คัมภีร์สยบแฮกเกอร์ (#1)

[Mireu]

คัมภีร์สยบแฮกเกอร์ (#1)
[hide=5]หมายเหตุ : แปลจากหนังสือ Halting The Hacker ไว้นานแล้ว แต่ไม่มีใครรับพิมพ์ เลยประชดชีวิตด้วยการเอามาให้อ่านฟรีๆ (จะโพสต์เป็นตอนๆ ไปเรื่อยๆ จนกว่าจะจบเล่ม ซึ่งคาดว่าคงหลายเดือนอยู่ 5 5 5)
ตอนที่ 1 เรื่องทั้งหมดเริ่มต้นจากแฮคเกอร์...
ทุกวันนี้ เหล่าแฮคเกอร์ได้พัฒนาทักษะความรู้ความสามารถในการเจาะระบบไปไกลกว่าในอดีตมาก แฮคเกอร์เดี๋ยวนี้มีการกำหนดเป้าหมายและวางแผนการแฮคอย่างชัดเจน บางครั้งมีการรวมกลุ่มกันทำงานเป็นทีมและแบ่งหน้าที่ในทีมอย่างเหมาะเจาะ พร้อมทั้งมีวิธีการดำเนินการราวกับหน่วยปฏิบัติการพิเศษ โดยเริ่มจากการลาดตระเวนเก็บข้อมูลจากแหล่งต่างๆ เพื่อให้ได้รายละเอียดเกี่ยวกับเป้าหมายของการโจมตีให้ได้มากที่สุดเท่าที่จะมากได้ จากนั้นจึงเริ่มลงมือเจาะเข้าสู่ระบบที่พวกเขาเลือกไว้เป็นจุดเริ่มต้นของการแฮค เมื่อล่วงล้ำเข้าสู่ระบบได้แล้ว แฮคเกอร์จะหาทางเพิ่มพูนสิทธิผู้ใช้ของตนให้มากขึ้นเรื่อยๆ จนกระทั่งสามารถควบคุมระบบทั้งหมด ระหว่างดำเนินการขั้นตอนนี้ พวกเขาจะจับตามองการทำงานในฐานะผู้ดูแลระบบของคุณมากเป็นพิเศษ และไม่ลืมที่จะกลบเกลื่อนร่องรอยทั้งหมดที่อาจจะสาวไปถึงตัวแฮคเกอร์ได้ พร้อมกับสร้างประตูหลัง (backdoor) เอาไว้ในระบบ เพื่อเป็นทางเข้าออกพิเศษของพวกเขา เมื่อแฮคเกอร์เข้าครอบครองระบบใดได้แล้ว พวกเขาจะไม่หยุดอยู่แค่นั้น แต่จะรุกต่อไปยังระบบอื่นๆอีก โดยที่ยิ่งมีการรุกคืบจากระบบหนึ่งไปยังอีกระบบหนึ่งมากเท่าใด ก็ยิ่งทำให้การแกะรอยแฮคเกอร์เป็นไปอย่างยากลำบากเท่านั้น จนกระทั่งพวกแฮคเกอร์สามารถเข้าถึงระบบที่เป็นเป้าหมายที่แท้จริง ซึ่งเมื่อถึงตอนนั้นแล้ว แฮคเกอร์ก็จะลงมือจัดการกับข้อมูลที่มีความสำคัญตามที่ได้วางแผนไว้แต่แรก
แฮคเกอร์ส่วนใหญ่จะมีกลเม็ดเด็ดพรายและเครื่องมือเครื่องใช้สำหรับการแฮคเป็นอุปกรณ์คู่ตัว ไม่ว่าจะเป็นโปรแกรมสร้างประตูหลังในระบบ โปรแกรมกลบเกลื่อนร่องรอยการบุกรุก และโปรแกรมที่นำเอาข้อบกพร่องของระบบมาทำการมิดีมิร้ายตามใจตัว แฮคเกอร์สามารถประยุกต์ใช้โปรแกรมเหล่านี้อย่างพลิกแพลงในทุกขั้นตอนของการแฮค อันประกอบด้วยการเจาะเข้าสู่ระบบ การเพิ่มสิทธิผู้ใช้ การปิดบังร่องรอย และการเฝ้าสังเกตการทำงานของผู้ดูแลระบบ เครื่องมือเครื่องใช้ของแฮคเกอร์เหล่านี้มีตั้งแต่ที่เป็นโปรแกรมที่ประดิษฐ์คิดค้นขึ้นมาอย่างง่ายๆ ไปจนถึงซอฟท์แวร์ที่มีการทำงานอย่างสลับซับซ้อน
แต่ก่อนที่เราจะศึกษาถึงอุปกรณ์และวิธีใช้อุปกรณ์ของแฮคเกอร์ เราควรเรียนรู้เกี่ยวกับตัวแฮคเกอร์เองเสียก่อน อย่างน้อยที่สุด เพื่อให้ได้รู้ว่า สาเหตุอะไรที่เป็นแรงจูงใจให้คนธรรมดากลายเป็นแฮคเกอร์ไปได้

บทที่ 1 แฮคเกอร์นั้นเป็นฉันใด ?
ภาพแฮคเกอร์ที่ติดอยู่ในใจของคนส่วนใหญ่นั้นมาจากภาพยนตร์เรื่องวอร์เกมส์ อันเป็นภาพของเด็กหนุ่มที่นั่งอยู่หน้าเครื่อง TRS-80 และมีแสงเรื่อๆ จากจอคอมพิวเตอร์จับอยู่บนใบหน้า ระหว่างวันที่เขาไปเรียนหนังสือ เจ้าคอมพิวเตอร์เครื่องนี้ได้ทำการหมุนโทรศัพท์หมายเลขแล้วหมายเลขเล่าไม่หยุด เพื่อสุ่มหาระบบคอมพิวเตอร์ที่ติดต่ออยู่กับเครือข่ายโทรศัพท์ และขณะนี้ เด็กหนุ่มเจ้าของคอมพิวเตอร์ได้กลับมาดูผลงานและกำลังหาทางเจาะเข้าไปยังระบบคอมพิวเตอร์เหล่านั้น โดยการลองพิมพ์รหัสลับเท่าที่จะนึกออกเข้าไปอย่างไม่ลดละ...
ในความเป็นจริงทุกวันนี้ แฮคเกอร์มีการพัฒนาไปมาก และไม่จำเป็นต้องเป็นเด็กหนุ่มเสมอไป แฮคเกอร์ยุคใหม่มีทั้งเครื่องมือเครื่องไม้พร้อมสรรพ และมีจุดมุ่งหมายของการแฮคที่ชัดเจน

---รู้จักแฮคเกอร์---
ถ้าต้องการจะเอาชนะแฮคเกอร์ คุณก็ต้องเข้าใจเสียก่อนว่า มีแรงจูงใจอะไรที่ทำให้จู่ๆ คนเกิดอยากเป็นแฮคเกอร์ชึ้นมา ในส่วนลึกของจิตใจ คนส่วนใหญ่ที่สนใจในเรื่องคอมพิวเตอร์มีความอยากเป็นแฮคเกอร์อยู่ไม่มากก็น้อย มันเป็นความท้าทายของการเอาชนะระบบคอมพิวเตอร์ผสมผสานกับความตื่นเต้นที่ได้ค้นพบช่องโหว่ที่ไม่เคยมีใครรู้มาก่อน แม้แต่คนที่มีความคิดสุจริตที่สุดก็ปฏิเสธไม่ได้ว่า ความเร้าใจเช่นนี้ช่างดึงดูดใจเอามากๆ อาชญากรรมทางคอมพิวเตอร์มีเสน่ห์ยั่วยวนคนเล่นคอมพิวเตอร์เสมอมา ไม่ว่าเขาคนนั้นจะมีฝีมือระดับไหนและมีเจตนาอะไรในการเล่นคอมพิวเตอร์ก็ตาม

