1 คะแนน โดย GN⁺ 2024-07-22 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

เกิดอะไรขึ้นกับความยืดหยุ่นทางดิจิทัล?

  • สาเหตุของหายนะทางดิจิทัล

    • การล่มสลายทางดิจิทัลที่ส่งผลกระทบต่อสนามบิน โรงพยาบาล และสถานีโทรทัศน์ในวันศุกร์ เกิดจากบั๊กในซอฟต์แวร์อัปเดต
    • นี่ไม่ใช่ฝีมือของฝ่ายศัตรู แต่เป็นเหตุการณ์ที่เปิดเผยความเปราะบางของสหรัฐฯ
  • ทำไมการกู้คืนจึงยาก

    • รัฐบาล Biden ได้จำลองสถานการณ์การโจมตีจากแฮ็กเกอร์รัสเซียและจีนมาโดยตลอด
    • แต่เหตุการณ์ครั้งนี้เกิดจากความผิดพลาดของมนุษย์อย่างเรียบง่าย
    • ในระบบเครือข่ายที่ซับซ้อน ความผิดพลาดเล็กน้อยอาจก่อให้เกิดปัญหาใหญ่ได้
  • ปฏิกิริยาของนักรบไซเบอร์

    • รู้สึกโล่งใจที่เหตุการณ์นี้ไม่ใช่การโจมตีในระดับรัฐชาติ
    • มัลแวร์อย่าง Volt Typhoon ของจีนค้นหาได้ยาก และกำจัดได้ยิ่งยากกว่า
    • เหตุการณ์นี้เผยให้เห็นขีดจำกัดของความยืดหยุ่นทางไซเบอร์อีกครั้ง
  • ความร่วมมือระหว่างภาครัฐและเอกชน

    • ในช่วงไม่กี่ปีที่ผ่านมา สหรัฐฯ เริ่มจัดการปัญหาความมั่นคงปลอดภัยไซเบอร์อย่างจริงจัง
    • หน่วยงานรัฐอย่าง FBI, NSA และ CISA ร่วมมือกับบริษัทเอกชนเพื่อแบ่งปันช่องโหว่และเตือนภัยแฮ็กเกอร์
    • ประธานาธิบดี Biden ได้จัดตั้งคณะกรรมการทบทวนความปลอดภัยไซเบอร์เพื่อตรวจสอบเหตุการณ์สำคัญ

สรุปโดย GN⁺

  • เหตุการณ์ครั้งนี้เป็นการล่มสลายทางดิจิทัลที่เกิดจากความผิดพลาดในการอัปเดตซอฟต์แวร์อย่างเรียบง่าย
  • เหตุการณ์นี้เปิดเผยความเปราะบางของระบบเครือข่ายที่ซับซ้อน และแสดงให้เห็นขีดจำกัดของความยืดหยุ่นทางไซเบอร์
  • ความร่วมมือระหว่างภาครัฐและเอกชนมีความสำคัญ และจำเป็นต้องมีระบบสำหรับทบทวนเหตุการณ์สำคัญ
  • ผลิตภัณฑ์หรือโครงการที่มีฟังก์ชันคล้ายกัน ได้แก่ ซอฟต์แวร์ความมั่นคงปลอดภัยไซเบอร์อย่าง CrowdStrike

1 ความคิดเห็น

 
GN⁺ 2024-07-22
ความคิดเห็นบน Hacker News
  • น่าสนใจที่บทวิเคราะห์ในสื่อแทบไม่มีใครพูดเลยว่า OS ที่ต้องแพตช์ความปลอดภัยบ่อย ๆ ไม่ควรถูกนำมาใช้ในโครงสร้างพื้นฐานตั้งแต่แรก
    ผมเห็นภาพจอรายชื่อเที่ยวบินบนป้ายไฟที่สนามบินขึ้นจอฟ้าด้วย เลยสงสัยว่าทำไมของแบบนี้ไม่สร้างบน Linux หรือ OpenBSD
    ความปลอดภัยไม่ใช่ฟีเจอร์ที่ค่อยเอามาโปะทีหลัง แต่ควรถูกฝังมาตั้งแต่ต้น และตอนนี้ก็เกิดทั้งอุตสาหกรรมที่พยายามโปะความปลอดภัยทับ Windows แต่ก็ยังทำงานได้ไม่เข้าท่า

