Blockdit Logo (Mobile)
hack.kiddie
27 ต.ค. 2022 เวลา 02:51 • วิทยาศาสตร์ & เทคโนโลยี
Non repudiation
Non repudiation เป็นหัวข้อนึงของ security ที่คนมักมองข้ามไป เพราะมันไม่ได้เกี่ยวกับการรักษาความปลอดภัยโดยตรง แต่มีผลมากเวลาต้องดำเนินการเรื่องกฏหมาย เรื่องความต้องรับผิด
โดยความหมายแล้ว Non repudiation มีความหมายว่าการที่ไม่สามารถปฏิเสธความรับผิดชอบได้ คือเกิดเหตุ มีการกระทำอะไรเนื่องจาก account ของคุณ ถ้าคุณเป็นคนเดียวที่เข้าถึง account นั้นได้ รู้ username / password อยู่คนเดียว คุณก็ต้องรับผลการกระทำนั้นๆ นอกจากว่าจะมีคนอื่นรู้ username / password คุณแล้วเข้าไปทำแทนคุณ
เอาตัวอย่าง account facebook คุณโพสหมิ่นประมาทคนอื่น เขาก็สามารถมาฟ้องคุณ เอาผิดคุณได้
บัญชีม้า ที่รับเปิดบัญชีให้คนอื่นเอาไปทำความผิดต่อ เวลามีปัญหา เขาก็มาตามเอาเรื่องกับเจ้าของบัญชีได้ มีปัญหาฟ้องร้องเป็นคดีความแน่ๆ (แต่จะแพ้ชนะ อ้างว่าไม่ได้ทำแล้วรอดไหมก็อีกเรื่อง)
บัตรเครดิตที่เขาให้คุณ วันดีคืนดีหาย อยู่ๆถูกรูดไปเป็นแสน อันนี้คุณก็ต้องรับผิดชอบ เพราะมันเป็นบัตรคุณ เขาคาดหวังว่าคุณเข้าถึงได้อยู่คนเดียว การกระทำก็มาจากคุณ เว้นแต่คุณโทรอายัดบัตร แสดงความไม่เป็นเจ้าของบัตรนั้นแล้วนะ ความรับผิดชอบต่อบัตรก็ไม่ต้องละ
มาคิดกันต่อ ถ้าข้อมูลในการเข้าถึง account นั้น ๆ ไม่ได้รู้อยู่คนเดียว ผู้ใช้เขาก็อาจปฏิเสธความรีบผิดชอบได้
ที่พบบ่อยๆ ก็ในการใช้งาน share account หรือการ assign password เริ่มต้น fix password ผู้ใช้เปลี่ยนเองไม่ได้
ลองนึกถึงเหตุการณ์สมมติ
ไอทีไก่ : เราพบ account คุณเข้าไปลบข้อมูลสำคัญ ส่งผลเสียหายกับบริษัท
พนักงานไข่ : ผมไม่ได้ทำนะ
ไอทีไก่ : ก็ log บอกว่าเป็น account คุณ
พนักงานไข่ : คนอื่นก็เข้า account ผมได้
พนักงานควาย ก็ใช้ account เดียวกับผม
ไอทีงู ก็รู้ password ผม แถมวันก่อนยังมีคนโพส user / password ผมในบอร์ดบริษัทอีก พอผมจะเปลี่ยนใหม่ระบบก็ไม่ให้เปลี่ยน
พนักงานไข่ : แล้วคุณรู้ได้ยังไงว่าไม่ใช่ พนักงานควาย หรือไอทีงู หรือคนอื่นทำ
ไอทีไก่ : .....
ก็นั่นแหละครับ share account , default password fix password ก็เลยขัดกับหลักการ non repudiation
สำคัญๆ จากตัวอย่างข้างบน สิ่งสำคัญอย่าฝนึงที่จะช่วย non repudiation ได้ คือ log ครับ ต้องมี log ให้ครบถ้วน เพียงพอที่จะระบุผู้กระทำได้
นึกถึงไอทีไก่ตอบกลับ : ก็ log มันบอกว่า login มาจากเครื่องคุณชื่อนี้ IP โน้น เวลานั้น เราดูกล้องวงจรปิดแล้วก็เป็นคุณที่นั่งที่โต๊ะเวลานั้น....
ก็เอวังด้วยประการฉะนี้

ดูเพิ่มเติมในซีรีส์

โฆษณา