Surveillance
Self-Defense

เลือกเครื่องมือของคุณ

อัปเดตครั้งล่าสุด: 
29-10-2018

มีบริษัทและเว็บไซต์จำนวนมากที่นำเสนอเครื่องมือที่ช่วยให้เราสามารถปรับปรุงการรักษาความปลอดภัยทางดิจิทัลได้ดีขึ้น  แล้วคุณจะใช้วิธีใดเพื่อเลือกเครื่องมือที่เหมาะสมสำหรับใช้งาน

เราไม่มีรายชื่อเครื่องมือที่ใช้งานได้สมบูรณ์แบบโดยไม่มีข้อบกพร่องที่สามารถปกป้องคุณได้ (แต่คุณสามารถดูตัวเลือกบางส่วนได้ในคำแนะนำเกี่ยวกับเครื่องมือ) แต่ถ้าคุณรู้ว่าคุณกำลังพยายามปกป้องอะไร และคุณปกป้องสิ่งเหล่านั้นจากใคร คู่มือนี้สามารถช่วยคุณเลือกเครื่องมือที่เหมาะสมโดยใช้แนวทางปฏิบัติพื้นฐานบางข้อได้

โปรดจำว่า การรักษาความปลอดภัยไม่ได้เกี่ยวข้องกับเครื่องมือที่คุณใช้หรือซอฟต์แวร์ที่คุณดาวน์โหลด การรักษาความปลอดภัยเริ่มต้นจากการทำความเข้าใจภัยคุกคามที่มีลักษณะเฉพาะที่คุณเผชิญอยู่ และวิธีที่คุณสามารถใช้เพื่อต่อต้านภัยคุกคามเหล่านั้นได้ สำหรับข้อมูลเพิ่มเติม โปรดดูที่คำแนะนำในการประเมินความเสี่ยงของเรา

 

การรักษาความปลอดภัยเป็นเรื่องของกระบวนการ ไม่ใช่เรื่องของการซื้อ Anchor link

ข้อแรกที่คุณต้องจำ ก่อนที่จะเปลี่ยนซอฟต์แวร์ที่คุณใช้ หรือซื้อเครื่องมือใหม่ๆ ก็คือ ไม่มีเครื่องมือใดที่สามารถป้องกันคุณจากการถูกสอดส่องได้อย่างสมบูรณ์แบบ ในทุกสถานการณ์ การใช้ซอฟต์แวร์การเข้ารหัสโดยทั่วไปจะทำให้คนอื่นๆ อ่านการติดต่อสื่อสารของคุณ หรือค้นหาไฟล์ในเครื่องคอมพิวเตอร์ของคุณได้ยากขึ้น แต่ผู้โจมตีการรักษาความปลอดภัยบนโลกดิจิทัลของคุณมักจะหาองค์ประกอบที่เป็นจุดอ่อนมากที่สุดของวิธีการรักษาความปลอดภัยของคุณได้เสมอ เมื่อคุณซื้อเครื่องมือรักษาความปลอดภัยใหม่ คุณควรคิดว่า การใช้งานเครื่องมือนั้นอาจส่งผลกระทบต่อวิธีการอื่นๆ ที่ผู้ไม่หวังดีมุ่งเป้ามาที่คุณได้อย่างไรบ้าง ตัวอย่างเช่น ถ้าคุณตัดสินใจใช้โปรแกรมการรับส่งข้อความอย่างปลอดภัย เพื่อคุยกับผู้ติดต่อ เนื่องจากคุณทราบว่าโทรศัพท์ของคุณอาจโดนแฮก แต่ข้อเท็จจริงที่ว่าคุณกำลังใช้โปรแกรมนี้ ก็อาจเป็นการบอกผู้ไม่หวังดีเป็นนัยๆ ว่าคุณกำลังพูดคุยเกี่ยวกับข้อมูลส่วนตัวหรือข้อมูลที่เป็นความลับ

