07
Nov
2022

การแฮ็กของ Ring บอกเราเกี่ยวกับแนวทางการรักษาความปลอดภัยแบบย้อนหลังของเทคโนโลยี

ไม่ใช่ความผิดของคุณหากคุณถูกแฮ็ก ตำหนิบริษัทเทคโนโลยีที่ไม่บังคับให้คุณปลอดภัยมากขึ้น

หากคุณสร้างพวกเขาจะมา แต่ไม่จำเป็นต้องตั้งค่าการตรวจสอบสิทธิ์แบบสองปัจจัย

ซอฟต์แวร์และอุปกรณ์ที่เป็นส่วนสำคัญในชีวิตประจำวันของเรามากขึ้นเรื่อยๆทำให้ ความ เป็น ส่วนตัวและความปลอดภัยของเรา ลดลงอย่างต่อ เนื่อง แต่เมื่อเกิดปัญหาเหล่านี้ คนทั่วไปมักถูกตำหนิ

นั่นเป็นเพราะว่าการแฮ็กและการบุกรุกออนไลน์อื่นๆ นั้นแทบจะหลีกเลี่ยงไม่ได้ ผู้ใช้จะได้รับการสอนว่าพวกเขาควรเลือกรหัสผ่านที่ยาวและไม่ซ้ำใคร และควรสมัครใช้งานตัวจัดการรหัสผ่าน ว่าควรตั้งค่าการรับรองความถูกต้องด้วยสองปัจจัย ว่าพวกเขาไม่ควรใช้ wifi สาธารณะ กล่าวอีกนัยหนึ่งพวกเขาถูกเผาเพราะพวกเขาไม่ได้ทำตามที่พวกเขาบอก

มันไม่ควรเป็นแบบนี้

“ปัญหาของโซลูชันประเภทนี้คือพวกเขาต้องรับผิดชอบด้านความปลอดภัยของผู้ใช้” Marc Rogers รองประธานฝ่ายความปลอดภัยทางไซเบอร์ของ บริษัท จัดการการเข้าถึง Okta กล่าวกับ Recode “และผู้ใช้เป็นคนที่มีความพร้อมน้อยที่สุดที่จะทำสิ่งใดเกี่ยวกับเรื่องนั้น พวกเขาไม่เข้าใจความเสี่ยงดีนัก และไม่ต้องการความซับซ้อน”

ใช้Amazon Ringซึ่งเป็นอุปกรณ์รักษาความปลอดภัยวิดีโอที่ผู้บริโภคใช้มากขึ้นเพื่อให้ตัวเองรู้สึกปลอดภัยและสบายใจในบ้านของตน น่าแปลกที่ อุปกรณ์เหล่านี้ทำให้ผู้คนรู้สึกปลอดภัยน้อยลง หลังจากการแฮ็กที่มีชื่อเสียงในช่วงปลายปี 2019 ทำให้คนแปลกหน้าสามารถบังคับกล้อง Ring เพื่อสอดส่องและก่อกวนผู้คนในบ้านของตนเองได้ ในกรณีหนึ่ง มีชายแปลกหน้าคนหนึ่งพูดคุยด้วยและทำให้เด็กหญิงอายุ 8 ขวบหวาดกลัวในห้องนอนของเธอเอง โดยที่พ่อแม่ของเธอได้วางกล้องรักษาความปลอดภัยแบบวงแหวนไว้เป็นมาตรการในการสื่อสารและรักษาความปลอดภัย

ในการตอบสนอง Ring กล่าวว่าไม่ได้ทำอะไรผิดและตำหนิการแฮ็กของลูกค้า มันบอกว่าลูกค้าที่ถูกแฮ็กทำให้อุปกรณ์ของพวกเขาเสี่ยงโดยการใช้รหัสผ่านเก่าที่ถูกบุกรุกซ้ำ ผู้ใช้เหล่านี้บางคนโต้แย้งการอ้างสิทธิ์นั้น แต่ไม่ว่าจะด้วยวิธีใด ประเด็นก็ชัดเจน: บริษัทเทคโนโลยีได้ตำหนิลูกค้า แทนที่จะยอมรับบทบาทของตนเองในสถานการณ์ดังกล่าว

หลายเดือนหลังจากข่าวการแฮ็กเหล่านี้เผยแพร่สู่สาธารณะ Ring ได้แนะนำมาตรการรักษาความปลอดภัยมาตรฐานสำหรับผู้ใช้ เช่น การตรวจสอบสิทธิ์แบบสองปัจจัยที่เป็นค่าเริ่มต้น ซึ่งเป็นคุณลักษณะที่ผู้ใช้ต้องให้ข้อมูลส่วนที่สอง เช่น รหัสจากโทรศัพท์ ก่อนที่พวกเขาจะทำได้ เข้าถึงบัญชี — และแดชบอร์ดที่พวกเขาสามารถตรวจสอบได้ว่าใครบ้างที่อาจเข้าถึงฟีดวิดีโอของพวกเขา Ring หยุดกำหนดปัจจัยสองประการสำหรับผู้ใช้ที่มีอยู่ โดยบอกว่าการทำเช่นนั้นอาจทำให้เกิดการออกจากระบบจำนวนมากแต่หลังจากแรงกดดันอย่างต่อเนื่อง รวมถึงบทความที่ฉันตีพิมพ์เมื่อปีที่แล้วเรียกร้องให้มีการเปลี่ยนแปลงนี้ในที่สุด Ring ก็ได้สร้างข้อกำหนดสองปัจจัยสำหรับผู้ใช้ทั้งหมด อาทิตย์ที่แล้ว.

แต่ความจริงก็คือพวกเขาขายอุปกรณ์ที่ไม่ปลอดภัยซึ่งมีโปรโตคอลความปลอดภัยไม่เพียงพอให้กับผู้บริโภคจำนวนนับไม่ถ้วนก่อน

บริษัทด้านเทคโนโลยีมักให้ความสำคัญกับความปลอดภัยกับผู้ใช้ส่วนหนึ่ง เพราะพวกเขาพยายามดึงดูดผู้คนให้เข้ามาใช้อุปกรณ์ของตนให้ได้มากที่สุด และพวกเขามองว่ามาตรการรักษาความปลอดภัยเพิ่มเติมเป็นสิ่งที่สร้างความไม่พึงปรารถนาที่อาจปิดผู้ใช้เหล่านั้น ไม่ใช่เรื่องบังเอิญที่แนวทางปฏิบัติด้านความปลอดภัยที่ดี เช่นเดียวกับการกำกับดูแลแบบพิเศษอื่นๆ ทำให้บริษัทเหล่านี้เสียเวลาและเงินมากขึ้นในการพัฒนา

“ที่ Ring ความสำคัญสูงสุดของเราคือความปลอดภัยของลูกค้า เราเข้าใจดีว่าผู้ใช้ Ring ให้ความไว้วางใจในผลิตภัณฑ์ของเรา และเราพยายามรักษาความไว้วางใจนั้น เพื่อให้ลูกค้าของเรารู้สึกมั่นใจว่าบ้านและข้อมูลส่วนบุคคลของพวกเขาปลอดภัยด้วย Ring” Ring กล่าวในแถลงการณ์ของ Recode “เราเสริมความมุ่งมั่นนั้นด้วยการเพิ่มการตรวจสอบสองขั้นตอนบังคับสำหรับผู้ใช้ทั้งหมด และเราจะยังคงเพิ่มคุณสมบัติเพิ่มเติมที่เกี่ยวข้องกับความเป็นส่วนตัวของผู้ใช้และความปลอดภัยของบัญชี ในขณะที่ยังคงความสะดวกสบายและความสะดวกในการใช้งานที่ลูกค้าของเราคาดหวังไว้ ”

