เลือกเครื่องมือของคุณ

เครื่องมือดิจิทัลทั้งหมด ไม่ว่าจะเป็นฮาร์ดแวร์หรือซอฟต์แวร์ ควรที่จะมีความปลอดภัย คือเครื่องมือเหล่านี้ควรป้องกันคุณจากการถูกสอดส่อง และไม่ให้คนอื่นๆ มาควบคุมอุปกรณ์ของคุณได้ น่าเสียดาย ที่เครื่องมือเหล่านี้ยังไม่สามารถทำได้ในปัจจุบัน สำหรับกิจกรรมมากมายบนโลกดิจิทัล คุณอาจต้องลงเลยด้วยการหาโปรแกรมหรืออุปกรณ์ที่ได้รับออกแบบมาสำหรับการรักษาความปลอดภัยที่เฉพาะเจาะจง ตัวอย่างที่เราใช้ในแนวทางนี้ ได้แก่ซอฟต์แวร์ที่ช่วยให้คุณเข้ารหัสข้อความหรือไฟล์ของคุณได้ อย่างเช่น PGP

แต่เนื่องจากมีบริษัทและเว็บไซต์จำนวนมากที่เสนอโปรแกรมหรือฮาร์ดแวร์การรักษาความปลอดภัย แล้วคุณจะเลือกโปรแกรมหรือฮาร์ดแวร์ที่เหมาะสมสำหรับคุณได้อย่างไร?

การรักษาความปลอดภัยเป็นเรื่องของกระบวนการ ไม่ใช่เรื่องของการซื้อ Anchor link

ข้อแรกที่คุณต้องจำ ก่อนที่จะเปลี่ยนซอฟต์แวร์ที่คุณใช้ หรือซื้อเครื่องมือใหม่ๆ ก็คือ ไม่มีเครื่องมือใดที่สามารถป้องกันคุณจากการถูกสอดส่องได้อย่างสมบูรณ์แบบ ในทุกสถานการณ์ การใช้ซอฟต์แวร์การเข้ารหัสโดยทั่วไปจะทำให้คนอื่นๆ อ่านการติดต่อสื่อสารของคุณ หรือค้นหาไฟล์ในเครื่องคอมพิวเตอร์ของคุณได้ยากขึ้น แต่ผู้โจมตีการรักษาความปลอดภัยบนโลกดิจิทัลของคุณมักจะหาองค์ประกอบที่เป็นจุดอ่อนมากที่สุดของวิธีการรักษาความปลอดภัยของคุณได้เสมอ เมื่อคุณซื้อเครื่องมือรักษาความปลอดภัยใหม่ คุณควรคิดว่า การใช้งานเครื่องมือนั้นอาจส่งผลกระทบต่อวิธีการอื่นๆ ที่ผู้ไม่หวังดีมุ่งเป้ามาที่คุณได้อย่างไรบ้าง ตัวอย่างเช่น ถ้าคุณตัดสินใจใช้โปรแกรมการรับส่งข้อความอย่างปลอดภัย เพื่อคุยกับผู้ติดต่อ เนื่องจากคุณทราบว่าโทรศัพท์ของคุณอาจโดนแฮก แต่ข้อเท็จจริงที่ว่าคุณกำลังใช้โปรแกรมนี้ ก็อาจเป็นการบอกผู้ไม่หวังดีเป็นนัยๆ ว่าคุณกำลังพูดคุยเกี่ยวกับข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับ

ข้อที่สองคือ จดจำโมเดลภัยคุกคามของคุณ คุณไม่จำเป็นต้องซื้อระบบโทรศัพท์ที่เข้ารหัสได้ ซึ่งอ้างว่าสามารถ "ป้องกันการสอดส่องของ NSA ได้" และมีราคาแพง ถ้าภัยคุกคามที่ใหญ่ที่สุดของคุณคือ การถูกสอดส่องทางกายภาพจากนักสืบเอกชน ที่ไม่มีสิทธิเข้าถึงเครื่องมือการสอดส่องทางอินเทอร์เน็ต หรืออีกทางหนึ่ง หากรัฐบาลในประเทศของคุณสั่งจำขังผู้ที่มีความเห็นไม่ลงรอยกับรัฐบาลอยู่เป็นประจำ เนื่องจากทางรัฐบาลใช้เครื่องมือการเข้ารหัส ก็ดูสมเหตุสมผลหากคุณจะใช้กลอุบายที่เรียบง่ายกว่า เช่นการใช้ชุดของรหัสที่ได้ตกลงกันไว้ล่วงหน้า แทนที่จะเสี่ยงต่อการทิ้งหลักฐานว่าคุณใช้ซอฟต์แวร์การเข้ารหัสไว้บนแล็ปท็อปของคุณ

นอกเหนือจากวิธีการเหล่านี้ ยังมีคำถามที่คุณสามารถสอบถามเกี่ยวกับเครื่องมือ ก่อนที่จะดาวน์โหลด ซื้อ หรือใช้งานเครื่องมือนั้น

เครื่องมือนั้นมีความโปร่งใสแค่ไหน? Anchor link

ถึงแม้ว่าการรักษาความปลอดภัยบนโลกดิจิทัลโดยส่วนใหญ่จะเป็นเรื่องของการเก็บความลับ ในกลุ่มนักวิจัยด้านความปลอดภัยมีความเชื่อกันว่า การเปิดเผยและความโปร่งใสจะสามารถนำไปสู่เครื่องมือที่มีความปลอดภัยมากขึ้น

ซอฟต์แวร์จำนวนมากที่ชุมชนการรักษาความปลอดภัยบนโลกดิจิทัลใช้งานและแนะนำให้ผู้อื่นใช้ เป็นซอฟต์แวร์โอเพนซอร์สและฟรี ซึ่งกล่าวได้ว่าโค้ดที่กำหนดวิธีการทำงานของซอฟต์แวร์ดังกล่าวได้เปิดเผยต่อสาธารณะ เพื่อให้คนอื่นๆ สามารถตรวจสอบ แก้ไข และแชร์กันได้ ในการเปิดเผยวิธีการทำงานของโปรแกรม ผู้สร้างเครื่องมือเหล่านี้ได้เชิญให้คนอื่นๆ ช่วยมองหาข้อบกพร่องด้านความปลอดภัย และช่วยปรับปรุงโปรแกรมให้ดียิ่งขึ้น

ซอฟต์แวร์เสรีเปิดโอกาสสำหรับการรักษาความปลอดภัยที่ดียิ่งขึ้น แต่ไม่ได้รับประกันเรื่องความปลอดภัย ข้อได้เปรียบของโอเพนซอร์สส่วนหนึ่งขึ้นอยู่กับว่าชุมชนของนักเทคโนโลยีต้องลงมือตรวจสอบโค้ดอย่างจริงจัง ซึ่งสำหรับโครงการเล็กๆ (และแม้แต่โครงการซึ่งเป็นที่นิยม แต่มีความซับซ้อน) อาจเป็นเรื่องยากที่จะบรรลุผล เมื่อคุณพิจารณาที่จะใช้เครื่องมือ ให้ดูว่าเครื่องมือนั้นมีซอร์สโค้ดที่ใช้ได้หรือไม่ และซอร์สโค้ดดังกล่าวมีหน่วยงานหรือผู้ตรวจสอบความปลอดภัยอิสระที่ยืนยันคุณภาพในการรักษาความปลอดภัยของเครื่องมือนั้นหรือไม่ อย่างน้อยที่สุด ซอฟต์แวร์หรือฮาร์ดแวร์ควรมีคำอธิบายด้านเทคนิคโดยละเอียด ว่าซอฟต์แวร์หรือฮาร์ดแวร์นั้นทำงานอย่างไร เพื่อให้ผู้เชี่ยวชาญคนอื่นๆ สามารถตรวจสอบได้