ข้อที่สองคือ จดจำโมเดลภัยคุกคามของคุณ คุณไม่จำเป็นต้องซื้อระบบโทรศัพท์ที่เข้ารหัสได้ ซึ่งอ้างว่าสามารถ "ป้องกันการสอดส่องของ NSA ได้" และมีราคาแพง ถ้าภัยคุกคามที่ใหญ่ที่สุดของคุณคือ การถูกสอดส่องทางกายภาพจากนักสืบเอกชน ที่ไม่มีสิทธิเข้าถึงเครื่องมือการสอดส่องทางอินเทอร์เน็ต หรืออีกทางหนึ่ง หากรัฐบาลในประเทศของคุณสั่งจำขังผู้ที่มีความเห็นไม่ลงรอยกับรัฐบาลอยู่เป็นประจำ เนื่องจากทางรัฐบาลใช้เครื่องมือการเข้ารหัส ก็ดูสมเหตุสมผลหากคุณจะใช้กลอุบายที่เรียบง่ายกว่า เช่นการใช้ชุดของรหัสที่ได้ตกลงกันไว้ล่วงหน้า แทนที่จะเสี่ยงต่อการทิ้งหลักฐานว่าคุณใช้ซอฟต์แวร์การเข้ารหัสไว้บนแล็ปท็อปของคุณ

นอกเหนือจากวิธีการเหล่านี้ ยังมีคำถามที่คุณสามารถสอบถามเกี่ยวกับเครื่องมือ ก่อนที่จะดาวน์โหลด ซื้อ หรือใช้งานเครื่องมือนั้น

 

เครื่องมือนั้นมีความโปร่งใสแค่ไหน? Anchor link

ถึงแม้ว่าการรักษาความปลอดภัยบนโลกดิจิทัลโดยส่วนใหญ่จะเป็นเรื่องของการเก็บความลับ ในกลุ่มนักวิจัยด้านความปลอดภัยมีความเชื่อกันว่า การเปิดเผยและความโปร่งใสจะสามารถนำไปสู่เครื่องมือที่มีความปลอดภัยมากขึ้น

ซอฟต์แวร์จำนวนมากที่ชุมชนการรักษาความปลอดภัยบนโลกดิจิทัลใช้งานและแนะนำให้ผู้อื่นใช้ เป็นซอฟต์แวร์โอเพนซอร์สและฟรี ซึ่งกล่าวได้ว่าโค้ดที่กำหนดวิธีการทำงานของซอฟต์แวร์ดังกล่าวได้เปิดเผยต่อสาธารณะ เพื่อให้คนอื่นๆ สามารถตรวจสอบ แก้ไข และแชร์กันได้ ในการเปิดเผยวิธีการทำงานของโปรแกรม ผู้สร้างเครื่องมือเหล่านี้ได้เชิญให้คนอื่นๆ ช่วยมองหาข้อบกพร่องด้านความปลอดภัย และช่วยปรับปรุงโปรแกรมให้ดียิ่งขึ้น

ซอฟต์แวร์เสรีเปิดโอกาสสำหรับการรักษาความปลอดภัยที่ดียิ่งขึ้น แต่ไม่ได้รับประกันเรื่องความปลอดภัย ข้อได้เปรียบของโอเพนซอร์สส่วนหนึ่งขึ้นอยู่กับว่าชุมชนของนักเทคโนโลยีต้องลงมือตรวจสอบโค้ดอย่างจริงจัง ซึ่งสำหรับโครงการเล็กๆ (และแม้แต่โครงการซึ่งเป็นที่นิยม แต่มีความซับซ้อน) อาจเป็นเรื่องยากที่จะบรรลุผล เมื่อคุณพิจารณาที่จะใช้เครื่องมือ ให้ดูว่าเครื่องมือนั้นมีซอร์สโค้ดที่ใช้ได้หรือไม่ และซอร์สโค้ดดังกล่าวมีหน่วยงานหรือผู้ตรวจสอบความปลอดภัยอิสระที่ยืนยันคุณภาพในการรักษาความปลอดภัยของเครื่องมือนั้นหรือไม่ อย่างน้อยที่สุด ซอฟต์แวร์หรือฮาร์ดแวร์ควรมีคำอธิบายด้านเทคนิคโดยละเอียด ว่าซอฟต์แวร์หรือฮาร์ดแวร์นั้นทำงานอย่างไร เพื่อให้ผู้เชี่ยวชาญคนอื่นๆ สามารถตรวจสอบได้

