ปี 2012 จำนวนการใช้งานโทรศัพท์อัจฉริยะจะแซงหน้าคอมพิวเตอร์
เริ่มต้นด้วยคำถามง่ายว่า
- เราได้ล็อกโทรศัพท์ของเราหรือไม่
- เราได้ติดตั้งโปรแกรมป้องกันไวรัสในโทรศัพท์หรือไม่
- มีแอพพลิเคชั่นอะไรบ้างที่ติดตั้งอยู่ในเครื่องบ้าง
- แอพเหล่านั้นไว้ใจได้หรือไม่
- ได้ทำการ รูต หรือเจลเบรก อุปกรณ์ของเราหรือไม่
งานวิจัยของไซแมนเทค โดยการทิ้งโทรศัพท์อัจฉริยะจำนวน 50 เครื่อง พร้อมทั้งโปรแกรมสำหรับเก็บข้อมูล (เหมือนสปายแวร์เลยหว่ะ) แล้วแทร็กดูว่าผู้ใช้ที่เก็บได้จะใช้โทรศัพท์เครื่องนี้ทำอะไรบ้าง ไปไหนบ้าง หรือเข้าโปรแกรมอะไรบ้าง ผลสรุปว่า
- 43% คลิ๊กแอพที่ชื่อ online banking
- 53% เปิดแอพชื่อ HR salaries
- 57% เปิดไฟล์ชื่อ saved passwords
- 60% เปิดแอพ social networking tools และ อีเมล์ส่วนตัว
- 72% เปิดดูโฟลเดอร์ชื่อ private photos
- 89% คลิ๊กอะไรที่ไม่ควรคลิ๊ก (พูดง่ายๆว่า ได้เครื่องมาก็เปิดทั้งหมด)
- 50% หาเจ้าของเพื่อจะคืน
- 30% ที่ NY หาเจ้าของคืน
- 70% Ottawa หาเจ้าของคืน
- 50% ของโทรศัพท์อัจฉริยะไม่มีรหัสผ่านป้องกัน
- ความสะดวกสบาย มักสวนทางกับ ความปลอดภัย เสมอ
- 100% ของผู้ที่ทำโทรศัพท์หาย ไม่เคยคิดว่าโทรศัพท์จะหาย
- หลังจากโทรศัพท์หาย 1 ครั้ง พฤติกรรมจะเปลี่ยน
- สูญหาย Lost
- ถูกขโมย Stolen
- ลึมทิ้งไว้ Left unattended
- ไม่มีรหัสผ่าน No passcode protect
- เชื่อมต่อไวไฟอัตโนมัติตลอดเวลา Full time WiFi on and with "Auto connect"
- ฟรีไวไฟ Free WiFi lovers
- แอพพลิเคชั่นที่ติดตั้ง Lots of apps (trusted/untrusted)
- เปิดระบุพิกัดสถานที่ปัจจุบัน Location service
- มีป๊อบอัพก็คลิ๊กหมด Just click (คนไทยเห็นอะไรก็ตอบ Yes หมด)
มีฟีเจอร์ของสปายโฟนที่สำคัญ ไม่ว่าจะเป็นการแอบดักฟังโทรศัพท์ ข้อมูลsms ข้อมูลรายชื่อ (อาจถูกขโมยผ่านบลูทูธได้) และมีบริษัท Carrier IQ ฝังไว้ในโทรศัพท์ก่อนออกขายโดยมีวัตถุประสงค์เพื่อเก็บข้อมูล แต่สุดท้ายก็พบว่ามีการแอบเก็บรหัสผ่านของผู้ใช้งานด้วย
ประเทศชั้นนำจะต้องถูกตรวจสอบซอฟต์แวร์ที่นำมาใช้ก่อน ด้วย The Common Criteria ISO/IEC 15408 จึงจะนำไปใช้ได้
EXIF + GEOTAG
Mobile device + Camera + GPS + Social media = EXIF Meta Data
มีความเสี่ยงคือ
- อาจถูกติดตามได้จากใครก็ได้
- มิจฉาชีพ ผู้ไม่หวังดี
- ขบวนการค้ามนุษย์
****ในไอโฟนจะมีไฟล์ชื่อ consolidated.db เพื่อเก็บข้อมูลว่าเราไปไหนมาบ้าง
SSL Strip เป็นกาดักอยู่ตรงกลางเพื่อเปลี่ยนใรห้การเชื่อมต่อแบบเข้ารหัส SSL ให้เป็นข้อมูลเปล่าๆได้
- https > http
- https (without awareness) = http
- Man-in-the-Middle Attack
Smart TV เหตุเกิดจากในรัฐสภาที่มีการโชว์ภาพโป๊บนทีวี ใช้เทคโนโลยี DLNA