ผู้สร้างได้อธิบายถึงข้อดีและข้อเสียของเครื่องมือนั้นไว้อย่างชัดเจนเพียงใด? Anchor link

ไม่มีซอฟต์แวร์หรือฮาร์ดแวร์ตัวใดที่มีความปลอดภัยเต็มร้อย ผู้สร้างหรือผู้ขายที่มีความซื่อสัตย์เกี่ยวกับข้อจำกัดของผลิตภัณฑ์ของพวกเขา จะช่วยให้คุณตัดสินใจได้ดีขึ้น ว่าแอปพลิเคชันของพวกเขาเหมาะสมสำหรับคุณหรือไม่

อย่าหลงเชื่อคำแถลงที่ตีวงกว้าง ซึ่งบอกว่าโค้ดนั้น 'เป็นเกรดที่ใช้ทางการทหาร' หรือ 'ป้องกันการสอดส่องของ NSA ได้' เพราะคำแถลงนั้นไม่ได้มีความหมายอะไร และยังเป็นสัญญาณเตือนด้วยว่าผู้สร้างเชื่อมั่นในตัวเองมากเกินไป หรือไม่เต็มใจที่จะพิจารณาถึงโอกาสที่จะเกิดความล้มเหลวกับผลิตภัณฑ์ของพวกเขา

เนื่องจากผู้โจมตีมักพยายามที่จะหาวิธีการใหม่ๆ ในการเจาะระบบความปลอดภัยของเครื่องมือ ดังนั้น จึงจำเป็นต้องอัปเดตซอฟต์แวร์และฮาร์ดแวร์บ่อยครั้ง เพื่อแก้ไขช่องโหว่ใหม่ๆ ที่เสี่ยงต่อการถูกโจมตี ข้อนี้อาจเป็นปัญหาร้ายแรง หากผู้สร้างเครื่องมือไม่เต็มใจที่จะทำดังกล่าว ไม่ว่าเนื่องจากพวกเขากลัวว่าจะเสียชื่อเสียง หรือเนื่องจากพวกเขาไม่ได้สร้างโครงสร้างพื้นฐานมาเพื่อแก้ไขปัญหา

คุณไม่สามารถทำนายอนาคตได้ แต่ข้อบ่งชี้ที่ดีว่าผู้สร้างเครื่องมือจะทำตัวดีในอนาคตหรือไม่ ก็คือการกระทำในอดีตของพวกเขานั่นเอง ถ้าเว็บไซต์ของเครื่องมือแสดงรายการของปัญหาที่ผ่านๆ มา และลิงก์ไปยังการอัปเดตประจำ และมีข้อมูล อย่างเช่น ซอฟต์แวร์มีการอัปเดตครั้งล่าสุดเมื่อใด คุณก็สามารถเชื่อมั่นได้ว่าพวกเขาจะยังคงให้บริการนี้ต่อไปในอนาคต

จะเกิดอะไรขึ้นหากผู้สร้างกลายเป็นผู้เจาะระบบเสียเอง? Anchor link

เมื่อผู้สร้างเครื่องมือการรักษาความปลอดภัยได้พัฒนาซอฟต์แวร์และฮาร์ดแวร์ขึ้นมา พวกเขา (เช่นเดียวกันกับคุณ) ต้องมีโมเดลภัยคุกคามที่ชัดเจน ผู้สร้างที่ดีที่สุดจะอธิบายไว้ในเอกสารของพวกเขาอย่างชัดแจ้ง ว่าพวกเขาสามารถป้องกันคุณจากผู้โจมตีประเภทใดได้บ้าง

