- หกแนวคิดที่งี่เง่าที่สุดในความปลอดภัยคอมพิวเตอร์
- ความปลอดภัยคอมพิวเตอร์ยังคงเป็น "หัวข้อร้อนแรง"
- เหตุใดจึงยังคงมีปัญหา ทั้งที่ลงทุนทั้งเวลาและเงินไปมากมาย?
อนุญาตโดยค่าเริ่มต้น
- "อนุญาตโดยค่าเริ่มต้น" ปรากฏในหลายรูปแบบ
- มักพบได้บ่อยที่สุดในกฎของไฟร์วอลล์
- เมื่อพบช่องโหว่ใหม่ ผู้ดูแลระบบต้องตัดสินใจว่าจะบล็อกมันหรือไม่
- "อนุญาตโดยค่าเริ่มต้น" ก่อให้เกิดการแข่งขันที่ไม่มีวันจบกับแฮ็กเกอร์
- แนวคิดตรงข้ามคือ "ปฏิเสธโดยค่าเริ่มต้น" ซึ่งเป็นไอเดียที่ดี
การไล่ลิสต์สิ่งไม่ดี
- ในยุคแรกของความปลอดภัยคอมพิวเตอร์ มีเพียงช่องโหว่ที่รู้จักกันดีอยู่ไม่กี่อย่าง
- "การไล่ลิสต์สิ่งไม่ดี" คือการรวบรวมรายการองค์ประกอบอันตรายทั้งหมดแล้วบล็อกมัน
- องค์ประกอบอันตรายในอินเทอร์เน็ตมีมากกว่าองค์ประกอบที่เป็นประโยชน์
- "การไล่ลิสต์สิ่งไม่ดี" ไม่มีประสิทธิภาพ และ "การไล่ลิสต์สิ่งที่ดี" เป็นแนวทางที่ดีกว่า
เจาะแล้วแพตช์
- "เจาะแล้วแพตช์" คือแนวทางที่ค้นหาบั๊กแล้วแก้ไขมัน
- วิธีนี้ไม่ได้แก้ปัญหารากฐานของโค้ด
- การค้นพบช่องโหว่ด้านความปลอดภัยแล้วออกแพตช์ไม่ใช่วิธีแก้ปัญหาที่ต้นตอ
- ระบบความปลอดภัยควรถูกสร้างให้ปลอดภัยตั้งแต่ขั้นตอนการออกแบบ
การแฮ็กเป็นเรื่องเท่
- การมองว่าการแฮ็กเป็นเรื่องเท่เป็นความคิดที่งี่เง่า
- การแฮ็กเป็นปัญหาทางสังคม ไม่ใช่ปัญหาทางเทคนิค
- การยกย่องแฮ็กเกอร์ให้เป็นฮีโร่คือการส่งเสริมการแฮ็ก
- การที่ผู้เชี่ยวชาญด้านความปลอดภัยไปเรียนรู้เทคนิคการแฮ็กก็เป็นความคิดที่งี่เง่าเช่นกัน
การอบรมผู้ใช้
- การอบรมผู้ใช้คือเวอร์ชันที่เป็นมนุษย์ของ "เจาะแล้วแพตช์"
- การให้ความรู้ผู้ใช้ไม่ใช่วิธีแก้ปัญหาที่ต้นตอ
- แทนที่จะแก้ปัญหา การกำจัดปัญหาออกไปเป็นแนวทางที่ดีกว่า
การลงมือทำดีกว่าไม่ทำอะไรเลย
- แนวคิดที่ว่า "การลงมือทำดีกว่าไม่ทำอะไรเลย" เป็นความคิดที่งี่เง่า
- ก่อนนำเทคโนโลยีใหม่มาใช้ การพิจารณาอย่างรอบคอบและรอให้แน่ใจก่อนเป็นกลยุทธ์ที่ดีกว่า
- ควรจำไว้ว่า "การไม่ทำเรื่องงี่เง่านั้นง่ายกว่าการทำเรื่องฉลาด"
สรุปโดย GN⁺
- บทความนี้กล่าวถึงความผิดพลาดงี่เง่าที่มักเกิดขึ้นในความปลอดภัยคอมพิวเตอร์
- การแก้ปัญหาที่ต้นตอเป็นสิ่งสำคัญเมื่อออกแบบระบบความปลอดภัย
- วัฒนธรรมที่มองว่าการแฮ็กเป็นเรื่องเท่อาจทำให้ปัญหาการแฮ็กรุนแรงขึ้น
- จำเป็นต้องใช้แนวทางที่แก้ปัญหาที่ต้นตอมากกว่าการอบรมผู้ใช้
- เมื่อนำเทคโนโลยีใหม่มาใช้ สิ่งสำคัญคือต้องพิจารณาให้รอบด้านและเข้าหาอย่างระมัดระวัง
1 ความคิดเห็น
ความคิดเห็นใน Hacker News
Default Denyไม่ได้ยากกว่าDefault Permitแต่ช่วยให้ผู้ดูแลความปลอดภัยไอทีนอนหลับได้ดีขึ้นในช่วงปลายยุค 90 และต้นยุค 2000 Marcus Ranum และ Bruce Schneier เคยโต้แย้งว่าการเปิดเผยช่องโหว่นั้นเป็นโทษ
น่าแปลกใจที่ไม่มีการกล่าวถึงรหัสผ่านเลย
การอ้างว่าไม่จำเป็นต้องมีการทดสอบความปลอดภัยถือเป็นมุมมองด้านความปลอดภัยที่แย่ที่สุด
แนวทางที่มุ่งเน้นความปลอดภัยก่อให้เกิดความไม่สะดวกแก่ผู้ใช้
exploitมีประโยชน์ต่อการเรียนรู้ด้านความปลอดภัยการแฮ็กเป็นเรื่องเท่ แต่การเข้าถึงข้อมูลและระบบของคนอื่นไม่ใช่
การเรียนรู้
exploitมีประโยชน์ต่อการเรียนทั้งภาคทฤษฎีและภาคปฏิบัติไปพร้อมกันปัญหาคือการแลกเปลี่ยนที่น่าเศร้าระหว่างการใช้งานง่ายกับความปลอดภัย
Default Permitเป็นผลเสียต่อความปลอดภัยการเชื่อถือฝั่งไคลเอนต์หมายถึงโมเดลความปลอดภัยนั้นพังไปแล้ว
แนวทาง
Penetrate and Patchทำให้งานด้านความปลอดภัยไร้ความหมาย