    • เป็นไปได้สูงว่าเป็นเพราะเวนเดอร์ที่ทำซอฟต์แวร์นั้นทำมาแต่ สำหรับ Windows มาตลอด
      ในความเป็นจริง หลายกรณีเริ่มจากสำหรับ DOS หรือ OS/2 แล้วค่อยย้ายมา NT4 และทั้งประวัติศาสตร์ แรงเฉื่อย ความคุ้นเคย ต้นทุน และความง่ายในการซัพพอร์ตล้วนมีผล
      ความปลอดภัยไม่ใช่ผลิตภัณฑ์ แต่เป็นกระบวนการ และดิสโทรต่าง ๆ ก็ต้องอัปเดตบ่อยเช่นกัน แต่เราสามารถลดขอบเขตซอฟต์แวร์ที่ติดตั้งได้
      อุปกรณ์แสดงผลในสนามบินคงไม่จำเป็นต้องมีโคเดกอย่าง MPEG2 หรือ VP1
      ในระบบเฉพาะทางแบบนี้ยังมี ซอฟต์แวร์จากโรงรถ อยู่มาก ถึงจะอยากได้ SAML/OIDC ก็รองรับแค่ LDAP แบบข้อความธรรมดา หรืออย่างดีก็ Active Directory และถึงจะอยากได้ Apache Tomcat รุ่นล่าสุด เวนเดอร์ก็แก้ปัญหาไม่ได้ เลย “ซัพพอร์ต” แค่เวอร์ชันที่มีช่องโหว่อายุ 3 ปีทำนองนี้
      ถ้าสมมติฐานที่ว่าสาเหตุจอฟ้าของ CrowdStrike คือ null pointer ถูกต้อง ก็ควรใช้ภาษาที่ปลอดภัย และในกรณีนี้ผมคิดว่าโยนความรับผิดชอบไปที่ CrowdStrike ได้ง่าย
      Microsoft เป็นคนจัดหาปืนลูกซองให้ ส่วนการไม่หันปากกระบอกปืนเข้าหาตัวเองเป็นความรับผิดชอบของเวนเดอร์
    • ตอนนี้หน้าแรกก็มีโพสต์ว่า CrowdStrike ทำ Debian และ Rocky Linux พังเมื่อไม่กี่เดือนก่อน แต่ไม่มีใครรู้ อยู่ด้วย
      https://news.ycombinator.com/item?id=41018029
    • “OS ที่ได้รับอัปเดตความปลอดภัยบ่อย ๆ” กลับเป็นสัญญาณที่ดี
      เพราะหมายความว่ามีการหยิบยกปัญหาขึ้นมา และความเสี่ยงกำลังถูกบรรเทา
      ความปลอดภัยไม่ใช่ช่องให้ติ๊ก แต่ใกล้เคียงกับกระบวนการที่ไม่มีวันจบ เพราะสภาพแวดล้อมเปลี่ยนไปตลอด และ OS ที่ไม่ได้รับอัปเดตหรือไม่ถูกปรับปรุงบ่อย ๆ นั้นแย่กว่า
      สิ่งที่ต้องการคืออัปเดตที่ไม่ทำให้ OS ไม่เสถียร และเบื้องหลังนั้นมีชั้นของการตัดสินใจมหาศาลที่แต่ละองค์กรสั่งสมมาจากการปฏิบัติการอุปกรณ์เหล่านี้
      ความปลอดภัยควรถูกออกแบบเป็นชั้น ๆ และควรถูกฝังอยู่ในระบบ
      ไม่ใช่ว่า “มันไม่ทำงาน” แต่เป็นเพราะมันเงียบมานานจึงแปลว่ามันทำงานมาได้ และมนุษย์มักเห็นเด่นชัดเฉพาะเหตุการณ์ที่ล้มเหลวเท่านั้น
    • พนักงานสนามบินต้องซัพพอร์ตได้ ไม่ใช่มีแต่คนสไตล์ HN เท่านั้นที่จัดการได้
      คนส่วนใหญ่ใช้คอมพิวเตอร์ Windows เป็น ทีมซัพพอร์ต IT เดสก์ท็อปก็คุ้นกับการดูแล Windows และทีมอาคารสถานที่ก็ยังช่วยได้ระดับหนึ่ง
      Microsoft ทำให้การจัดการชุดคอมพิวเตอร์ทำได้ง่าย และยังมีการฝึกอบรม/การรับรองของตัวเอง รวมถึงการอบรมจากบุคคลที่สามจำนวนมาก
      Windows โดยพฤตินัยคือ เครื่องมาตรฐานสำหรับงานธุรกิจ และบริษัทป้ายดิจิทัลส่วนใหญ่ก็ใช้ Windows
      การหาคนที่รู้ BSD ไม่ใช่เรื่องง่าย
    • สำหรับ CTO/CISO จำนวนมาก สิ่งที่สำคัญกว่าระบบที่เสถียรและปลอดภัย คือ เป้าหมายที่ดี ไว้โยนความรับผิดเมื่อเกิดเรื่อง
      Big Brand เป็นเป้าหมายที่ดี แต่โปรเจกต์โอเพนซอร์สอย่าง OpenBSD ไม่ใช่
      ต่อให้เสียหายหลายล้านดอลลาร์ ก็ดูไม่น่าเป็นไปได้ที่ CTO จะถูกไล่ออกเพราะเลือก Windows+CrowdStrike แทน Linux/BSD
      คำพูดที่ว่า “ไม่มีใครถูกไล่ออกเพราะซื้อ IBM” อย่างน้อยก็ยังเป็นจริงในโลกองค์กร
  • ไม่แน่ใจว่าเคยมีช่วงเวลาที่มี “ความสามารถในการฟื้นตัวทางดิจิทัล” จริง ๆ หรือไม่ และถ้ามี ก็อยากรู้ว่าเมื่อไหร่
    ความปั่นป่วนครั้งนี้ไม่ได้เกิดจากฝ่ายปรปักษ์ แต่ก็เท่ากับมอบแผนที่ช่องโหว่ของสหรัฐฯ ในช่วงเวลาสำคัญ
    ฝ่ายที่ไม่เป็นมิตรกับสหรัฐฯ มีความเป็นไปได้สูงว่าได้ทำและสะสมแผนที่ช่องโหว่แบบนี้ไว้แล้ว
    น่าประหลาดใจ แต่ในอีกแง่ก็ชัดเจน ที่สหรัฐฯ และประเทศอื่น ๆ มีท่าทีหละหลวมต่อภัยคุกคามแบบนี้ และไม่เสริมความแข็งแกร่งให้ช่องโหว่มากกว่านี้
    ต้นทุนก็เป็นปัจจัยหนึ่ง แต่ผมมองว่าปัจจัยที่ใหญ่กว่าคือ ความสะดวก
    หากเสริมความแข็งแกร่งให้ระบบตามช่องโหว่ ระบบก็จะสะดวกน้อยลงและใช้งานง่ายน้อยลง และผู้คนก็จะต่อต้านทันที
    ตอนที่ Microsoft ออก Windows โดยเฉพาะ Windows 95 เพื่อดึงดูดผู้ใช้ที่ไม่ใช่ผู้เชี่ยวชาญ ก็ทำให้ทุกอย่างง่ายเพียงคลิกเท่านั้น และไม่ได้คำนึงถึงความปลอดภัยอย่างเพียงพอ
    เมื่อไวรัส ช่องโหว่ และการบุกรุกหลุดจากการควบคุม จึงมีการนำข้อจำกัดเข้ามาใช้ และผู้ใช้ก็ได้เสรีภาพที่เคยชินน้อยลง
    Microsoft ทำให้โลกคุ้นเคยกับวิธีดำเนินงานแบบหละหลวม และความพยายามที่จะย้อนกลับสิ่งนี้ก็เจอกับแรงต้านจากผู้ใช้มาโดยตลอด
    ตอนนี้เราติดอยู่กับปัญหาใหญ่ที่คาดการณ์ได้ง่ายตั้งแต่ก่อน Windows 95 เปิดตัว และการแก้ไขจะยากอย่างยิ่ง

