อย่าไว้ใจเรา

ในสมรภูมิระหว่าง Google และ Apple มีแนวปะทะหนึ่งที่ผมรู้สึกว่าคนยังไม่ค่อยพูดถึง คือประเด็นความเป็นส่วนตัว ปรัชญาของ Google ดูจะเป็น “ไว้ใจเราได้นะ เรามีชื่อเสียงต้องรักษา” ส่วน Apple เป็น “อย่าไว้ใจใครแม้แต่เรา” ทำให้ Apple ไม่ยอมเก็บข้อมูลลูกค้าหลายอย่างบน cloud เช่น location history เป็นต้น

ปัจจุบัน Google ก็ยังไม่เคยมีข้อมูลหลุดรั่วในระดับพังพินาศ แต่ในระยะยาวแล้ว หลีกเลี่ยงไม่ได้ที่ข้อมูลที่อยู่บน cloud ของ Google จะกลายเป็นเป้าของภัยคุกคามขั้นสูง (Advanced Persistent Threat, ผู้คุกคามที่มีทั้งเงินและความอดทน) อาทิ

  1. แฮกเกอร์หมวกดำในอุตสาหกรรมเรียกค่าไถ่ (Maersk, HBO)
  2. การจารกรรมทางธุรกิจ หรือก่อการร้ายทางไซเบอร์ (PlayStation, Ashley Madison)
  3. ภัยจากหน่วยงานไซเบอร์ในระดับรัฐชาติ เช่นอเมริกา รัสเซีย จีน เกาหลีเหนือ (Stuxnet, Hillary Clinton)
  4. ภัยจากอำนาจทางกฎหมายและการเมืองในประเทศตัวเอง (FBI กับ iPhone 5c, FISA court)

เหยื่อในวงเล็บทั้งหมด แม้จะมีทุนทรัพย์มหาศาล ก็พ่ายแพ้ต่อความมุมานะของผู้คุกคาม ซึ่งต้องการเพียงห่วงโซ่ที่เปราะบางที่สุดในระบบเท่านั้น

Google มีความเหนือกว่าบริษัทเหล่านี้ ตรงที่มีวิศวกรหัวกะทิจำนวนมาก สงครามไซเบอร์สู้กันด้วยคณิตศาสตร์ ซึ่งมีความอสมมาตรตรงที่การป้องกันมักจะราคาถูกกว่าการโจมตี การเข้ารหัสทางเดียวที่ใช้เวลาแค่ 10 วินาที อาจจะต้องสุ่มถอดรหัสด้วยซุปเปอร์คอมพิวเตอร์นานเป็นศตวรรษ โดยสองปัจจัยนี้แล้ว Google น่าจะเป็นหนึ่งในบริษัทที่มีเกราะป้องกันภัยลำดับ 1-3 ที่ดีที่สุด

แต่ภัยลำดับที่ 4 ไม่มีความอสมมาตรนี้ โดยทั่วไป บริษัทสามารถต่อสู้กับกระบวนการทางกฎหมายได้สองวิธี คือทนายและการล็อบบี้ ซึ่งผลสำเร็จมักวัดกันที่เงินของฝั่งไหนใหญ่กว่ากัน อีกทั้งยังมีความอ่อนไหวต่อเหตุการณ์ภายนอกสูง

หลังเหตุการณ์กราดยิงที่ San Bernadino หน่วยงานของรัฐพยายามใช้กฎหมายบีบให้ Apple สร้างอาวุธลับที่จะปลดล็อค iPhone ของมือปืน Apple ปฏิเสธ โดยให้เหตุผลว่าอาวุธนั้นจะถูกนำไปใช้ในทางที่ผิดอย่างควบคุมไม่ได้ ทำให้คนอเมริกันจำนวนหนึ่งมองว่า Apple ไม่รักชาติทันที คงไม่ยากเกินจะจินตนาการว่าภัยก่อการร้ายที่ใหญ่กว่านี้ และกระแสสังคมที่ตื่นกลัวมากกว่านี้ จะบีบให้วุฒิสภาออกกฎหมายใหม่ ซึ่งลบล้างความปลอดภัยทางเทคนิคที่บริษัทเทคโนโลยีวางเอาไว้หมดสิ้น

ผมมองว่า ปรัชญา “อย่าไว้ใจเรา” ของ Apple คือการพนันในทางธุรกิจ ว่าสักวันหนึ่งเหตุการณ์นี้จะเกิดขึ้น และกลไกทางเทคนิคที่จะยืนหยัดอยู่ได้ ต้องไม่มีกุญแจผีเก็บอยู่ในตู้เซฟใดเลย ทั้งเทคโนโลยีเข้ารหัสบนชิปแยก Secure Enclave, iMessage ที่เข้ารหัสแบบ end-to-end forward-secrecy, และ Photos ที่ประมวลผล face detection บนอุปกรณ์ ไม่ใช่บน cloud จึงกำเนิดขึ้น เพื่อให้วันนั้น Apple สามารถให้การกับศาลได้ว่า ไม่มีวิธีอ่านข้อมูลจากโทรศัพท์ของผู้ตายจริงๆ เด้อ และ iOS ก็จะเป็นระบบปฏิบัติการเดียวในโลกที่ยังมีความปลอดภัยอยู่

 
3
Kudos
 
3
Kudos

Now read this

PromptPay.io 2.0

วิสัยทัศนของ PromptPay.io คือการเปน DNS สำหรับเงินโอน ทีใชงานงายทีสุด ดังนันพันธกิจของ 2.0 กคือการเปิดใหทุกคนสามารถตังชือ username ของตัวเองได แปลวาตองทำระบบสมัครสมาชิก ตอนแรกกนึกไมออกวาจะเขียนระบบสมาชิกใหใชงานงายๆ โดยไมตองจำ username,... Continue →