ทักษะความสามารถ
แฮคเกอร์ที่มีฝีมือจะต้องมีความรู้เกี่ยวกับระบบคอมพิวเตอร์อย่างรอบด้าน ไม่ว่าจะเป็นเรื่องของระบบปฏิบัติการ ระบบเครือข่าย และระบบรักษาความปลอดภัย นอกจากนั้น ยังต้องรอบรู้เกี่ยวกับเทคโนโลยีคอมพิวเตอร์ในด้านอื่นๆ อีกด้วย แฮคเกอร์จะต้องรู้ถึงวิธีการต่างๆ ที่ผู้ดูแลระบบและผู้รักษาความปลอดภัยระบบคอมพิวเตอร์ ใช้ตรวจสอบหาผู้บุกรุก ต้องสามารถประเมินระดับความเข้มข้นของการรักษาความปลอดภัยของระบบได้อย่างรวดเร็ว ต้องรู้ทางหนีทีไล่เป็นอย่างดี เผื่อว่าเมื่อผู้ดูแลระบบรู้ตัวว่าถูกบุกรุกแล้ว การแกะรอยตามหาตัวแฮคเกอร์จะได้ดำเนินไปอย่างยากลำบากที่สุด
แฮคเกอร์ที่ดียังต้องรู้จักสร้างสายสัมพันธ์ระหว่างแฮคเกอร์ด้วยกัน โดยการสืบหาและสร้างความสัมพันธ์กับแฮคเกอร์รายอื่นๆ เพื่อแลกเปลี่ยนทัศนคติและเผยกลเม็ดเด็ดพรายในการเจาะระบบให้แก่กัน การคบหาแฮคเกอร์ด้วยกันนับเป็นทางลัดของการเพิ่มพูนประสบการณ์และข้อมูลข่าวสารเกี่ยวกับการแฮค นอกจากนั้น ยังอาจนำไปสู่การจับมือร่วมกันเจาะระบบเป็นทีมไปเลยก็เป็นได้
เครื่องไม้เครื่องมือเป็นสิ่งที่ขาดไม่ได้สำหรับแฮคเกอร์ แฮคเกอร์อาจจะสร้างเครื่องช่วยในการแฮคด้วยตนเองหรืออาจจะหามาได้ด้วยวิธีอื่น แต่สำหรับแฮคเกอร์มือดีแล้ว เขาจะต้องเข้าใจทุกขั้นตอนของการทำงานของเครื่องมือของเขาเป็นอย่างดี และสามารถแก้ไขดัดแปลงให้มันทำงานได้ตามแต่ใจต้องการอีกด้วย

แรงจูงใจ
แฮคเกอร์แต่ละรายมีแรงจูงใจในการแฮคแตกต่างกันไป บางคนเป็นพวกหัวกบฎที่อยากทำลายทุกสิ่งที่ขวางหน้า หรือไม่ก็ต้องการให้ชื่อตนเป็นที่โจษขาน บางคนมีบัญชีหนี้แค้นที่ต้องชำระกับตัวบุคคลหรือองค์กร บางคนหวังทำเงินจากการขโมยข้อมูลหรือเจาะระบบไปตามการจ้างวาน และก็มีบางคนที่เป็นแฮคเกอร์พันธุ์แท้ ซึ่งจุดประสงค์ของแฮคเกอร์พันธุ์นี้มีอยู่เพียงประการเดียว คือเพื่อศึกษาว่าระบบคอมพิวเตอร์ทำงานอย่างไร พวกนี้ไม่ต้องการอะไรนอกเหนือจากความสนุกสนานตื่นเต้นที่ได้เจาะระบบใหม่ๆ ที่ท้าทาย
จากแรงจูงใจอันหลากหลายเช่นนี้ เราพบว่า ยิ่งถ้าเป็นแรงจูงใจที่เกี่ยวข้องกับผลประโยชน์หรือเป็นความแค้นส่วนตัวมากเท่าไร ความรุนแรงของการทำลายล้างระบบก็จะยิ่งมากขึ้นเป็นเงาตามตัว ความปลอดภัยของระบบคอมพิวเตอร์มีส่วนเหมือนความปลอดภัยของบ้านเรือนอยู่เหมือนกัน ตรงที่ถ้าหากระบบคอมพิวเตอร์ของคุณมีการรักษาความปลอดภัยอย่างแน่นหนายากแก่การบุกรุกทำลายแล้ว แฮคเกอร์ก็จะผ่านเลยระบบของคุณไปเจาะระบบอื่นๆ ที่แข็งแกร่งน้อยกว่า แต่เมื่อใดก็ตามที่แฮคเกอร์มุ่งหมายเจาะจงมาที่ระบบของคุณ ไม่ว่าจะด้วยเหตุผลว่าระบบของคุณมีข้อมูลที่มีค่าเก็บรักษาอยู่ หรือด้วยเหตุผลส่วนตัวใดๆ ก็ตาม แฮคเกอร์ก็จะพยายามทุกวิถีทางเพื่อเข้าสู่ระบบคอมพิวเตอร์ของคุณให้จงได้ ไม่เลิกราง่ายๆ และนั่นหมายความว่า การต่อสู้ระหว่างคุณกับแฮคเกอร์ได้เริ่มต้นขึ้นแล้ว
คุณควรมีการประเมินดูอยู่เสมอว่า ระบบคอมพิวเตอร์ที่คุณดูแลเป็นที่หมายปองของแฮคเกอร์ประเภทใด สำหรับระบบที่เก็บข้อมูลที่มีค่าเอาไว้ ไม่ว่าจะเป็นข้อมูลทางธุรกิจที่ให้บริษัทคู่แข่งล่วงรู้ไม่ได้ ข้อมูลที่จะนำความเสียหายมาสู่องค์กรถ้าถูกเปิดเผยสู่สาธารณชน ข้อมูลทางด้านการเงินที่ไม่อาจถูกปลอมแปลงได้ ก็มีโอกาสเป็นไปได้สูงที่ระบบคอมพิวเตอร์ที่เก็บข้อมูลเหล่านี้จะต้องสู้รบปรบมือกับแฮคเกอร์ประเภทที่ชอบขโมยข้อมูลทางธุรกิจ
ถ้าในระบบของคุณมีข้อมูลเกี่ยวกับเงินๆ ทองๆ เก็บอยู่ ระบบนั้นจะเนื้อหอมเป็นพิเศษสำหรับแฮคเกอร์ไม่ว่าจะเป็นแฮคเกอร์ประเภทใดก็ตาม ต่างกับข้อมูลที่เกี่ยวข้องกับองค์กรที่จะทำให้เกิดส่วนได้ส่วนเสียเฉพาะกับตัวบริษัทหรือเป็นประโยชน์เฉพาะกับบริษัทคู่แข่งเท่านั้น ซึ่งจะเป็นที่ดึงดูดใจแค่แฮคเกอร์ที่เป็นพนักงานเก่าที่ต้องการล้างบัญชีแค้นหรือไม่ก็แฮคเกอร์รับจ้างล้วงข้อมูลลับ แต่ไม่ว่าข้อมูลที่เก็บในระบบจะเป็นข้อมูลชนิดใดก็ตาม สัดส่วนการลงทุนเพื่อรักษาความปลอดภัยระบบกับมูลค่าของความเสียหายที่อาจเกิดขึ้นถ้าระบบถูกบุกรุกขึ้นมาจริงๆ ควรมีอัตราส่วนใกล้เคียงกัน อีกประการหนึ่งที่คุณควรจดจำไว้คือ ในเมื่อระบบคอมพิวเตอร์ของคุณไม่ได้อยู่โดดเดี่ยวเพียงลำพัง ดังนั้น ความแข็งแกร่งหรืออ่อนแอของการรักษาความปลอดภัยของระบบอื่นๆ ที่เชื่อมต่อมายังระบบของคุณ จะมีผลโดยตรงกับความปลอดภัยของระบบของคุณด้วย
หนอนบ่อนไส้
แฮคเกอร์ประเภทหนอนบ่อนไส้ได้แก่ คนที่มีสิทธิ์เป็นผู้ใช้ระบบโดยชอบธรรมอยู่แล้ว แต่ด้วยเหตุผลบางอย่าง กลับแปลงตัวเป็นผู้มุ่งร้ายต่อระบบไป คนเหล่านี้โดยมากมักเป็นพนักงานของบริษัทเองที่มีความคับข้องใจหรือไม่ซื่อสัตย์ต่อหน้าที่การงาน ซึ่งเป็นได้ตั้งแต่แค่ผู้ใช้ระบบธรรมดาๆ คนหนึ่งที่เผอิญสามารถเข้าถึงข้อมูลที่สำคัญๆ ของบริษัท ไปจนถึงวิศวกรระบบที่รู้ไส้รู้พุงระบบคอมพิวเตอร์เป็นอย่างดี และมีความสามารถเล่นตลกกับระบบได้ทุกแบบ แฮคเกอร์ประเภทนี้สามารถสร้างความเสียหายอันใหญ่หลวงที่สุดให้กับระบบได้อย่างสบายๆ มีตัวเลขประมาณว่า ความเสียหายที่เกิดจากแฮคเกอร์ประเภทหนอนบ่อนไส้มีมากมายถึง 20 เปอร์เซ็นต์ของความเสียหายเกี่ยวกับคอมพิวเตอร์ทั้งหมด
ผู้ดูแลระบบควรจับตาดูบุคคลที่มีโอกาสกลายเป็นแฮคเกอร์ประเภทหนอนบ่อนไส้ไว้ให้ดี เพราะเขาเหล่านั้นทั้งรู้และทั้งสามารถเข้าถึงข้อมูลที่สำคัญในระบบ ใครจะรู้ว่าวันหนึ่งพวกเขาอาจเกิดแรงจูงใจให้กลายเป็นแฮคเกอร์ไปก็เป็นได้ แรงจูงใจที่ว่านี้มีอยู่ 2 ประการใหญ่ๆ คือความต้องการทำเงินจากข้อมูลสำคัญ แล้วก็เรื่องความแค้นส่วนตัว ไม่ว่าจะกับองค์กรหรือกับตัวบุคคลใดบุคคลหนึ่ง ลักษณะของการทำเงินก็เป็นได้ทั้งจากการแก้ไขข้อมูลให้เป็นประโยชน์กับตน การลักลอบนำข้อมูลที่เป็นความลับไปขาย ไปจนถึงการขู่เอาเงินเป็นค่าแก้ไขให้ระบบกลับทำงานได้ดังเดิม ส่วนการแก้แค้นก็เป็นไปได้ในหลากหลายรูปแบบ เพราะแฮคเกอร์จะคิดเพียงว่าทำอย่างไรก็ได้ เพื่อให้เกิดความเสียหายกับองค์กรหรือตัวบุคคลให้มากที่สุด