    • คำพูดของ Charlie Munger ที่ว่า “ให้ผมดูแรงจูงใจ แล้วผมจะแสดงผลลัพธ์ให้ดู” นั้นถูกต้อง
      บริษัทไม่ได้รับรางวัลจากการเดินระบบคอมพิวเตอร์ที่ปลอดภัย มีระบบสำรอง และเชื่อถือได้ แต่ได้รับรางวัลจากการทำให้ตัวเลขบรรทัดล่างของงบกำไรขาดทุนสูงกว่าความคาดหวังที่นักวิเคราะห์ใน Lower Manhattan ตั้งไว้เมื่อ 90 วันก่อน
      ในสหรัฐฯ งานส่วนใหญ่ของสังคมถูกบริษัทเป็นผู้จัดการ ดังนั้นระบบสำคัญ ๆ ก็ถูกออกแบบเช่นนั้นด้วย
      เรื่องนี้อาจไปถึงศาล และ CrowdStrike อาจต้องถูกซื้อกิจการเพื่อชดเชยความเสียหายที่ก่อให้ลูกค้าตั้งแต่วันที่ 19 กรกฎาคม แต่คงใช้เวลาหลายปี และโจทก์อาจได้รับเพียงค่าเสียหายเชิงสัญลักษณ์หรือไม่ได้รับเลย
      ถึงตอนนั้นตลาดก็คงทำเฮดจ์ จับหน่วยงานกำกับดูแลไว้ได้ ตัดขาดทุน แล้วเดินหน้าต่อไป
      สินทรัพย์จะถูกคนที่มองว่านี่คือ “การทำลายล้างอย่างสร้างสรรค์” ซื้อไปในราคาถูก และพวกเขาจะไม่สนใจว่าชีวิตของผู้คนถูกทำให้ตกอยู่ในความเสี่ยง
      แล้ววัฏจักรก็จะดำเนินต่อไป
    • การศึกษา ประสบการณ์ของยูเครน น่าจะมีประโยชน์มาก และอาจมีประโยชน์ไปแล้วด้วย
      โครงสร้างพื้นฐานสำคัญแทบทั้งหมดถูกโจมตีทางไซเบอร์มาหลายปี ระบบล่มและมีเหตุขัดข้อง แต่ก็ปรับตัวได้
      บางครั้งก็กลับไปใช้วิธีแก้ปัญหาเทคโนโลยีต่ำ บางครั้งก็สร้างระบบใหม่ที่มีความทนทานและกำจัดของเก่าออกไป
      เมื่อปัญหาเป็นรูปธรรมและเกิดขึ้นทันที ก็ย่อมสร้างความชอบธรรมทางการเมืองได้ง่ายกว่ามาก
      เท่าที่จำได้ หนึ่งในมาตรการแรก ๆ ที่สหรัฐฯ ทำเมื่อความตึงเครียดเริ่มเพิ่มขึ้น คือส่งทีมผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์ของ NSA ไปช่วยล็อกระบบและกำจัดการแทรกซึม
    • “หน่วยงานไซเบอร์” มักมุ่งเน้นไปที่การโจมตี
      เพราะทำคะแนนได้ง่าย และดูเหมือนกำลังทำอะไรบางอย่างอยู่
      ในทางกลับกัน การป้องกันคือการทำงานน่าเบื่ออย่างการปกป้อง endpoint เก่า ๆ จำนวนมาก หรือโน้มน้าวบริษัทยักษ์ใหญ่ที่ทำกำไรมหาศาลให้ทำสิ่งที่เปราะบางน้อยลงแต่ profitable น้อยลง
    • อย่างน้อยใน ทศวรรษ 90 และต้นทศวรรษ 2000 ถ้าคุณเชื่อมต่อสิ่งสำคัญเข้ากับอินเทอร์เน็ต คุณคงถูกหัวเราะเยาะในห้องประชุมและถูกไล่ออกทันที
    • ผมคิดว่าความสามารถในการฟื้นตัวเป็นเป้าหมายมานานแล้ว และก่อนที่ cloud SaaS กับการอัปเดตอัตโนมัติจะครอบงำทุกอย่าง เรามีความสามารถในการฟื้นตัวมากกว่านี้
      ยุคที่การติดตั้งซอฟต์แวร์อยู่ภายในเครือข่ายส่วนตัว เครื่องจักรและ topology มีโครงสร้างที่แตกต่างกันโดยพื้นฐาน และแม้คุณภาพจะต่ำแต่ก็มีซอฟต์แวร์หลากหลายใช้งานกันนั้น แข็งแกร่งกว่าวันนี้มาก
      ตอนนี้การล่มของบริการเดี่ยวอย่าง AWS เพียงครั้งเดียวก็ทำให้บริษัทจำนวนมากหยุดชะงักได้ และอัปเดตแย่ ๆ แบบครั้งนี้ก็ส่งผลต่อทุกคนทันที พร้อมสร้างเอฟเฟกต์โดมิโน
      ในอดีตเหตุการณ์แบบนี้ไม่ได้เกิดขึ้นบ่อย
      เราได้รวมสถาปัตยกรรมโดยรวมของเราไปกระจุกอยู่กับเครื่องมือแนวปฏิบัติที่ดีไม่กี่อย่าง และมันกลายเป็น จุดล้มเหลวเดี่ยว ไม่ใช่แค่ต่อการโจมตีทางดิจิทัล แต่รวมถึงการตั้งค่าผิดพลาด ความล้มเหลวในการบริหาร ความล้มเหลวของบริษัท วิศวกรค่าแรงต่ำที่เหนื่อยล้า และการ optimize ด้วย
      ผมไม่เห็นด้วยกับคำกล่าวที่ว่าการเสริมความแข็งแกร่งของระบบจำเป็นต้องทำให้สะดวกน้อยลง
