมาย แต่ความปลอดภัยที่สมบูรณ์แบบ 100 เปอร์เซ็นต์นั้นไม่มีอยู่ในโลกแห่งความเป็นจริง ดั้งนั้นควรจำสิ่งสำคัญ 2 อย่าง ดังนี้
1. ความปลอดภัยเกิดจากการรวมกันของเทคโนโลยีและนโยบายการนำมันไปใช้งาน
2. ความปลอดภัยเป็นเสมือนการเดินทางไม่ใช่ปลายทาง นั้นคือจะต้องดำเนินการแก้ไขป้องกันอย่าวสม่ำเสมอ ไม่สามารถที่จะแก้ไขได้แล้วเสร็จในครั้งเดียว

บทความโดย: Thai Windows Administrator Blog

ที่มา
Microsoft Security Response Center

© 2009 TWAB. All Rights Reserved.

0 Comment: