สรุปบรรยายพิเศษ Mobile Device Management โดยอ.ไชยกร อภิวัฒโนกุล

ทำไมถึงสำคัญ
ปี 2012 จำนวนการใช้งานโทรศัพท์อัจฉริยะจะแซงหน้าคอมพิวเตอร์

เริ่มต้นด้วยคำถามง่ายว่า

1. เราได้ล็อกโทรศัพท์ของเราหรือไม่
2. เราได้ติดตั้งโปรแกรมป้องกันไวรัสในโทรศัพท์หรือไม่
3. มีแอพพลิเคชั่นอะไรบ้างที่ติดตั้งอยู่ในเครื่องบ้าง
4. แอพเหล่านั้นไว้ใจได้หรือไม่
5. ได้ทำการ รูต หรือเจลเบรก อุปกรณ์ของเราหรือไม่

งานวิจัยของไซแมนเทค โดยการทิ้งโทรศัพท์อัจฉริยะจำนวน 50 เครื่อง พร้อมทั้งโปรแกรมสำหรับเก็บข้อมูล (เหมือนสปายแวร์เลยหว่ะ) แล้วแทร็กดูว่าผู้ใช้ที่เก็บได้จะใช้โทรศัพท์เครื่องนี้ทำอะไรบ้าง ไปไหนบ้าง หรือเข้าโปรแกรมอะไรบ้าง ผลสรุปว่า

• 43% คลิ๊กแอพที่ชื่อ online banking
• 53% เปิดแอพชื่อ HR salaries
• 57% เปิดไฟล์ชื่อ saved passwords
• 60% เปิดแอพ social networking tools และ อีเมล์ส่วนตัว
• 72% เปิดดูโฟลเดอร์ชื่อ private photos
• 89% คลิ๊กอะไรที่ไม่ควรคลิ๊ก (พูดง่ายๆว่า ได้เครื่องมาก็เปิดทั้งหมด)
• 50% หาเจ้าของเพื่อจะคืน
• 30% ที่ NY หาเจ้าของคืน
• 70% Ottawa หาเจ้าของคืน

ผลการศึกษาพบว่า

• 50% ของโทรศัพท์อัจฉริยะไม่มีรหัสผ่านป้องกัน
• ความสะดวกสบาย มักสวนทางกับ ความปลอดภัย เสมอ
• 100% ของผู้ที่ทำโทรศัพท์หาย ไม่เคยคิดว่าโทรศัพท์จะหาย
• หลังจากโทรศัพท์หาย 1 ครั้ง พฤติกรรมจะเปลี่ยน

ปัญหาที่เกิดขึ้น (The Common Fails)

• สูญหาย Lost
• ถูกขโมย Stolen
• ลึมทิ้งไว้ Left unattended
• ไม่มีรหัสผ่าน No passcode protect
• เชื่อมต่อไวไฟอัตโนมัติตลอดเวลา Full time WiFi on and with "Auto connect"
• ฟรีไวไฟ Free WiFi lovers
• แอพพลิเคชั่นที่ติดตั้ง Lots of apps (trusted/untrusted)
• เปิดระบุพิกัดสถานที่ปัจจุบัน Location service
• มีป๊อบอัพก็คลิ๊กหมด Just click (คนไทยเห็นอะไรก็ตอบ Yes หมด)

สปายโฟน
มีฟีเจอร์ของสปายโฟนที่สำคัญ ไม่ว่าจะเป็นการแอบดักฟังโทรศัพท์ ข้อมูลsms ข้อมูลรายชื่อ (อาจถูกขโมยผ่านบลูทูธได้) และมีบริษัท Carrier IQ ฝังไว้ในโทรศัพท์ก่อนออกขายโดยมีวัตถุประสงค์เพื่อเก็บข้อมูล แต่สุดท้ายก็พบว่ามีการแอบเก็บรหัสผ่านของผู้ใช้งานด้วย
ประเทศชั้นนำจะต้องถูกตรวจสอบซอฟต์แวร์ที่นำมาใช้ก่อน ด้วย The Common Criteria ISO/IEC 15408 จึงจะนำไปใช้ได้

EXIF + GEOTAG
Mobile device + Camera + GPS + Social media = EXIF Meta Data
มีความเสี่ยงคือ

• อาจถูกติดตามได้จากใครก็ได้
• มิจฉาชีพ ผู้ไม่หวังดี
• ขบวนการค้ามนุษย์

นำข้อมูลมาใช้งานคู่กับ Google map และ Street view
****ในไอโฟนจะมีไฟล์ชื่อ consolidated.db เพื่อเก็บข้อมูลว่าเราไปไหนมาบ้าง

SSL Strip เป็นกาดักอยู่ตรงกลางเพื่อเปลี่ยนใรห้การเชื่อมต่อแบบเข้ารหัส SSL ให้เป็นข้อมูลเปล่าๆได้

• https > http
• https (without awareness) = http
• Man-in-the-Middle Attack

Socialcam สำหรับผู้ที่ชอบแชร์วีดีโอ แล้วบอกเพื่อนเราว่าเรากำลังดูวีดีโออะไรอยู่ ซึ่งจำเป็นต้องติดตั้งแอพของมันกันเพื่อดูวีดีโอวาบหวิว และแอพนี้ยังมีให้ติดตั้งบนโทรศัพท์มือถือแล้วยังส่ง SMS ไปยังเพื่อนในคอนแท็กของเราเพื่อชักชวนให้มาเล่น Socialcam ทำให้เราเสียเงินค่าส่ง