 

ผู้สร้างได้อธิบายถึงข้อดีและข้อเสียของเครื่องมือนั้นไว้อย่างชัดเจนเพียงใด? Anchor link

ไม่มีซอฟต์แวร์หรือฮาร์ดแวร์ตัวใดที่มีความปลอดภัยเต็มร้อย ผู้สร้างหรือผู้ขายที่มีความซื่อสัตย์เกี่ยวกับข้อจำกัดของผลิตภัณฑ์ของพวกเขา จะช่วยให้คุณตัดสินใจได้ดีขึ้น ว่าแอปพลิเคชันของพวกเขาเหมาะสมสำหรับคุณหรือไม่

อย่าหลงเชื่อคำแถลงที่ตีวงกว้าง ซึ่งบอกว่าโค้ดนั้น 'เป็นเกรดที่ใช้ทางการทหาร' หรือ 'ป้องกันการสอดส่องของ NSA ได้' เพราะคำแถลงนั้นไม่ได้มีความหมายอะไร และยังเป็นสัญญาณเตือนด้วยว่าผู้สร้างเชื่อมั่นในตัวเองมากเกินไป หรือไม่เต็มใจที่จะพิจารณาถึงโอกาสที่จะเกิดความล้มเหลวกับผลิตภัณฑ์ของพวกเขา

เนื่องจากผู้โจมตีมักพยายามที่จะหาวิธีการใหม่ๆ ในการเจาะระบบความปลอดภัยของเครื่องมือ ดังนั้น จึงจำเป็นต้องอัปเดตซอฟต์แวร์และฮาร์ดแวร์บ่อยครั้ง เพื่อแก้ไขช่องโหว่ใหม่ๆ ที่เสี่ยงต่อการถูกโจมตี ข้อนี้อาจเป็นปัญหาร้ายแรง หากผู้สร้างเครื่องมือไม่เต็มใจที่จะทำดังกล่าว ไม่ว่าเนื่องจากพวกเขากลัวว่าจะเสียชื่อเสียง หรือเนื่องจากพวกเขาไม่ได้สร้างโครงสร้างพื้นฐานมาเพื่อแก้ไขปัญหา

คุณไม่สามารถทำนายอนาคตได้ แต่ข้อบ่งชี้ที่ดีว่าผู้สร้างเครื่องมือจะทำตัวดีในอนาคตหรือไม่ ก็คือการกระทำในอดีตของพวกเขานั่นเอง ถ้าเว็บไซต์ของเครื่องมือแสดงรายการของปัญหาที่ผ่านๆ มา และลิงก์ไปยังการอัปเดตประจำ และมีข้อมูล อย่างเช่น ซอฟต์แวร์มีการอัปเดตครั้งล่าสุดเมื่อใด คุณก็สามารถเชื่อมั่นได้ว่าพวกเขาจะยังคงให้บริการนี้ต่อไปในอนาคต

 

จะเกิดอะไรขึ้นหากผู้สร้างกลายเป็นผู้เจาะระบบเสียเอง? Anchor link

เมื่อผู้สร้างเครื่องมือการรักษาความปลอดภัยได้พัฒนาซอฟต์แวร์และฮาร์ดแวร์ขึ้นมา พวกเขา (เช่นเดียวกันกับคุณ) ต้องมีโมเดลภัยคุกคามที่ชัดเจน ผู้สร้างที่ดีที่สุดจะอธิบายไว้ในเอกสารของพวกเขาอย่างชัดแจ้ง ว่าพวกเขาสามารถป้องกันคุณจากผู้โจมตีประเภทใดได้บ้าง