แต่มีผู้โจมตีอยู่ประเภทหนึ่งที่ผู้ผลิตทั้งหลายไม่อยากจะนึกถึง จะเกิดอะไรขึ้นถ้าผู้สร้างยอมเป็นผู้เจาะระบบเสียงเอง หรือตัดสินใจที่จะโจมตีผู้ใช้ของพวกเขาเอง ตัวอย่างเช่น ศาลหรือรัฐบาลอาจบังคับให้บริษัทส่งมอบข้อมูลส่วนบุคคล หรือสร้าง 'แบ็คดอร์' ที่จะถอดการป้องกันที่เครื่องมือของพวกเขาเสนอให้ออกทั้งหมด คุณอาจต้องพิจารณาถึงเขตอำนาจศาลที่สามารถบังคับผู้สร้่างได้ด้วย ตัวอย่างเช่น หากภัยคุกคามมาจากรัฐบาลของอิหร่าน บริษัทที่มีฐานอยู่ในสหรัฐฯ จะสามารถต่อต้านคำสั่งศาลของอิหร่านได้ แต่ต้องปฏิบัติตามคำสั่งของศาลสหรัฐฯ

ถึงแม้ผู้สร้างจะสามารถต่อต้านแรงกดดันของรัฐบาลได้ แต่ผู้โจมตีก็อาจบรรลุผลลัพธ์ที่ต้องการได้ โดยการเจาะเข้าระบบของผู้สร้างเครื่องมือ เพื่อที่จะโจมตีลูกค้าของผู้สร้าง

เครื่องมือที่ยืดหยุ่นมากที่สุด ก็คือเครื่องมือที่พิจารณาเรื่องดังกล่าวนี้ว่ามีแนวโน้มจะเป็นการโจมตี และได้รับการออกแบบมาเพื่อป้องกันการโจมตีดังกล่าวนี้ มองหาข้อความที่ยืนยันว่าผู้สร้างไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ มากกว่าคำสัญญาว่าผู้สร้างจะไม่เข้าถึงข้อมูลส่วนบุคคล มองหาสถาบันที่มีชื่อเสียงว่าเคยต่อต้านคำสั่งศาลที่ให้ส่งมอบข้อมูลส่วนบุคคล

ตรวจดูข้อมูลย้อนหลังและคำวิจารณ์ทางออนไลน์ Anchor link

แน่นอนว่าบริษัทที่ขายผลิตภัณฑ์ และผู้ที่พยายามโฆษณาซอฟต์แวร์ล่าสุดของพวกเขา อาจถูกทำให้เข้าใจผิด หรือทำให้ผู้อื่นเข้าใจผิด หรือโกหกอย่างสิ้นเชิง ผลิตภัณฑ์ที่แต่เดิมมีความปลอดภัยก็อาจมีข้อบกพร่องที่ร้ายแรงได้ในอนาคต ให้แน่ใจว่าคุณได้รับข่าวสารล่าสุดอย่างต่อเนื่องเกี่ยวกับเครื่องมือที่คุณใช้งาน

คุณรู้จักคนอื่นๆ ที่ใช้เครื่องมือเดียวกันหรือไม่? Anchor link

การที่คุณต้องคอยติดตามข่าวสารล่าสุดเกี่ยวกับเครื่องมือตัวหนึ่งดูจะเป็นงานที่หนักพอสมควร ถ้าคุณมีเพื่อนร่วมงานที่ใช้ผลิตภัณฑ์หรือบริการตัวเดียวกัน ให้ร่วมมือกับพวกเขาเพื่อติดตามข่าวสารล่าสุดเกี่ยวกับผลิตภัณฑ์หรือบริการนั้น