      ในช่วง 10 ปีที่ผ่านมา อุตสาหกรรมความปลอดภัยกลับเดินไปในทิศทางตรงข้าม และตระหนักว่าความปลอดภัยที่เข้มงวดเกินไปทำให้ผู้ใช้หาทางเลี่ยงที่เรียบง่ายและคาดเดาได้ ซึ่งบั่นทอนท่าทีความปลอดภัยโดยรวม
      ดูได้จากการเปลี่ยนแปลงคำแนะนำของ NIST เรื่องรหัสผ่าน
      ถ้าต้องเปลี่ยนทุก 90 วัน ต้องไม่ซ้ำกับ 10 รหัสผ่านก่อนหน้า และยังมีข้อกำหนดเรื่องความซับซ้อน ผู้ใช้ก็จะใช้รูปแบบที่คาดเดาได้ตามความยาวขั้นต่ำ แล้วเพิ่มตัวเลขท้ายรหัสไปเรื่อย ๆ
      แฮชรหัสผ่านเก่าที่เก็บไว้เพื่อตรวจสอบการใช้ซ้ำ จะกลายเป็นภาระที่เมื่อถูกเจาะจะบอกแพตเทิร์นของผู้ใช้แต่ละคนให้ผู้โจมตีรู้
      ทุกวันนี้มีการใช้งาน ความปลอดภัยที่ใช้งานได้จริง ซึ่งแทบจะหรือทั้งหมดโปร่งใสต่อผู้ใช้ปลายทางมากขึ้นมาก
      CAPTCHA ของเว็บไซต์สมัยก่อนพบได้ทั่วไป คุณภาพแย่ และเลี่ยงได้ง่าย แต่โซลูชัน CAPTCHA ของ Cloudflare และ Google ค่อนข้างโปร่งใสและมีประสิทธิภาพดีกว่ามาก
      เป็นความจริงที่ความหละหลวมโดยรวมและต่อเนื่องของ Microsoft มีส่วนทำให้เกิดแนวปฏิบัติด้านความปลอดภัยที่แย่ แต่ระบบนิเวศนั้นมีลักษณะแปลก ๆ เพราะสภาพแวดล้อมที่ไม่มั่นคงโดยเนื้อแท้ และแทบไม่เคยเป็นฐานรากสำคัญของโครงสร้างพื้นฐานอินเทอร์เน็ตเลย ยกเว้นช่วงพีกสั้น ๆ
      น่าเสียดายที่ในโครงสร้างพื้นฐานองค์กร มันกลับเป็นแกนหลัก และดูเหมือนจะไม่เคยได้รับ memo เรื่องความปลอดภัยที่ใช้งานได้หรือโปร่งใสเลย
      หวังว่าตอนนี้พวกเขาจะพยายามอยู่ แม้จะอยู่เบื้องหลังก็ตาม
  • แม้จะเป็นในแบบที่บิดเบี้ยว แต่ก็ถือได้ว่า CrowdStrike ได้ทำ การทดสอบบังคับด้านการกู้คืนจากภัยพิบัติและความยืดหยุ่น ให้กับอารยธรรมตะวันตก
    การโจมตีจริงคงไม่ถูกย้อนกลับได้ภายในหนึ่งชั่วโมง
    CrowdStrike ไม่ใช่บริษัทเดียวที่มีสิทธิ์เข้าถึงบริษัท รัฐบาล และทรัพยากรจำนวนมากในระดับมหาศาลแบบนี้
    หากพนักงานภายในคนหนึ่งปล่อยตัวลบดิสก์ ทำลายไม่ใช่แค่ Windows แต่รวมถึงคอมพิวเตอร์ Linux และ macOS ด้วย ระบบที่ได้รับผลกระทบอาจกู้คืนไม่ได้เลย
    ในกรณีนั้น ระบบสำคัญอาจต้องใช้เวลาหลายเดือนกว่าจะกลับมาออนไลน์ และเศรษฐกิจโลกอาจหยุดชะงักหนักกว่าช่วง COVID
    ประเด็นหลักคือ “ทำไม CrowdStrike ไม่ทำให้ดีกว่านี้” ก็ใช่ แต่ในภาพใหญ่กว่านั้นคือ ทำไมเทคโนโลยีของระบบสำคัญจึงไม่ทนทานกว่านี้ต่อความผิดพลาดหรือการถูกแฮ็กของผู้ให้บริการรายเดียว
    เช่น ถ้าไม่ใช่บูตลูป แต่เป็นตัวลบดิสก์ที่ลบดิสก์บูตทั้งหมด ก็สงสัยว่าเหตุใดจึงไม่สามารถเตรียมอิมเมจกู้คืนแบบ PXE boot หรืออิมเมจสำรองไว้ล่วงหน้าสำหรับเซิร์ฟเวอร์ ATM คีออสก์ POS ฯลฯ ได้
    แม้ UEFI และ BIOS จะถูกลบไปด้วย ก็เหมือนว่าการทำกลไกกู้คืนอัตโนมัติไม่ได้เป็นไปไม่ได้ในทางเทคนิคเสียทีเดียว
    ถ้าไม่เคยทำการวิเคราะห์สาเหตุรากของการรับมือเหตุการณ์ IT/ความปลอดภัย ก็เข้าใจได้ว่าอาจคิดลึกไปกว่านี้ไม่ได้ แต่แรนซัมแวร์ ตัวลบดิสก์ และความเสี่ยงซัพพลายเชนแพร่หลายมากว่า 10 ปีแล้ว การวิเคราะห์สาเหตุรากที่ยังขาดหายไปก็คือเรื่องประเภทนี้นี่เอง
    การหาคนให้โทษและโกรธนั้นง่าย แต่ไม่ได้แก้สาเหตุราก
    การตัดสินใจทางเทคนิคที่ยาก ไม่ปล่อยให้วิกฤตดี ๆ สูญเปล่า และผลักดันการลงทุนด้านเทคโนโลยีที่มีความยืดหยุ่นต่างหากที่จะแก้สาเหตุรากของปัญหานี้และปัญหาซ้ำ ๆ ได้จริง