ความปลอดภัยและความสะดวกในการใช้งานมักถูกจัดวางให้ตรงข้ามกับแนวทแยง โดยที่ตัวหนึ่งต้องเสียอีกตัวหนึ่ง พวกเขาไม่จำเป็นต้องเป็น การกระทบยอดพวกเขาจะต้องใช้ความพยายามอย่างมาก และไม่มีบริษัทเทคโนโลยีใดที่จะทำทุกอย่างได้ถูกต้อง นอกจากนี้ยังมีการประนีประนอมระหว่างการใช้งานง่ายและความปลอดภัย แต่สิ่งเหล่านี้ไม่สามารถป้องกันบริษัทเทคโนโลยีจากการตั้งเป้าความสมดุลที่สมเหตุสมผลและเป็นไปตามมาตรฐานพื้นฐาน

“เราต้องโน้มน้าวบริษัทใหญ่ๆ ทั้งหมดว่าไม่ใช่ความรับผิดชอบของผู้ใช้ในการรักษาความปลอดภัย” โรเจอร์สกล่าว “ควรมองเห็นความปลอดภัยแต่ไม่ได้ยิน มันควรจะเป็นอะไรที่เรียบง่าย ไม่ควรเข้ามาขวางทาง แต่มันควรจะอยู่ที่นั่นเมื่อจำเป็น ไม่ควรบังคับให้ผู้ใช้ทำสิ่งที่ซับซ้อนหรือจดจำตัวเลขจำนวนมากที่พวกเขากำลังจะจด”

Jen King ผู้อำนวยการด้านความเป็นส่วนตัวของผู้บริโภคที่ Center for Internet and Society ที่ Stanford Law School กล่าวว่า “ฉันไม่คิดว่าคุณต้องแลกกับอย่างอื่นโดยสิ้นเชิง” “และฉันคิดว่าคนที่ยังคงโต้เถียงกันอยู่นั้นอยู่ในกรอบความคิดเมื่อ 10 ปีที่แล้ว”

แต่เธอบอกว่ามันเป็นปัญหาการออกแบบ

“มีงานทำมากมายในด้านนี้ ทั้งในด้านวิชาการ รองลงมาคือผู้นำองค์กรในพื้นที่นี้อย่าง Apple ที่พยายามทำความเข้าใจข้อจำกัดของมนุษย์จริงๆ และวิธีที่เราออกแบบผลิตภัณฑ์เพื่อลดหรือคาดการณ์ข้อจำกัดเหล่านั้น ผู้คนไม่ต้องทำงานหนัก” คิงกล่าว การจัดทำแนวทางปฏิบัติที่ดีที่สุดเหล่านี้จำเป็นต้องมีการลงทุนในผู้ที่ทำการวิจัยประสบการณ์ผู้ใช้ ซึ่งพิจารณาว่า “ผู้คนคิดอย่างไร [และ] ลำดับความสำคัญและสิ่งจูงใจของพวกเขาคืออะไร” เพื่อพัฒนาผลิตภัณฑ์และคุณสมบัติที่จะรับรองความปลอดภัยของพวกเขา

นอกจากนี้ยังต้องดูว่าผู้อื่นแก้ปัญหาเหล่านี้อย่างไร

“แน่นอน ไม่มีข้อแก้ตัวที่จะไม่มองไปรอบ ๆ คู่แข่งของคุณและดูว่าคนอื่นกำลังทำอะไร” คิงกล่าว

สิ่งที่บริษัทฮาร์ดแวร์และซอฟต์แวร์ต้องทำเพื่อให้เราทุกคนปลอดภัยยิ่งขึ้น

ในท้ายที่สุด ถือเป็นความรับผิดชอบของบริษัทเทคโนโลยีทุกแห่งที่จะต้องตรวจสอบให้แน่ใจว่าผลิตภัณฑ์ของตนปลอดภัยในลักษณะที่ผู้ใช้ทั่วไปสามารถเข้าถึงได้

Face ID และ Touch ID ของ Apple ซึ่งช่วยให้คุณปลดล็อก iPhone ด้วยเทคโนโลยีที่จดจำใบหน้าหรือลายนิ้วมือของคุณได้ เป็นไปในทิศทางที่ถูกต้อง กระบวนการนี้เร็วกว่าและมักจะง่ายกว่าการป้อนรหัสผ่าน ในขณะเดียวกันก็รับประกันความปลอดภัย