ซูเปอร์แฮคเกอร์
ซูเปอร์แฮคเกอร์ไม่ขี้โม้ ไม่มีการโอ้อวดว่าได้ทำอะไรลงไปบ้าง ไม่มีการป่าวประกาศความสำเร็จให้ชาวบ้านรับรู้ ตรงกันข้าม แฮคเกอร์ประเภทนี้จะซุ่มอยู่เงียบๆ เพื่อเฝ้าสังเกตการปฏิบัติการของแฮคเกอร์รายอื่นๆ พร้อมไปกับการเรียนรู้เทคนิควิธีการของแฮคเกอร์เหล่านั้น ครั้นเมื่อลงมือแฮค ซูเปอร์แฮคเกอร์จะเคลื่อนกายไปในระบบคอมพิวเตอร์อย่างไร้ร่องรอย ฉกฉวยเอาสิ่งที่เขาต้องการไปอย่างแผ่วเบาที่สุด เมื่อซูเปอร์แฮคเกอร์หมายตาระบบใดไว้แล้ว ก็เชื่อแน่ได้เลยว่า ระบบนั้นจะถูกเจาะเข้าไปในที่สุด เมื่อใดก็ตามที่เขาต้องการทำให้ระบบพัง ระบบก็จะพังลงอย่างจับมือใครดมไม่ได้ จนหลายคนคิดว่า ในโลกคอมพิวเตอร์ไม่มีซูเปอร์แฮคเกอร์อยู่จริง เพราะไม่เคยมีใครเห็นร่องรอยของแฮคเกอร์ประเภทนี้เลย อย่างไรก็ตาม ความเป็นซูเปอร์แฮคเกอร์ก็เป็นเป้าหมายสูงสุดของแฮคเกอร์จำนวนมาก แต่ถ้าจะนับกันจริงๆ ซูเปอร์แฮคเกอร์ตัวจริงมีอยู่น้อยเสียยิ่งกว่าน้อย ส่วนใหญ่ที่เหลือจะเป็นพวกอวดอ้างโดยไม่ได้เป็นจริงๆ เสียมากกว่า

แฮคเกอร์มือโปร
แฮคเกอร์มือโปรเป็นแฮคเกอร์"พันธุ์ใหม่"ของวงการ หมายถึง พวกที่ฝึกฝนการแฮคมาอย่างเป็นระบบ มีความสามารถตบตาและหลอกล่อบุคคลที่เกี่ยวข้องกับระบบคอมพิวเตอร์ เพื่อให้ได้มาซึ่งข้อมูลและวิธีการที่เป็นประโยชน์ต่อการแฮค บางส่วนของแฮคเกอร์ประเภทนี้เป็นผลผลิตจากหน่วยสืบราชการลับของรัฐบาลทั่วโลก ความแตกต่างของแฮคเกอร์มือโปรกับแฮคเกอร์ประเภทอื่นๆ อยู่ตรงที่แฮคเกอร์ประเภทนี้มีเป้าหมายที่เฉพาะเจาะจงเมื่อบุกรุกเข้าไปยังระบบใดระบบหนึ่ง โดยมักจะมีจุดมุ่งหมายอยู่ตรงข้อมูลทั้งหลายที่มีความสำคัญ เหยื่อของแฮคเกอร์มือโปรมักเป็นหน่วยงานราชการและบริษัทชั้นนำ แฮคเกอร์ประเภทนี้ส่วนใหญ่จะเป็นแฮคเกอร์รับจ้างด้วย

---รู้จักผู้ดูแลระบบ---
แฮคเกอร์รู้ดีว่าผู้ดูแลระบบคอมพิวเตอร์มีอยู่หลายระดับฝีมือด้วยกัน บางคนเป็นยอดฝีมือที่เรียนจบมาทางวิทยาศาสตร์คอมพิวเตอร์โดยตรง และเฝ้าดูแลระบบอยู่ตลอด 24 ชั่วโมง พวกเขาติดตามข่าวสารเกี่ยวกับความปลอดภัยของระบบและสามารถอุดรอยรั่วใหม่ๆ ที่มีการค้นพบได้อย่างทันท่วงทีทุกครั้งไป แต่ในหมู่ผู้ดูแลระบบก็มีมือใหม่ปะปนอยู่ด้วย หมายถึงบุคคลที่อยู่ในสถานะผู้ดูแลระบบก็จริง แต่จริงๆ แล้วเป็นเพียงผู้ใช้ระบบคนหนึ่งที่ได้รับมอบหมายให้ดูแลความเรียบร้อยของระบบ ซึ่งมีหน้าที่ความรับผิดชอบเพียงดูแลให้ผู้ใช้รายอื่นๆ สามารถใช้ระบบอย่างไม่มีปัญหาเท่านั้น โดยไม่มีการตรวจสอบความเป็นไปอย่างใกล้ชิด หรือที่ร้ายยิ่งกว่านั้นคือ ระบบคอมพิวเตอร์บางระบบไม่มีผู้ดูแลระบบด้วยซ้ำ อันเนื่องมาจากนโยบายรัดเข็มขัดตัดรายจ่ายของบริษัทเจ้าของระบบ จึงทำให้บริษัทตัดสินใจลดบทบาทหน้าที่ของผู้ดูแลระบบและผู้รักษาความปลอดภัยระบบลง ทั้งที่ระบบคอมพิวเตอร์ก็ยังคงเก็บข้อมูลที่สำคัญของบริษัทอยู่
ในทางกลับกัน ในฝ่ายของผู้ดูแลระบบก็ต้องรับมือกับแฮคเกอร์ที่มีหลายระดับฝีมือด้วยเช่นกัน หลักการที่เหมาะที่จะนำมาประยุกต์ใช้รับมือกับแฮคเกอร์ทั้งหลายมากที่สุด ได้แก่กฎ 80/20 เนื้อหาของกฎนี้มีว่า ผลลัพธ์ 80 เปอร์เซ็นต์ของผลลัพธ์ที่ได้ทั้งหมดไม่ว่าจะเป็นสิ่งใดก็ตาม จะเกิดจาก 20 เปอร์เซ็นต์ของการลงทุนลงแรง ส่วนการลงทุนลงแรงที่เหลืออีก 80 เปอร์เซ็นต์นั้น ก่อให้เกิดผลลัพธ์เพียง 20 เปอร์เซ็นต์เท่านั้น คุณนำกฎนี้มาใช้กับการสร้างเกราะป้องกันให้กับระบบของคุณได้ ตรงที่ขอเพียงคุณเพิ่มความเอาใจใส่ลงไปอีกเพียงเล็กน้อย ระบบของคุณก็จะปลอดภัยจากการรุกรานส่วนใหญ่ได้ ยกตัวอย่างเช่น การเลือกใช้รหัสผ่านให้เหมาะสม ไม่ใช้คำที่เดาง่ายหรือปล่อยให้รหัสผ่านที่ติดมากับระบบยังคงใช้ได้อยู่อย่างนั้น การติดตามข่าวสารเกี่ยวกับการค้นพบและแก้ไขจุดอ่อนใหม่ๆของระบบ การให้ความรู้ผู้ใช้เกี่ยวกับความปลอดภัยของระบบ การกำหนดระเบียบปฏิบัติทางความปลอดภัยให้ผู้ใช้ เป็นต้น ถ้าคุณทำสิ่งเหล่านี้ได้ แฮคเกอร์ส่วนใหญ่ก็จะไม่สามารถมาทำอะไรกับระบบของคุณได้ ยกเว้นแฮคเกอร์ที่มุ่งมั่นจะเจาะระบบของคุณจริงๆ กฎ 80/20 ยังนำมาใช้ได้กับการคิดมูลค่าของการรักษาความปลอดภัยระบบคอมพิวเตอร์อีกด้วย คือคุณจะจ่ายไม่มากเท่าใดนักในการสร้างระบบที่มีความปลอดภัยต่อการบุกรุกส่วนใหญ่ แต่ถ้าคุณต้องการสร้างระบบที่มั่นใจได้ว่า ปลอดจากการรบกวนของแฮคเกอร์ใดๆ ทั้งสิ้น คุณก็จะต้องเสียค่าใช้จ่ายมากมายมหาศาลเลยทีเดียว