    • หากเฟิร์มแวร์หายไปหมด ก็จำเป็นต้องมี เฟิร์มแวร์สำรอง
      ถึงจุดหนึ่ง เราอาจทำให้สิ่งเหล่านี้กู้คืนไม่ได้จริง ๆ แต่ประเด็นที่ต้องแก้จริงไม่ใช่ตรงนั้น
      ถ้าก้าวไปอีกขั้น การเน้นเรื่องความปลอดภัยกำลังกินพื้นที่การถกเถียงเรื่องความยืดหยุ่น
      โดยเฉพาะในเชิงการเงิน ความยืดหยุ่นสำคัญกว่าความปลอดภัยมาก
  • เรื่องนี้เป็น ความลับที่รู้กันทั่วไป มาหลายสิบปีแล้ว
    ผู้ให้บริการ OS และเบราว์เซอร์หลักมีอยู่ไม่กี่ราย พวกเขาปล่อยแพตช์อย่างต่อเนื่อง และซอฟต์แวร์ส่วนใหญ่มีซัพพลายเชนใหญ่โตเสียจนแทบเป็นไปไม่ได้ที่จะตรวจสอบอะไรได้ครบ และยากที่จะรับรองได้ว่าปลอดภัยจริง
    ซอฟต์แวร์ “ความปลอดภัย” มีแต่เพิ่มพื้นผิวการโจมตี
    คนในอุตสาหกรรมรู้กันหมดอยู่แล้ว แต่น่าสนใจที่ NYT เพิ่งตามมาทันตอนนี้