“เมื่อ Touch ID ออกมา ฉันคิดว่ามีคนน้อยกว่าหนึ่งในห้าที่มีรหัส PIN บน iPhone และสาเหตุที่ทำให้พวกเขารู้สึกว่าไม่สะดวก” โรเจอร์สกล่าว “Apple นำ Touch ID ออกมา และนั่นก็เพิ่มขึ้นถึง 80 หรือ 90 เปอร์เซ็นต์ของผู้คนมีความปลอดภัยในโทรศัพท์ของพวกเขา ไม่ใช่เพราะพวกเขาตื่นขึ้นมาในทันใดและตัดสินใจว่าพวกเขาต้องการความปลอดภัย แต่เป็นเพราะการรักษาความปลอดภัยได้พบกับไลฟ์สไตล์ของพวกเขาในทันใด – มันสะดวก”

บริษัทอื่นๆ มีโซลูชันการรักษาความปลอดภัยที่สร้างสรรค์อื่นๆ Google เสนอการตรวจสอบสิทธิ์แบบสองปัจจัยในเวอร์ชันที่การแจ้งเตือนจะปรากฏขึ้นบนโทรศัพท์ของคุณหากอยู่ในระยะของอุปกรณ์อื่นที่ขออนุญาต ซึ่งง่ายกว่าการเรียกรหัสข้อความหรือไปที่แอปตรวจสอบความถูกต้องสำหรับรหัส วิธีการต่างๆ สำหรับการตรวจสอบสิทธิ์แบบสองปัจจัยจะแตกต่างกันไปตามการรักษาความปลอดภัยที่เกี่ยวข้อง เช่น รหัสที่สร้างแบบไดนามิกในแอปมีความปลอดภัยมากกว่าการส่งรหัสผ่านข้อความเป็นต้น แต่ก็ดีกว่าไม่มีสองปัจจัยเลย

อย่างน้อยที่สุด บริษัทเทคโนโลยีขนาดใหญ่ควรกำหนดแนวทางปฏิบัติที่ดีที่สุดขั้นพื้นฐาน

ซึ่งรวมถึงการแนะนำหรือกำหนดให้ต้องใช้รหัสผ่านที่ยากขึ้น ตลอดจนอุปกรณ์จัดส่งที่แนบรหัสผ่านเฉพาะของตนเอง ผู้ผลิตอุปกรณ์และซอฟต์แวร์ควรตรวจสอบให้แน่ใจว่าการตั้งค่าเริ่มต้น — ซึ่งเป็นสิ่งที่คนส่วนใหญ่ใช้ — เป็นตัวเลือกที่ปลอดภัยที่สุดที่พวกเขามี แทนที่จะเป็นตัวเลือกสำหรับผู้ที่เข้าใจความเป็นส่วนตัวเท่านั้น พวกเขาควรกำหนดการตรวจสอบสิทธิ์แบบสองปัจจัยด้วย แม้ว่าจะยากกว่าสำหรับผู้ที่เข้าใจเทคโนโลยีน้อยกว่าในหมู่พวกเรา อันที่จริง พวกเขาควรมองว่าเป็นเรื่องท้าทายและสำรวจการประดิษฐ์ทางเลือกที่ง่ายกว่า Rogers แนะนำว่าการใช้ไบโอเมตริกซ์ เช่น ลายนิ้วมือหรือการสแกนใบหน้า เพื่อพิสูจน์ว่าคุณเป็นใครนั้นมีทั้งความปลอดภัยและใช้งานง่าย

นี่ไม่ได้หมายความว่าการรับมือกับความท้าทายด้านความปลอดภัยนั้นเป็นเรื่องง่าย

ปัญหาด้านความปลอดภัยที่บริษัทต้องเผชิญนั้นยากขึ้นเรื่อยๆ เนื่องจากแฮ็กเกอร์มีความเข้าใจมากขึ้น และเมื่อเราต้องการให้แอปและอุปกรณ์ของเราเชื่อมต่อกันมากขึ้น เราชอบความสะดวกในการแบ่งปันภาพถ่ายจากโทรศัพท์ของเราไปยังเครือข่ายสังคมออนไลน์ เราคาดว่าจะอัปโหลดรายชื่อผู้ติดต่อของเราไปยังบัญชีใหม่ได้อย่างราบรื่น เราแค่ต้องการควบคุมกระบวนการ