แต่มีผู้โจมตีอยู่ประเภทหนึ่งที่ผู้ผลิตทั้งหลายไม่อยากจะนึกถึง จะเกิดอะไรขึ้นถ้าผู้สร้างยอมเป็นผู้เจาะระบบเสียงเอง หรือตัดสินใจที่จะโจมตีผู้ใช้ของพวกเขาเอง ตัวอย่างเช่น ศาลหรือรัฐบาลอาจบังคับให้บริษัทส่งมอบข้อมูลส่วนบุคคล หรือสร้าง 'แบ็คดอร์' ที่จะถอดการป้องกันที่เครื่องมือของพวกเขาเสนอให้ออกทั้งหมด คุณอาจต้องพิจารณาถึงเขตอำนาจศาลที่สามารถบังคับผู้สร้่างได้ด้วย ตัวอย่างเช่น หากภัยคุกคามมาจากรัฐบาลของอิหร่าน บริษัทที่มีฐานอยู่ในสหรัฐฯ จะสามารถต่อต้านคำสั่งศาลของอิหร่านได้ แต่ต้องปฏิบัติตามคำสั่งของศาลสหรัฐฯ

ถึงแม้ผู้สร้างจะสามารถต่อต้านแรงกดดันของรัฐบาลได้ แต่ผู้โจมตีก็อาจบรรลุผลลัพธ์ที่ต้องการได้ โดยการเจาะเข้าระบบของผู้สร้างเครื่องมือ เพื่อที่จะโจมตีลูกค้าของผู้สร้าง

เครื่องมือที่ยืดหยุ่นมากที่สุด ก็คือเครื่องมือที่พิจารณาเรื่องดังกล่าวนี้ว่ามีแนวโน้มจะเป็นการโจมตี และได้รับการออกแบบมาเพื่อป้องกันการโจมตีดังกล่าวนี้ มองหาข้อความที่ยืนยันว่าผู้สร้างไม่สามารถเข้าถึงข้อมูลส่วนบุคคลได้ มากกว่าคำสัญญาว่าผู้สร้างจะไม่เข้าถึงข้อมูลส่วนบุคคล มองหาสถาบันที่มีชื่อเสียงว่าเคยต่อต้านคำสั่งศาลที่ให้ส่งมอบข้อมูลส่วนบุคคล

 

มีการเรียกคืนหรือการวิพากษ์วิจารณ์ออนไลน์หรือไม่ Anchor link

บริษัทที่จำหน่ายสินค้าและผู้สนใจพัฒนาที่โฆษณาซอฟต์แวร์ล่าสุดของตนสามารถเข้าใจผิด ชักนำให้เกิดความเข้าใจผิด หรือแม้กระทั่งให้ข้อมูลที่เป็นการโกหกได้ ผลิตภัณฑ์ที่เดิมก่อนหน้านี้มีความปลอดภัยอาจมีข้อบกพร่องที่ยอมรับไม่ได้ในอนาคต ตรวจให้แน่ใจว่าคุณติดตามข่าวสารล่าสุดเกี่ยวกับเครื่องมือที่คุณใช้อยู่

ไม่ใช่เรื่องง่ายที่จะตามทันข่าวสารล่าสุดเกี่ยวกับเครื่องมือที่ใช้งาน ถ้าคุณมีเพื่อนร่วมงานที่ใช้ผลิตภัณฑ์หรือบริการประเภทใดประเภทหนึ่ง ให้ร่วมมือกันเพื่อให้ได้รับข่าวสารข้อมูลที่ทันต่อเหตุการณ์

 

ฉันควรซื้อโทรศัพท์อะไรดี? ฉันควรซื้อคอมพิวเตอร์อะไร? Anchor link

คำถามข้อหนึ่งที่ผู้ฝึกอบรมเรื่องการรักษาความปลอดภัยพบบ่อยที่สุดคือ 'ฉันควรซื้อโทรศัพท์ Android หรือ iPhone?' หรือ 'ฉันควรใช้ PC หรือ Mac ดี?' หรือ 'ฉันควรใช้ระบบปฏิบัติการอะไร?' ไม่มีคำตอบที่เรียบง่ายสำหรับคำถามเหล่านี้ ความปลอดภัยของซอฟต์แวร์และอุปกรณ์มีการเปลี่ยนแปลงอยู่ตลอด เนื่องจากมีข้อบกพร่องใหม่ๆ เกิดขึ้นเรื่อยๆ ในขณะที่จุดบกพร่อมเก่าๆ ก็ได้รับการแก้ไข บริษัทต่างๆ อาจพยายามแข่งขันกัน เพื่อนำเสนอการรักษาความปลอดภัยที่ดีกว่าให้กับคุณ หรือพวกเขาอาจกำลังถูกกดดันจากรัฐบาลให้ลดประสิทธิภาพในการรักษาความปลอดภัย