---รู้จักระบบคอมพิวเตอร์---
คอมพิวเตอร์ทุกระบบล้วนแล้วแต่หนีไม่พ้นเงื้อมมือของแฮคเกอร์ทั้งสิ้น แต่ความแตกต่างนั้นอยู่ตรงที่ ยิ่งเป็นระบบปฏิบัติการที่เป็นที่นิยม หรือยิ่งมีข้อมูลเกี่ยวกับระบบปฏิบัติการเป็นที่แพร่หลายเท่าไหร่ ระบบปฏิบัติการนั้นก็จะยิ่งเป็นเหยื่ออันโอชะของแฮคเกอร์จากทุกสารทิศมากยิ่งขึ้นเท่านั้น ระบบปฏิบัติการที่เป็นที่ชื่นชอบมากที่สุดของแฮคเกอร์ปัจจุบันมีอยู่ 2 ระบบได้แก่ วีเอ็มเอสและยูนิกซ์ วีเอ็มเอสเป็นระบบปฏิบัติการของเครื่องคอมพิวเตอร์จากบริษัท Digital Equipment Corporation ระบบปฏิบัติการนี้เป็นที่นิยมกันมาช้านานในบริษัทและมหาวิทยาลัยที่ใช้เครื่องคอมพิวเตอร์สำหรับการคิดคำนวณทางวิชาการ และด้วยความเกี่ยวข้องอย่างแนบแน่นกับวงการวิจัยและวิทยาศาสตร์นี้เอง ที่ทำให้ข้อมูลเกี่ยวกับระบบปฏิบัติการวีเอ็มเอสมีอยู่ทั่วไปหาได้ไม่ยาก นอกจากนี้ ตามปกติมหาวิทยาลัยและศูนย์วิจัยทั้งหลายต่างก็ไม่ได้เน้นหนักในเรื่องการรักษาความปลอดภัยของระบบคอมพิวเตอร์ของตนอยู่แล้ว ด้วยเหตุผลดังกล่าวทั้งหมด ทำให้วีเอ็มเอสกลายมาเป็นสนามประลองฝีมือที่เปิดกว้างสำหรับแฮคเกอร์ทุกระดับชั้น
กระทั่งเวลาผ่านไป จึงได้เกิดอีกระบบปฏิบัติการหนึ่งซึ่งได้รับความนิยมในวงการวิจัยและในมหาวิทยาลัยไม่แพ้กัน นั่นคือยูนิกซ์ เอกสารข้อมูลเกี่ยวกับรายละเอียดของยูนิกซ์อีกทั้งซอร์สโค้ดเวอร์ชั่นต่างๆของระบบปฏิบัติการนี้เป็นที่แพร่หลายมากที่สุดระบบหนึ่งในบรรดาระบบปฏิบัติการที่มีอยู่ในโลกทั้งหมด จึงทำให้ยูนิกซ์กลายเป็นอีกเป้าหมายหนึ่ง ที่แฮคเกอร์น้อยใหญ่ชื่นชอบที่จะมาทดสอบฝีมือกัน นอกจากสองระบบปฏิบัติการดังกล่าวมาแล้ว ปัจจุบัน ด้วยกระแสของเครื่องคอมพิวเตอร์ส่วนบุคคลที่มาแรงจนกลบเครื่องขนาดอื่นๆทั้งหมด ทำให้ระบบปฏิบัติการของเครื่องระดับนี้ อาทิเช่น วินโดวส์เอ็นที และโอเอส/ทู กำลังเป็นที่นิยมมากขึ้นเรื่อยๆ นั่นหมายความว่า ระบบปฏิบัติการเหล่านี้จะเป็นที่หมายปองของแฮคเกอร์ส่วนใหญ่ในอนาคต
แฮคเกอร์มือเซียนจะมีการศึกษาระบบปฏิบัติการอย่างถ่องแท้ ไม่เหมือนพวกแฮคเกอร์สมัครเล่นหรือแฮคเกอร์มือใหม่ที่อาศัยแต่ชุดคำสั่งที่หยิบยืมมาจากแฮคเกอร์รายอื่นในการเจาะระบบ หรือไม่ก็สุ่มพิมพ์คำสั่งเข้าไปส่งเดช ตรงกันข้าม แฮคเกอร์ที่เก่งกาจจะรู้กลไกการทำงานของระบบปฏิบัติการที่พวกเขากำลังล่วงล้ำเข้าไปเป็นอย่างดี โดยเฉพาะอย่างยิ่งในส่วนที่เกี่ยวกับการเก็บร่องรอยของผู้เข้าใช้ระบบและส่วนที่เกี่ยวกับความปลอดภัยของระบบ พวกนี้สามารถเขียนภาษาซีและเชลล์สคริปท์ได้อย่างคล่องแคล่ว ทำให้การสร้างและดัดแปลงโปรแกรมสำหรับการเจาะระบบเป็นได้โดยง่ายและรวดเร็ว พวกนี้ยังมีการติดตามข่าวสารในวงการโดยการอ่านจดหมายข่าวของ Computer Emergency Response Team (CERT) และ the National Institue of Standards and Technology (NIST) เป็นประจำ และตามอ่านข่าวคราวของช่องโหว่ของระบบที่มีการค้นพบใหม่ๆ ทั้งจากบริษัทเจ้าของระบบเอง และจากเหล่าแฮคเกอร์ด้วยกันอย่างสม่ำเสมอ อีกแหล่งข่าวหนึ่งซึ่งอุดมไปด้วยข้อมูลข่าวสารสำหรับแฮคเกอร์ที่ใส่ใจค้นหาข้อมูล ได้แก่ ในกลุ่มข่าว (news group) และในเมลลิง ลิสต์ (mailing list)
เขยิบขึ้นไปอีกระดับหนึ่งของแฮคเกอร์ที่ทุ่มเทชีวิตให้กับการแฮค เป็นพวกที่ศึกษาระบบปฏิบัติการอย่างลึกซึ้งลงไปอีก คือถึงขั้นอ่านซอร์สโค้ดของระบบปฏิบัติการเลยทีเดียว อย่างเช่นซอร์สโค้ดของยูนิกซ์ที่เขียนด้วยภาษาซี เป็นต้น พวกนี้จะขวนขวายไปค้นหาข้อมูลเบื้องลึกมาจนได้ ไม่ว่าจะเป็นซอร์สโค้ดของยูนิกซ์หรือลินุกซ์ (Linux ระบบปฏิบัติการที่เลียนแบบยูนิกซ์) แล้วอ่านมันอย่างขมักเขม้น นอกจากนี้ พวกนี้ยังศึกษาเรื่องเกี่ยวกับการทำงานร่วมกันของระบบต่างๆ ที่มีอยู่ในระบบเครือข่าย และโปรโตคอลต่างๆ ที่เกี่ยวข้องกับการสื่อสารข้อมูล โดยเฉพาะโปรโตคอลของการดูแลระบบ อาทิเช่น SNMP และ RIP เป็นต้น
สมัยก่อน แฮคเกอร์ที่เอาจริงเอาจังบางรายจะอุตส่าห์พยายามเป็นเจ้าของเครื่องคอมพิวเตอร์ที่ทำงานด้วยระบบปฏิบัติการยูนิกซ์ให้จงได้ จนมาถึงปัจจุบัน เมื่อเครื่องคอมพิวเตอร์ส่วนบุคคลมีประสิทธิภาพมากยิ่งขึ้น ระบบปฏิบัติการจำลองเครื่องที่ใหญ่กว่าในเครื่องคอมพิวเตอร์ส่วนบุคคลจึงถูกนำมาใช้ทดแทน แฮคเกอร์มักต้องการระบบปฏิบัติการของเครื่องใหญ่เพื่อเอาไว้ซ้อมให้คล่องมือ โดยการทดลองเจาะระบบด้วยขอบเขตของการอนุญาตและสิทธิผู้ใช้ต่างๆ กันไป ในอีกทางหนึ่ง แฮคเกอร์ก็จะทดลองคำสั่งต่างๆ เกี่ยวกับการดูแลระบบและการรักษาความปลอดภัยของข้อมูลด้วย คือพยายามทำตัวเสมือนหนึ่งเป็นผู้ดูแลระบบตัวจริง เพื่อจะได้เข้าใจเทคนิคและการทำงานของฝ่ายตรงข้าม อันหมายถึงผู้ดูแลระบบคอมพิวเตอร์ที่แฮคเกอร์จะบุกเข้าโจมตี นอกจากนี้ แฮคเกอร์ยังต้องระวังอย่าให้ระบบของตนถูกเจาะโดยบุคคลภายนอกอีกด้วย ซึ่งโดยมาก คนที่จะมาเจาะระบบของแฮคเกอร์นั้น ได้แก่ผู้ดูแลระบบที่แฮคเกอร์กำลังบุกรุกเข้าไปอยู่ ซึ่งแกะรอยตามกลับเข้ามาถึงระบบคอมพิวเตอร์ของตัวผู้บุกรุกเอง
แม้แฮคเกอร์จะศึกษาเรื่องของระบบปฏิบัติการมามาก จนทำให้มีความรู้เบื้องลึกมากกว่าที่คุณในฐานะผู้ดูแลระบบรู้เสียอีก แต่คุณก็ยังได้เปรียบ เพราะยังมีสิ่งที่คุณรู้แต่แฮคเกอร์ไม่รู้ นั่นคือลักษณะการทำงานของระบบอันเป็นลักษณะการทำงานเฉพาะของระบบคอมพิวเตอร์ของคุณ อาทิเช่น คุณรู้ว่าช่วงเวลาใดที่มีคนเข้ามาใช้ระบบมากที่สุด รู้ว่าผู้ใช้ระบบของคุณเป็นคนกลุ่มไหน และรู้ว่าเขาเหล่านั้นใช้ระบบคอมพิวเตอร์ทำอะไรบ้าง ข้อมูลเหล่านี้จะทำให้คุณอยู่ในฐานะที่เหนือกว่าแฮคเกอร์ ดังนั้น คุณจึงควรจับตาระบบของคุณอย่าให้คลาดสายตาในส่วนของบันทึกการเข้าออกของผู้ใช้ระบบ และส่วนของบันทึกการทำงานของโปรแกรมต่างๆ ในระบบ และคุณควรกำหนดไว้ด้วยว่า ถ้าหากเกิดความผิดปกติอะไรก็ตาม ระบบจะแจ้งออกมาให้คุณทราบโดยทันที