Smart TV เหตุเกิดจากในรัฐสภาที่มีการโชว์ภาพโป๊บนทีวี ใช้เทคโนโลยี DLNA

ปัญหาของการใช้อุปกรณ์สื่อสารขององค์กรคือ ข้อมูลขององค์กรอยู่ในอุปกรณ์ส่วนตัว พอมีหลายอุปกรณ์ต้องการเข้าถึงข้อมูลชุดเดียวกัน จึงทำให้เกิดคลาวด์ ถึงแม้ว่าองค์กรซื้อเครื่องให้พนักงาน พนักงานก็จะนำเครื่องนี้ไปใช้งานส่วนตัวด้วยเช่นกัน ดังนั้นประเด็น BYOD จึงเกิดขึ้นมา

Consumerization ทำการศึกษาวิจัยว่าใน 600 บริษัทชั้นนำในสหรัฐ​ เยอรมัน และญี่ปุ่น มีองค์กรใดบ้างที่อนุญาตให้พนักงานใช้อุปกรณ์ส่วนตัวกับงานที่ทำอยู่ พบว่า มีถึง 56% ที่อนุญาต แบ่งเป็น US 75% ส่วนญีุ่่ปุ่นระวังเรื่องนี้มากจึงอนุญาติเพียงแค่ 36% เท่านั้น

ดังนั้นองค์กรควรจะมีนโยบายควบคุมอุปกรณ์สื่อสารที่ทำการเชื่อมต่อกับทรัพยากรขององค์กร

แต่ก่อนโทรศัพท์มือถือมีไว้แค่เพื่อความบันเทิง แต่ปัจจุบันโทรศัพท์นั้นถูกนำมาใช้ในธุรกิจ

ทางออกหรือวิธีการที่จะนำมาใช้ป้องกัน

เริ่มจาก

• ลองดูว่าองค์กรเราเป็นอย่างไร
• มีผลกระทบอะไรบ้างถ้าหากไม่มีการควบคุม
• รับผลกระทบเหล่านั้นได้หรือไม่
• กำหนดนโยบาย (นโยบายขององค์กร มาตรฐานที่นำมาใช้ และเครื่องมือจะช่วยวิเคราะห์หาอุปกรณ์)

การควบคุม แบ่งเป็น 3 ระดับดังนี้

Administrative control (นโยบายขององค์กร มาตรฐานหรือไกด์ไลน์ที่นำมาใช้ และเครื่องมือจะช่วยวิเคราะห์หาอุปกรณ์) 

Physical control (ใช้เครื่องมือ)

Logical Control (ใช้เครื่องมือ)

ใน ISO27001 มีประเด็นดังนี้

• A.7 Asset management 
• A.7.2 Information classification จำกัดประเภทของข้อมูลที่จะถูกเชื่อมต่อกับอุปกรณ์สื่อสารนั้นๆ
• A.9 Physical and environmental security
• A.9.2 Equipment security
• A.9.2.5 Security of equipment off-premises อุปกรณ์ไม่ได้ควบคุมเรื่องวิธีการจัดเก็บ หรือตั้งอยู่
• A.9.2.6 Secure disposal or re-use of equipment ถ้าหากเปลี่ยนอุปกรณ์สื่อสาร ได้มีการควบคุมข้อมูลที่อยู่ในนั้นก่อนขาย หรือเปลี่ยนผู้ถือครองก่อนหรือไม่
• A.11 Access control
• A.11.7 Mobile computing and teleworking 
• A.11.7.1 Mobile computing and communications
• A.11.7.2 Teleworking

เครื่องมือที่จะใช้ในการควบคุม เทคโนโลยีชื่อ MDM - Mobile Device Management 

โดยที่ End-to-End ให้ความทำการเผ้าระวัง (Monitor) ควบคุม (Control) และป้องกัน (Protect) 4 เลเยอร์ดังต่อไปนี้

• Device ดูว่าติดตั้งระบบปฏิบัติการอะไร เจลเบรกหรือรูตหรือไม่
• Application ดูว่ามีแอพใดบ้างติดตั้งในเครื่องนี้บ้าง หรือแอพอะไรบ้างที่อนุญาตให้รันหรือไม่ในองค์กรได้
• Network ดูว่าเชื่อมต่อที่ไหน ที่บ้านที่ทำงาน ร้านกาแฟ
• Data ข้อมูลที่จะต่อนั้นมีข้อมูลอะไรบ้างที่สามารถดูได้

Lifecycle ของการบริหารจัดการอุปกรณ์มือถือ

Configure (จัดเตรียมและติดตั้งระบบให้ปลอดภัย) -> Provision -> Secure -> Support (เมื่อมีปัญหาขึ้นต้องให้ความใส่ใจในการแก้ไข) -> Monitor -> Decommission​ (ถ้าเลิกใช้ หรือพนักงานลาออกแล้วจะจัดการอะไรกับอุปกรณ์ชิ้นนั้น) แล้ววนกลับไปจุดเริ่มต้นใหม่