    • อาจเป็นเพราะมีเหตุการณ์ใหญ่เกิดขึ้นเมื่อวาน และเพราะ NYT เป็นบริษัทข่าวก็ได้
  • ถ้าเป็นบริษัทนอกสหรัฐฯ ผมมองว่าการใช้ บริการ CrowdStrike นี้เป็นเรื่องบ้ามาก
    FBI สามารถใช้อำนาจหมายลับบังคับให้ CrowdStrike ฉีด DLL เข้าไปในโครงสร้างพื้นฐานได้
    https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court

    • ไม่แน่ใจว่านั่นถูกต้องหรือเปล่า
      เท่าที่เข้าใจ รัฐบาลสหรัฐฯ สามารถสั่งให้บริษัทส่งมอบข้อมูลได้ แต่ไม่สามารถบังคับให้ลงมือทำงานจริง ๆ ได้
      แก่นของข้อพิพาทระหว่างรัฐบาลกับ Apple หลังเหตุกราดยิงที่ San Bernardino ก็อยู่ตรงนี้ และ Apple มีสิทธิ์ตามกฎหมายที่จะปฏิเสธการให้ความช่วยเหลือ
      https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
      การที่ NSA และ CIA ถึงขั้นสกัดกั้นการจัดส่งแล็ปท็อป/โทรศัพท์แล้วลงมือเองเพื่อฝังแบ็กดอร์ ก็ชี้ไปในทางว่าไม่สามารถบังคับให้ทำสิ่งแบบนี้ได้
    • ในความเป็นจริง การปฏิบัติตาม PCI DSS สำคัญกว่าความหวาดระแวงต่อ FBI
    • สงสัยว่าคุณคิดว่าไม่สามารถหรือจะไม่บังคับให้ Microsoft ยัด “อัปเดต” ที่ทำแบบเดียวกันได้หรือไม่
  • เมื่อวานผมบอกครอบครัวว่า ถ้าเราเข้าสู่สงครามจริง ทุกอย่างจะหยุดทำงานภายใน 8 ชั่วโมง
    เราคงต้องกลับไปใช้เงินสดและงานเอกสาร แต่จะเจ็บปวดและเชื่องช้า