ผลิตภัณฑ์ที่กล่าวถึงในแนวทางนี้ Anchor link

เราพยายามตรวจสอบให้แน่ใจว่าซอฟต์แวร์และฮาร์ดแวร์ที่เรากล่าวถึงในแนวทางนี้สอดคล้องตามเกณฑ์ที่เราได้แสดงไว้ในรายการข้างต้น เราได้ใช้ความพยายามโดยสุจริต ในการแสดงเฉพาะรายการของผลิตภัณฑ์ที่มีรากฐานที่มั่นคง ในเรื่องที่เราทราบเกี่ยวกับการรักษาความปลอดภัยบนโลกดิจิทัล ผลิตภัณฑ์ที่มีความโปร่งใสโดยทั่วๆ ไป เกี่ยวกับการทำงาน (และความล้มเหลว) ผลิตภัณฑ์ที่มีการป้องกันโอกาสที่ผู้สร้างจะกลายเป็นผู้เจาะระบบเสียเอง และผลิตภัณฑ์ที่มีฐานผู้ใช้ที่มีความรู้ในเรื่องของเทคนิคเป็นจำนวนมาก และในขณะที่ผู้เขียนกำลังเขียนแนวทางนี้อยู่ ก็ยังมีสายตาของผู้ชมจำนวนมากที่คอยตรวจสอบหาข้อบกพร่องของผลิตภัณฑ์ดังกล่าว และพวกเขาจะแจ้งเรื่องที่เป็นกังวลให้สาธารณชนได้ทราบอย่างรวดเร็ว กรุณาเข้าใจว่าเราไม่ได้มีทรัพยากรในการตรวจสอบหรือรับประกันความปลอดภัยของผลิตภัณฑ์ดังกล่าวได้อย่างอิสระ และเราไม่ให้การรับรองผลิตภัณฑ์เหล่านี้ และไม่สามารถรับประกันได้ว่าผลิตภัณฑ์เหล่านี้จะสามารถรักษาความปลอดภัยได้อย่างสมบูรณ์

ฉันควรซื้อโทรศัพท์อะไรดี? ฉันควรซื้อคอมพิวเตอร์อะไร? Anchor link

คำถามข้อหนึ่งที่ผู้ฝึกอบรมเรื่องการรักษาความปลอดภัยพบบ่อยที่สุดคือ 'ฉันควรซื้อโทรศัพท์ Android หรือ iPhone?' หรือ 'ฉันควรใช้ PC หรือ Mac ดี?' หรือ 'ฉันควรใช้ระบบปฏิบัติการอะไร?' ไม่มีคำตอบที่เรียบง่ายสำหรับคำถามเหล่านี้ ความปลอดภัยของซอฟต์แวร์และอุปกรณ์มีการเปลี่ยนแปลงอยู่ตลอด เนื่องจากมีข้อบกพร่องใหม่ๆ เกิดขึ้นเรื่อยๆ ในขณะที่จุดบกพร่อมเก่าๆ ก็ได้รับการแก้ไข บริษัทต่างๆ อาจพยายามแข่งขันกัน เพื่อนำเสนอการรักษาความปลอดภัยที่ดีกว่าให้กับคุณ หรือพวกเขาอาจกำลังถูกกดดันจากรัฐบาลให้ลดประสิทธิภาพในการรักษาความปลอดภัย

แต่มีคำแนะนำทั่วๆ ไปที่เป็นจริงเกือบทุกครั้ง เมื่อคุณซื้ออุปกรณ์หรือระบบปฏิบัติการ ให้ซื้อรุ่นที่มีการอัปเดตซอฟต์แวร์ล่าสุด การอัปเดตมักจะแก้ไขปัญหาด้านความปลอดภัยของโค้ดที่เก่ากว่า ซึ่งอาจถูกโจมตีได้ ผู้สร้างมักไม่ได้สนับสนุนโทรศัพท์และระบบปฏิบัติการรุ่นเก่าๆ อีกต่อไป และไม่มีการอัปเดตด้านความปลอดภัย ตัวอย่างเช่น Microsoft ได้แถลงอย่างชัดแจ้งว่าบริษัทจะหยุดการสนับสนุน Windows XP และ Windows เวอร์ชันเก่ากว่า และจะไม่มีการแก้ไขแม้แต่ปัญหาด้านความปลอดภัยที่ร้ายแรง ถ้าคุณใช้ XP คุณจะไม่สามารถคาดหวังได้ว่าระบบของคุณจะปลอดภัยจากผู้โจมตี (และกรณีคล้ายๆ กันนี้เช่นกันสำหรับ OS X รุ่นก่อนหน้า 10.7.5 หรือ "Lion")

อัปเดตครั้งล่าสุด: 
JavaScript license information