ปัญหาของการใช้อุปกรณ์สื่อสารขององค์กรคือ ข้อมูลขององค์กรอยู่ในอุปกรณ์ส่วนตัว พอมีหลายอุปกรณ์ต้องการเข้าถึงข้อมูลชุดเดียวกัน จึงทำให้เกิดคลาวด์ ถึงแม้ว่าองค์กรซื้อเครื่องให้พนักงาน พนักงานก็จะนำเครื่องนี้ไปใช้งานส่วนตัวด้วยเช่นกัน ดังนั้นประเด็น BYOD จึงเกิดขึ้นมา
Consumerization ทำการศึกษาวิจัยว่าใน 600 บริษัทชั้นนำในสหรัฐ เยอรมัน และญี่ปุ่น มีองค์กรใดบ้างที่อนุญาตให้พนักงานใช้อุปกรณ์ส่วนตัวกับงานที่ทำอยู่ พบว่า มีถึง 56% ที่อนุญาต แบ่งเป็น US 75% ส่วนญีุ่่ปุ่นระวังเรื่องนี้มากจึงอนุญาติเพียงแค่ 36% เท่านั้น
ดังนั้นองค์กรควรจะมีนโยบายควบคุมอุปกรณ์สื่อสารที่ทำการเชื่อมต่อกับทรัพยากรขององค์กร
แต่ก่อนโทรศัพท์มือถือมีไว้แค่เพื่อความบันเทิง แต่ปัจจุบันโทรศัพท์นั้นถูกนำมาใช้ในธุรกิจ
ทางออกหรือวิธีการที่จะนำมาใช้ป้องกัน
เริ่มจาก
- ลองดูว่าองค์กรเราเป็นอย่างไร
- มีผลกระทบอะไรบ้างถ้าหากไม่มีการควบคุม
- รับผลกระทบเหล่านั้นได้หรือไม่
- กำหนดนโยบาย (นโยบายขององค์กร มาตรฐานที่นำมาใช้ และเครื่องมือจะช่วยวิเคราะห์หาอุปกรณ์)
การควบคุม แบ่งเป็น 3 ระดับดังนี้
Administrative control (นโยบายขององค์กร มาตรฐานหรือไกด์ไลน์ที่นำมาใช้ และเครื่องมือจะช่วยวิเคราะห์หาอุปกรณ์)
Physical control (ใช้เครื่องมือ)
Logical Control (ใช้เครื่องมือ)
ใน ISO27001 มีประเด็นดังนี้
- A.7 Asset management
- A.7.2 Information classification จำกัดประเภทของข้อมูลที่จะถูกเชื่อมต่อกับอุปกรณ์สื่อสารนั้นๆ
- A.9 Physical and environmental security
- A.9.2 Equipment security
- A.9.2.5 Security of equipment off-premises อุปกรณ์ไม่ได้ควบคุมเรื่องวิธีการจัดเก็บ หรือตั้งอยู่
- A.9.2.6 Secure disposal or re-use of equipment ถ้าหากเปลี่ยนอุปกรณ์สื่อสาร ได้มีการควบคุมข้อมูลที่อยู่ในนั้นก่อนขาย หรือเปลี่ยนผู้ถือครองก่อนหรือไม่
- A.11 Access control
- A.11.7 Mobile computing and teleworking
- A.11.7.1 Mobile computing and communications
- A.11.7.2 Teleworking
เครื่องมือที่จะใช้ในการควบคุม เทคโนโลยีชื่อ MDM - Mobile Device Management
โดยที่ End-to-End ให้ความทำการเผ้าระวัง (Monitor) ควบคุม (Control) และป้องกัน (Protect) 4 เลเยอร์ดังต่อไปนี้
- Device ดูว่าติดตั้งระบบปฏิบัติการอะไร เจลเบรกหรือรูตหรือไม่
- Application ดูว่ามีแอพใดบ้างติดตั้งในเครื่องนี้บ้าง หรือแอพอะไรบ้างที่อนุญาตให้รันหรือไม่ในองค์กรได้
- Network ดูว่าเชื่อมต่อที่ไหน ที่บ้านที่ทำงาน ร้านกาแฟ
- Data ข้อมูลที่จะต่อนั้นมีข้อมูลอะไรบ้างที่สามารถดูได้
Lifecycle ของการบริหารจัดการอุปกรณ์มือถือ
Configure (จัดเตรียมและติดตั้งระบบให้ปลอดภัย) -> Provision -> Secure -> Support (เมื่อมีปัญหาขึ้นต้องให้ความใส่ใจในการแก้ไข) -> Monitor -> Decommission (ถ้าเลิกใช้ หรือพนักงานลาออกแล้วจะจัดการอะไรกับอุปกรณ์ชิ้นนั้น) แล้ววนกลับไปจุดเริ่มต้นใหม่