    • ถ้าดูสองประเทศที่กำลังอยู่ในสงครามระยะยาวจริง ๆ ทั้งคู่ยังใช้ การชำระเงินแบบไม่ใช้เงินสด ต่อไป และปริมาณการใช้งานกลับเพิ่มขึ้นด้วยซ้ำ
      https://cbr.ru/eng/press/event/?id=18776
      https://bank.gov.ua/en/news/all/drugiy-rik-povnomasshtabnoyi-viyni-obsyagi-bezgotivkovih-rozrahunkiv-zrostayut
    • สงครามยูเครน แสดงภาพตรงกันข้ามเป็นส่วนใหญ่
      การหยุดชะงักส่วนใหญ่จำกัดอยู่ที่โครงสร้างพื้นฐานทางกายภาพที่ถูกโจมตีด้วยขีปนาวุธ และรัสเซียก็ไม่ได้อ่อนด้านสงครามดิจิทัลด้วย
    • อิสราเอลก็ยังยืนหยัดได้ดีแม้ผ่านไป 10 เดือน
      ไม่ใช่ว่าขาดแคลนแฮ็กเกอร์ฝ่ายศัตรูเสียหน่อย
  • สิ่งที่จำเป็นคือ “ความหลากหลาย” แน่นอนว่าไม่ใช่ความหลากหลายในความหมายของกลุ่มชายขอบ
    หากอุปกรณ์สำคัญจำนวนมากขึ้นรัน OS ที่แตกต่างกัน ความเสียหายก็คงถูกจำกัด
    ความเสี่ยงของ “การปลูกพืชชนิดเดียว” มักพูดกันในบริบทของพืช แต่ความเสี่ยงเดียวกันนี้ก็ใช้ได้กับโครงสร้างพื้นฐานคอมพิวติ้งด้วย