---รู้จักกฏหมาย---
เมื่อตีความกันในบางนัยแล้ว การแฮคถือว่าเป็นสิ่งผิดกฏหมายในเกือบทุกประเทศทั่วโลก ในสหรัฐอเมริกา แฮคเกอร์อาจต้องรับโทษทั้งจากกฏหมายประจำรัฐและกฏหมายกลางจากการทำความผิดครั้งเดียวกัน ในหลายๆ รัฐของสหรัฐ การลองสุ่มล็อกอินก็ถือว่าเป็นความผิดสถานเบาแล้ว แล้วถ้าสามารถเข้าไปยังระบบคอมพิวเตอร์ได้ ก็จะถือว่าได้ทำความผิดสถานหนัก โดยทั่วไป ในการขโมยข้อมูลจะไม่มีร่องรอยถูกทิ้งไว้เลยว่าข้อมูลถูกขโมยไปทางใด ดังนั้น ในกฏหมายจึงได้ระบุถึงขั้นตอนต่างๆ ของระบบคอมพิวเตอร์เอาไว้ ซึ่งการล่วงละเมิดแต่ละขั้นตอนล้วนแล้วแต่มีโอกาสถูกฟ้องได้ทั้งสิ้น และบทลงโทษก็ไม่ใช่เล่นๆ เลย คือมีทั้งยึดอุปกรณ์ที่ใช้ปฏิบัติการ ปรับเงิน ไปจนถึงจำคุก
แต่กฏหมายจะไม่สามารถเอาผิดกับแฮคเกอร์ได้ ถ้าบริษัทที่ถูกบุกรุกระบบไม่ฟ้องดำเนินคดี ซึ่งโดยมากมักจะเป็นเช่นนั้นด้วย ทำให้แฮคเกอร์ทุกวันนี้ค่อนข้างวางใจได้ว่า เมื่อถูกจับได้แล้ว โอกาสที่จะหลุดรอดไปได้มีสูง เพราะบริษัทไม่อยากเสียประวัติต่อสาธารณชนในด้านการรักษาความปลอดภัยระบบคอมพิวเตอร์ ทั้งที่ทางที่ถูกแล้ว บริษัทควรมีการกำหนดข้อตกลงเกี่ยวกับการใช้ระบบคอมพิวเตอร์พร้อมทั้งบทลงโทษหากมีการใช้ระบบในทางไม่ถูกไม่ควร แล้วให้พนักงานทุกคนเซ็นชื่อเพื่อปฏิบัติตาม ในส่วนของการประชาสัมพันธ์ ก็ควรมีการกำหนดไว้แต่แรกว่า เมื่อเกิดเรื่องแล้ว ใครจะเป็นผู้ให้ข่าวกับสื่อมวลชน การทำความเข้าใจกับสื่อมวลชนเป็นเรื่องที่สำคัญ เพราะสิ่งนี้สามารถสร้างความแตกต่างระหว่างบริษัทที่ประมาทเลินเล่อในการรักษาความปลอดภัยระบบคอมพิวเตอร์ กับบริษัทที่เฝ้าระวังระไวจนสามารถจับแฮคเกอร์ได้ ให้เกิดขึ้นในสายตาประชาชน
นอกจากนั้น คุณควรหาความรู้เกี่ยวกับเจ้าหน้าที่บ้านเมืองไว้ด้วย ว่าฝ่ายใดแผนกใดของตำรวจที่มีหน้าที่ความรับผิดชอบเกี่ยวกับการกระทำความผิดทางด้านคอมพิวเตอร์ เพราะผู้ดูแลเรื่องอาชญากรรมคอมพิวเตอร์นั้นมีอยู่หลายระดับ นับตั้งแต่ระดับท้องถิ่นไปจนถึงระดับรัฐบาลกลาง ถ้าหากคุณได้ศึกษาเรื่องเหล่านี้ไว้ก่อน เมื่อเกิดเรื่องขึ้น คุณก็จะสามารถติดต่อประสานงานกับตำรวจได้ตรงตามหน้าที่ความรับผิดชอบที่สุด และอย่าลืมศึกษากฏระเบียบในการทำคดีและพยานหลักฐานต่างๆ ที่คุณต้องเก็บรวบรวมด้วย เพื่อมิให้การดำเนินการในระบบคอมพิวเตอร์หลังจากที่จับผู้กระทำผิดได้แล้วกระทบกระเทือนหลักฐานที่สำคัญซึ่งยังคงอยู่ในระบบคอมพิวเตอร์ของคุณ

---มันคืออาชญากรรม---
แฮคเกอร์จำนวนมากมองว่าสิ่งที่พวกเขาทำลงไป ไม่ถือว่าเป็นอาชญากรรม เพราะพวกเขาไม่ได้ขโมยเงินทอง บัตรเครดิต ฮาร์ดแวร์คอมพิวเตอร์ หรือสิ่งของใดที่จับต้องได้ พวกเขาเพียงแต่ก๊อปปี้ซอฟท์แวร์และข้อมูล หรือไม่ก็เพียงเข้าไปใช้อุปกรณ์คอมพิวเตอร์ อาทิเช่น ซีพียู ฮาร์ดดิสค์ และระบบเครือข่ายเท่านั้น ดูเหมือนพวกเขาจะเชื่ออย่างจริงๆ จังๆ ว่า การที่ข้อมูลสำคัญๆ ที่ถูกก๊อปปี้ไป ยังคงอยู่ ณ ที่เดิมกับเจ้าของเดิมโดยที่ข้อมูลไม่มีการเปลี่ยนแปลง ก็เปรียบได้ว่าพวกเขาไม่ได้ไปพรากทรัพย์สินไปจากใครเลย แล้วอย่างนี้จะบอกว่าเป็นอาชญากรรมได้อย่างไร อีกประการหนึ่งคือ แฮคเกอร์ถือว่าสิ่งที่พวกเขายุ่งเกี่ยวอยู่ เป็นเรื่องของซอฟท์แวร์ที่จับต้องไม่ได้ ดังนั้น กฏหมายที่บังคับใช้กันอยู่ซึ่งถูกร่างขึ้นโดยคำนึงถึงทรัพย์สินที่จับต้องได้เป็นหลัก ก็ไม่น่าจะใช้ได้กับพวกเขา
ก่อนปลายทศวรรษที่ 70 ขณะนั้นยังไม่มีกฏหมายเกี่ยวกับอาชญากรรมคอมพิวเตอร์ เมื่อเกิดเรื่องขึ้น ศาลต้องนำกฏหมายที่ว่าด้วยทรัพย์สินที่จับต้องได้มาประยุกต์ใช้กับคดีเกี่ยวกับข้อมูลคอมพิวเตอร์อันเป็นสิ่งจับต้องไม่ได้ แต่ก็ไม่สามารถทำได้อย่างมีประสิทธิภาพมากนัก ส่วนหนึ่งเป็นเพราะการขาดความรู้ความเข้าใจในสิ่งที่เป็นลักษณะเฉพาะของคอมพิวเตอร์ ผู้พิพากษาและทนายจำนวนมากในเวลานั้นไม่สามารถเข้าถึงเรื่องนี้ได้ จึงเป็นอุปสรรคพอสมควร
ในปี 1986 สภาสหรัฐได้ผ่านร่างกฏหมายที่ถูกร่างขึ้นเพื่อป้องกันและปราบปรามการบุกรุกระบบคอมพิวเตอร์ ซึ่งมีชื่อว่า the Computer Fraud and Abuse Act ตามกฏหมายนี้ การกระทำดังต่อไปนี้ ถือว่าเป็นการกระทำผิดกฏหมาย
1. เจตนาเข้าสู่ระบบคอมพิวเตอร์ที่ตนไม่ได้รับอนุญาต หรือเพิ่มสิทธิ์ผู้ใช้เกินปกติให้กับตนเอง เพื่อเข้าถึงข้อมูลเกี่ยวกับการเงิน ข้อมูลปกปิด หรือข้อมูลที่เป็นความลับของทางราชการ
2. พยายามเข้าสู่ระบบคอมพิวเตอร์ของหน่วยงานราชการของสหรัฐอเมริกา โดยไม่ได้รับอนุญาต
3. พยายามเปลี่ยนแปลง ทำความเสียหาย หรือทำลายข้อมูล หรือทำให้ผู้อื่นไม่สามารถเข้าถึงข้อมูลในระบบคอมพิวเตอร์ของหน่วยงานราชการของสหรัฐอเมริกา รวมทั้งความพยายามที่จะเข้าถึงข้อมูลสำคัญของระบบคอมพิวเตอร์ดังกล่าวด้วย
4. เจตนาเผยแพร่รหัสผ่านหรือข้อมูลที่สามารถช่วยให้ผู้ไม่ได้รับอนุญาตเข้าสู่ระบบคอมพิวเตอร์ได้
ตลอดทศวรรษหลังจากนั้น รัฐต่างๆ ในสหรัฐก็ได้ผ่านกฏหมายลักษณะเดียวกันนี้ให้มีผลบังคับใช้ ซึ่งทำให้การบุกรุกระบบคอมพิวเตอร์กลายเป็นอาชญากรรมตามกฏหมายไป
อาชญากรรมคอมพิวเตอร์มีอยู่หลายประเภทด้วยกัน ตามการแจกแจงดังต่อไปนี้