อย่างไรก็ตาม คำแนะนำทั่วไปบางข้อสามารถใช้ประโยชน์ได้เสมอ เมื่อซื้ออุปกรณ์หรือระบบปฏิบัติการใดก็ตาม ให้พยายามอัปเดตซอฟต์แวร์ให้อยู่ในเวอร์ชันปัจจุบันเสมอ การอัปเดตมักจะแก้ไขปัญหาการรักษาความปลอดภัยในเวอร์ชันเดิมซึ่งการโจมตีสามารถใช้เป็นจุดอ่อนเพื่อหาประโยชน์ได้ โปรดทราบว่าอาจไม่มีการรองรับโทรศัพท์และระบบปฏิบัติการรุ่นเก่าแล้ว หรือไม่มีแม้แต่การอัปเดตการรักษาความปลอดภัยที่ใช้งานได้ โดยเฉพาะอย่างยิ่ง Microsoft ได้ประกาศอย่างชัดเจนว่าจะไม่มีการแก้ไขแม้กระทั่งปัญหาร้ายแรงเกี่ยวกับการรักษาความปลอดภัยให้กับ Windows Vista, XP และเวอร์ชันที่เก่ากว่า ซึ่งหมายความว่าถ้าคุณใช้งานอยู่ เวอร์ชันเหล่านี้จะไม่ปลอดภัยจากผู้โจมตี เช่นเดียวกันกับ OS X รุ่นเก่ากว่า 10.11 หรือ El Capitan

เมื่อคุณได้พิจารณาภัยคุกคามที่เผชิญอยู่และรู้ว่าจะค้นหาเครื่องมือรักษาความปลอดภัยทางดิจิทัลได้จากที่ไหนแล้ว คุณจะสามารถเลือกเครื่องมือที่เหมาะสมกับสถานการณ์ของคุณได้อย่างมั่นใจมากขึ้น

 

ผลิตภัณฑ์ที่กล่าวถึงในแนวทางนี้ Anchor link

เราพยายามตรวจสอบให้แน่ใจว่าซอฟต์แวร์และฮาร์ดแวร์ที่เรากล่าวถึงในแนวทางนี้สอดคล้องตามเกณฑ์ที่เราได้แสดงไว้ในรายการข้างต้น เราได้ใช้ความพยายามโดยสุจริต ในการแสดงเฉพาะรายการของผลิตภัณฑ์ที่มีรากฐานที่มั่นคง ในเรื่องที่เราทราบเกี่ยวกับการรักษาความปลอดภัยบนโลกดิจิทัล ผลิตภัณฑ์ที่มีความโปร่งใสโดยทั่วๆ ไป เกี่ยวกับการทำงาน (และความล้มเหลว) ผลิตภัณฑ์ที่มีการป้องกันโอกาสที่ผู้สร้างจะกลายเป็นผู้เจาะระบบเสียเอง และผลิตภัณฑ์ที่มีฐานผู้ใช้ที่มีความรู้ในเรื่องของเทคนิคเป็นจำนวนมาก และในขณะที่ผู้เขียนกำลังเขียนแนวทางนี้อยู่ ก็ยังมีสายตาของผู้ชมจำนวนมากที่คอยตรวจสอบหาข้อบกพร่องของผลิตภัณฑ์ดังกล่าว และพวกเขาจะแจ้งเรื่องที่เป็นกังวลให้สาธารณชนได้ทราบอย่างรวดเร็ว กรุณาเข้าใจว่าเราไม่ได้มีทรัพยากรในการตรวจสอบหรือรับประกันความปลอดภัยของผลิตภัณฑ์ดังกล่าวได้อย่างอิสระ และเราไม่ให้การรับรองผลิตภัณฑ์เหล่านี้ และไม่สามารถรับประกันได้ว่าผลิตภัณฑ์เหล่านี้จะสามารถรักษาความปลอดภัยได้อย่างสมบูรณ์

JavaScript license information