“ในสมัยก่อน หากคุณต้องการประนีประนอมกับโทรศัพท์ คุณจะต้องบุกเข้าไปในโทรศัพท์” โรเจอร์สกล่าว “ตอนนี้ แอปพลิเคชันที่คุณกำหนดเป้าหมายมีสิทธิ์เหล่านี้ทั้งหมด และการอนุญาตทุกอย่างที่แอพมีคือสิ่งที่สามารถใช้ประโยชน์ได้” เขากล่าว

เพื่อต่อสู้กับปัญหาที่เพิ่มเข้ามาเหล่านี้ เขาแนะนำให้มองหาผู้ผลิตซอฟต์แวร์และอุปกรณ์ที่มีส่วนร่วมในแนวคิดที่เรียกว่า “zero trust” ซึ่งเป็นโมเดลที่ถือว่าคุณไม่สามารถไว้ใจใครได้ แม้แต่คนในบริษัทของคุณเอง โดยจะตรวจสอบอย่างต่อเนื่องว่าแอปหรืออุปกรณ์หรือบุคคลที่เชื่อมต่อกับบัญชีของคุณควรมีสิทธิ์เข้าถึง มีบริษัทจำนวนมากขึ้นเรื่อยๆ ที่กำลังทดสอบโมเดลนี้ รวมถึงGoogleบริษัทยา Allergan และOktaแม้ว่าจะห่างไกลจากกระแสหลักก็ตาม

“เราควรคิดโดยอัตโนมัติว่าการเชื่อมต่อใดๆ ที่เราเห็นจากอินเทอร์เน็ตไปยังโทรศัพท์หรือจากแอพไปยังแอพอื่นหรือจากแอพไปยังข้อมูลอาจไม่น่าเชื่อถือ จากนั้นจึงดำเนินการทุกขั้นตอนเพื่อประเมินและดำเนินการแบบไดนามิก ไม่น่าเชื่อถือจนกว่าเราจะพิสูจน์ได้ว่าเชื่อถือได้” โรเจอร์สกล่าว “เราเริ่มจากการปกป้องสิ่งต่าง ๆ จากโมเดลแบบนั้น แล้วคุณจะมีระบบที่แข็งแกร่งกว่านี้มาก”

แม้ว่าจะมีความพยายามของรัฐบาลหลายครั้งในการสร้างกฎระเบียบเกี่ยวกับแนวทางปฏิบัติด้านความปลอดภัยทางดิจิทัลขั้นพื้นฐาน แต่ก็ไม่มีใครทำสำเร็จ คณะกรรมาธิการการค้าแห่งสหพันธรัฐสามารถปรับบริษัทต่างๆ ที่ละเมิดข้อมูลอย่างร้ายแรงและออกรายงาน โดยสร้างแนวคิดคร่าวๆ เกี่ยวกับแนวทางปฏิบัติแต่ความพยายามเหล่านี้ไม่เพียงพอที่จะออกกฎหมายให้บริษัทปฏิบัติตามมาตรฐานเหล่านั้นได้ ดังนั้น สำหรับตอนนี้ หากไม่มีกฎระเบียบที่ต้องใช้แนวทางปฏิบัติด้านความปลอดภัยและความเป็นส่วนตัวที่ดีที่สุด ผู้บริโภคต้องพึ่งพาบริษัทเทคโนโลยีเพื่อใช้ความคิดริเริ่มเพื่อดำเนินการเพื่อผลประโยชน์สูงสุดของเรา — แต่อย่างที่เราได้เห็นมาจนถึงตอนนี้ พวกเขามักจะตำหนิเราก่อน .

Open Sourcedเกิดขึ้นได้บน Omidyar Network เนื้อหาโอเพนซอร์สทั้งหมดเป็นอิสระด้านบรรณาธิการและผลิตโดยนักข่าวของเรา

หน้าแรก

Share

You may also like...