การขโมยซอฟท์แวร์
การขโมยซอฟท์แวร์ไปใช้เพื่อประโยชน์ส่วนตัว หรือเพื่อจำหน่ายต่อ ถือว่าเป็นสิ่งผิดกฏหมาย ไม่ว่าซอฟท์แวร์นั้นจะเป็นผลิตภัณฑ์ของบริษัทซอฟท์แวร์ หรือซอฟท์แวร์ที่พัฒนาขึ้นเพื่อใช้ภายในองค์กร แม้แต่ซอฟท์แวร์ที่ตัวแฮคเกอร์เองเป็นผู้สร้างขึ้นให้กับบริษัทเมื่อครั้งยังทำงานกับบริษัทก็อยู่ในข่ายนี้ด้วย กฏหมายไม่ได้มองว่าซอฟท์แวร์ที่ถูกขโมยนั้นจะทำรายได้ให้กับแฮคเกอร์หรือไม่ เพราะเพียงแค่ลงมือขโมย ก็ถือว่าได้ทำผิดกฏหมายเสียแล้ว ต่อไปนี้เป็นตัวอย่างเหตุการณ์ที่เกิดขึ้นจริง
[นักศึกษาของเอ็มไอทีคนหนึ่ง เก็บซอฟท์แวร์ที่เป็นผลิตภัณฑ์ของบริษัทซอฟท์แวร์ต่างๆ ไว้ในเครื่องคอมพิวเตอร์ของเอ็มไอที 2 เครื่อง เพื่อให้เพื่อนสนิทมาก๊อปปี้ไปใช้กัน แต่เมื่อเวลาผ่านไป กลับมีคนมาขอก๊อปปี้ซอฟท์แวร์มากขึ้นเรื่อยๆ จนในที่สุด คอมพิวเตอร์ทั้งสองเครื่องนั้นก็ได้ต่อเข้ากับอินเทอร์เน็ต เพื่อเป็นศูนย์กลางการแลกเปลี่ยนซอฟท์แวร์ลิขสิทธิ์ ในช่วงที่มีคนมาใช้บริการสูงสุด มีการโหลดซอฟท์แวร์ไปจากศูนย์นี้ถึง 180 ครั้งภายในเวลา 16 ชั่วโมง
คณะลูกขุนลงความเห็นว่า ซอฟท์แวร์ทั้งหมดที่นักศึกษาคนนั้นได้แจกจ่ายออกไปผ่านอินเทอร์เน็ตมีมูลค่ารวมกันถึง 1 ล้านเหรียญ ตรงกับความผิดที่มีโทษทั้งจำคุกและปรับถึง 250,000 เหรียญ]
ในความผิดที่ยกตัวอย่างมานี้ เจ้าของระบบคอมพิวเตอร์และผู้ปฏิบัติงานประจำวันของระบบมีความเสี่ยงที่จะติดร่างแหของการกระทำผิดเข้าไปด้วย ถ้าหากระบบคอมพิวเตอร์ถูกนำไปใช้เป็นตัวกลางในการรับส่งซอฟท์แวร์ที่ถูกขโมย เพราะศาลมองว่าเจ้าของระบบและผู้ปฏิบัติงานประจำวันจะต้องรับผิดชอบต่อทุกสิ่งที่เกิดขึ้นในระบบอย่างหลีกเลี่ยงไม่ได้
ในอ

[Mireu]

ขอโทษคับ เพิ่งเห็นว่ามีคนเอามาลงแล้ว
แต่ว่าผมคิดว่าคนที่มีตั่งแต่บท ที่ 1 จนถึงบทที่ 36 นั้นคงมีน้อย หรือยังไม่มีครับ
เห็นใจคนที่ มีแล้วนะครับ แต่ว่ามีไม่ครบ ขาดบ้าง บท มันน่าเสียดายครับ
อยากให้คนที่ต้องการ มาบอกครับว่าต้องการบทไหนครับหรือต้องการหมดทุกบทก็ได้ครับ
บอกมาแล้วจะ จัดหััย





หุหุ ถ้าเคยมีคนโพลสครบทุกบทแล้วก็ช่วยบอกด้วยนะคับ
แต่เท่าที่ดู มันไม่ครบอะ ก็เรยจะจัดให้

[Mireu]