    • ตอนนี้ก็เป็นแบบนั้นอยู่ระดับหนึ่งแล้ว
      ข้อเท็จจริงที่ว่าอารยธรรมยังไม่ล่มสลายเองก็เป็นหลักฐานว่ามีโครงสร้างพื้นฐานจำนวนมหาศาลที่ไม่ได้ใช้ Windows และ CrowdStrike
    • ที่เข้าใจยากยิ่งกว่านั้นคือ ผู้รับผิดชอบขององค์กรที่ดำเนินระบบสำคัญระดับสูงยอมรับแนวคิดที่ว่า ผู้ให้บริการซอฟต์แวร์บุคคลที่สาม สามารถผลักแพตช์เข้ามาได้ทุกเมื่อ
      พูดแบบแรงหน่อย ผมคิดว่าบริษัทที่ได้รับผลกระทบจาก CrowdStrike ก็มีส่วนต้องรับผิดชอบกับเรื่องเมื่อวานด้วย
    • แม้อุปกรณ์สำคัญจำนวนมากขึ้นจะใช้ OS อื่น แต่ถ้ายังรัน CrowdStrike ตัวเดียวกัน ความเสียหายก็ไม่ได้ถูกจำกัด
    • ไม่จำเป็นต้องเป็นอย่างนั้นเสมอไป
      CrowdStrike ไม่ใช่แม้แต่ผู้ให้บริการอันดับหนึ่งในด้านนี้ แต่เรื่องแบบนี้เกิดขึ้นเพราะ ผลกระทบเครือข่าย
      จำนวนแพลตฟอร์มที่ต้องมีเพื่อให้ได้ความปลอดภัยระดับนี้คงมากอย่างไม่สมจริง
  • ทั่วโลกเกิดปัญหาคอมพิวเตอร์ขัดข้องครั้งใหญ่ในบริษัทที่ใช้ CrowdStrike บนเครื่อง Windows
    CrowdStrike ถูกขายในฐานะซอฟต์แวร์ป้องกันการแฮ็ก แต่ในความเป็นจริงเป็นซอฟต์แวร์ยอดนิยมที่ผู้บริหารระดับ C-level ใช้เฝ้าติดตามพฤติกรรมของพนักงาน
    มันถูกติดตั้งด้วยสิทธิ์สูงมาก และโดยการออกแบบแล้วแก้ไขหรือลบออกได้ยาก
    สงสัยจริง ๆ ว่าเหตุการณ์นี้จะให้บทเรียนอะไรกับใครได้บ้างหรือไม่

    • น่าจะให้บทเรียนได้
      Microsoft ประกาศว่าเครื่องที่ได้รับผลกระทบมี 8.5 ล้านเครื่อง ซึ่งฟังดูไม่น่าเชื่อ แต่เมื่อดูจากความพยายามที่องค์กรขนาดค่อนข้างกลางอย่างพวกเราต้องทุ่มลงไปเพื่อรับมือ ก็เกิดคำถามพื้นฐานมาก ๆ อย่าง “พนักงานครึ่งหนึ่งทำงานจากระยะไกล แล้วเราจะเข้าถึงเครื่องพวกนี้ได้ยังไงกัน?”
      การรับมือมักเป็นคำถามว่า “ถ้าทำสิ่งนี้จะมีต้นทุนเท่าไร” มาโดยตลอด แต่ตอนนี้มีตัวเลขอีกด้านหนึ่งแล้ว นั่นคือ “ถ้าไม่ทำ จะมีต้นทุนเท่าไร”
    • อยากได้ข้อมูลละเอียดกว่านี้เกี่ยวกับฟังก์ชันการเฝ้าติดตาม
      ถ้ามีสกรีนช็อตก็คงดี
  • ไม่เห็นด้วยกับส่วนที่ Kent Walker จาก Google กล่าวทำนองว่า “ยังไม่ใช่ว่าไม่มีความหวัง” และ AI จะช่วยให้เกิดความก้าวหน้าอย่างมีนัยสำคัญในการระบุช่องโหว่ แพตช์รูรั่ว และปรับปรุงคุณภาพโค้ดได้
    ถ้าความหวังเดียวมีแค่ คำมั่นสัญญาเรื่อง AI แบบลอย ๆ ก็คิดว่าในความเป็นจริงไม่มีความหวังแล้ว

    • ใช่
      เรื่องนี้คล้ายกับการบอกว่าวิธีที่ดีที่สุดในการป้องกันเหตุกราดยิงในโรงเรียนคือการให้ปืนกับครู
      ไม่คิดว่า AI จะโน้มน้าวผู้บริหาร CrowdStrike ได้ดีกว่าว่ากลยุทธ์การทยอยปล่อยเป็นระยะนั้นคุ้มค่ากับต้นทุน
      ปัญหาแบบนี้เกิดจากคน ไม่ใช่เทคโนโลยี ดังนั้นการใส่เทคโนโลยีเพิ่มเข้าไปก็ไม่ได้แก้ปัญหา