คัมภีร์สยบแฮกเกอร์ (#2)
ความเดิมตอนที่แล้ว

การขโมยข่าวสารข้อมูล
แฮคเกอร์อาจมีเจตนาของการขโมยข่าวสารข้อมูลอยู่ที่การนำข่าวสารข้อมูลไปใช้เอง หรืออาจนำไปขายต่อให้คนอื่น หรือทำไปเพียงเพื่อพิสูจน์ว่าเขาทำได้เท่านั้น ข้อมูลบางอย่างเมื่อนำไปขายก็สามารถทำกำไรให้อย่างงาม เช่น หมายเลขบัตรเครดิตและข้อมูลเกี่ยวกับบัญชีธนาคาร ดังตัวอย่างต่อไปนี้
[พนักงาน 15 คนของบริษัทออโต้แลนด์ ซึ่งเป็นบริษัทขายรถยนต์ในเมืองสปริงฟิลด์ รัฐนิวเจอร์ซีย์ ได้ร่วมกันยักยอกเงินของบริษัทไปได้หลายล้านเหรียญ ด้วยการขโมยข้อมูลทางการเงินของบริษัท พนักงานขายได้ทำการเปลี่ยนที่อยู่ของเจ้าของบัตรเครดิตในข้อมูลที่ได้มา แล้วใช้เลขที่บัตรเครดิตเหล่านั้นไปสมัครเป็นสมาชิกบัตรเครดิตใหม่ กู้เงิน และเบิกเงินสด ทางการประมาณว่ามีผู้ตกเป็นเหยื่อของคนร้ายกลุ่มนี้ถึง 450 ราย
ทางฝ่ายบริษัทออโต้แลนด์ได้แจ้งตำรวจทันทีเมื่อตรวจพบว่ามีการแอบใช้เครื่องคอมพิวเตอร์โดยไม่ได้รับอนุญาต ก่อนหน้านั้น บริษัทเริ่มระแวงสงสัยอยู่ก่อนแล้ว เมื่อมีลูกค้าหลายรายแจ้งเข้ามาว่า พนักงานบางคนของบริษัทได้ติดต่อขอดูข้อมูลทางการเงินของลูกค้าอย่างผิดสังเกต
หลังจากการแกะรอยอยู่ 7 เดือน ทางการจึงรวบตัวเหล่าคนร้ายได้ โดยอาศัยการติดตั้งซอฟท์แวร์และกล้องวงจรปิดเพื่อจับตาดูผู้ต้องสงสัย เป็นเครื่องช่วยในการจับกุม]
ปัจจุบัน ข่าวสารข้อมูลมีค่าดั่งทองคำ ในทุกๆ วันจะมีการโอนย้ายเงินไปมาในระบบอิเลคทรอนิคส์มากยิ่งกว่าการใช้เงินที่จับต้องได้เสียอีก ระบบเครือข่ายที่ใช้โอนย้ายเงินจึงตกเป็นเป้าหมายที่แฮคเกอร์ทั้งหลายต้องการจะบุกเข้าไปอย่างหลีกเลี่ยงไม่ได้ แต่ยังดีที่ระบบเครือข่ายประเภทนี้ยังคงความแข็งแกร่งยากต่อการบุกรุกเข้าไปอยู่ แฮคเกอร์จึงจำต้องหันไปหาระบบที่มีความเข้มแข็งน้อยกว่า ซึ่งก็มีอยู่หลายทางด้วยกันในการเข้าไปให้ถึงข่าวสารข้อมูลที่มีความสำคัญทางด้านการเงิน เช่น การดักดูเลขที่บัญชีเงินฝากธนาคารและรหัสลับ แล้วหาข้อมูลส่วนตัวของเจ้าของบัญชีเพิ่มเติมอีกเล็กน้อย อาทิเช่น หมายเลขประกันสังคม นามสกุลเดิมของมารดา เป็นต้น แล้วนำข้อมูลที่รวบรวมทั้งหมดไปแอบอ้างเป็นเจ้าตัว เพื่อทำการยักย้ายถ่ายเทเงินออกจากบัญชีของเหยื่อในท้ายที่สุด
ยิ่งข้อมูลของบุคคลเข้าไปอยู่ในระบบคอมพิวเตอร์มากขึ้นเท่าใด การปกปิดความลับและข้อมูลส่วนตัวก็จะยิ่งเป็นไปได้ยากมากขึ้นเท่านั้น กระนั้น เราก็ต้องพยายามทุกวิถีทาง เพื่อป้องกันมิให้ความเป็นส่วนตัวของบุคคลถูกล่วงละเมิด เพราะสิทธิส่วนบุคคลของใครก็ตาม ย่อมเป็นสิ่งมีค่าที่ต้องถนอมไว้ให้ได้มากที่สุด

การขโมยใช้อุปกรณ์
นอกจากการลักขโมยโดยการยกฮาร์ดแวร์ไปอย่างเห็นๆแล้ว การเข้าใช้งานอุปกรณ์ทางคอมพิวเตอร์ เช่น ซีพียู ดิสค์ หน่วยความจำ ระบบเครือข่าย และเวลาของเซิร์ฟเวอร์โดยไม่ได้รับอนุญาต ก็ถือว่าเข้าข่ายขโมยในกรณีนี้เช่นเดียวกัน รวมไปถึงการแอบใช้โทรศัพท์ของบริษัทเพื่อโทรศัพท์ทางไกลผ่านโมเดมด้วย
[พนักงานเกือบ 100 คนของห้องทดลองแปซิฟิค นอร์ธเวสท์ ถูกจับได้ว่าใช้อุปกรณ์คอมพิวเตอร์ของห้องทดลองไปในการเข้าเว็บไซต์ที่ให้บริการทางเพศในอินเทอร์เน็ตในระหว่างเวลาทำงาน ผลปรากฏว่าพนักงาน 21 คนถูกพักงาน ที่เหลือถูกตักเตือน ในบรรดาพนักงานที่ทำผิดมีทั้งผู้ชายและผู้หญิง ซึ่งทำงานอยู่ในระดับต่างๆ ในห้องทดลอง]
การพิสูจน์หลักฐานของการขโมยประเภทนี้มักเป็นไปได้ยาก และมีหลายครั้งหลายคราวที่ศาลไม่อาจเอาผิดกับแฮคเกอร์ได้ เพราะไม่สามารถคิดคำนวณความเสียหายที่เกิดขึ้น หนึ่งในข้อแก้ตัวที่แฮคเกอร์ชอบนำมาอ้าง ก็คือเขาเพียงแต่ใช้อุปกรณ์ในช่วงเวลาที่ไม่มีคนใช้เท่านั้น ดังนั้น จึงไม่น่าจะถือว่าเป็นการขโมย เพราะว่าไม่มีผู้สูญเสียสิ่งใดสิ่งหนึ่งไปแม้แต่น้อย

การกีดกันผู้อื่น
ความผิดประเภทนี้อาจเป็นผลมาจากการขโมยใช้อุปกรณ์อย่างที่เพิ่งกล่าวมา ซึ่งมากผิดปกติจนผู้ใช้ระบบคนอื่นๆ เกิดความไม่สะดวกในการใช้ระบบเดียวกัน หรืออาจเกิดจากความตั้งใจที่จะกีดกันผู้อื่นโดยตรง ไม่ว่าจะเป็นการตัดชื่อผู้ใช้ทั้งหมดออกจากระบบ การเปลี่ยนรหัสผ่าน การตัดการติดต่อระหว่างระบบคอมพิวเตอร์ศูนย์กลางกับเครื่องของผู้ใช้คนอื่น รวมถึงการปิดระบบด้วย
[นักวิเคราะห์การเงินคนหนึ่งที่ทำงานให้กับมณฑลโคลัมเบียเกิดไม่พอใจการจัดสรรงบประมาณของมณฑล พอดีกับที่เขาได้รับสิทธิในการใช้ฐานข้อมูลเกี่ยวกับการเงินและการลงทุนอยู่ เขาจึงทำการเปลี่ยนรหัสผ่านของระบบคอมพิวเตอร์ที่เก็บฐานข้อมูล แล้วจัดการ"ลืม"รหัสผ่านใหม่โดยทันที การกระทำเช่นนี้ ทำให้มณฑลไม่สามารถนำงบประมาณไปใช้ตามแผนการที่วางไว้ได้ แต่นักวิเคราะห์รายนี้ยังไม่วายเล่นตลก โดยเขาได้ท้าให้ทุกคนเข้า"แข่งขันเดารหัสผ่าน" ซึ่งเขาจะบอกใบ้เกี่ยวกับรหัสผ่านนั้นให้วันละนิดละหน่อย ผู้เกี่ยวข้องต้องใช้เวลาหนึ่งสัปดาห์กว่าจะทำให้ระบบกลับทำงานได้ตามปกติ ท้ายที่สุด นักวิเคราะห์คนนั้นถูกไล่ออก]
โดยทั่วไป บริษัทมักตั้งคำถามว่า "บริษัทจะดำเนินธุรกิจต่อไปได้หรือไม่ หากระบบคอมพิวเตอร์เกิดใช้การไม่ได้ขึ้นมา ? " และ "ความสูญเสียทางด้านธุรกิจและตัวเงินจะมากน้อยขนาดไหน หากระบบคอมพิวเตอร์ถูกทำลายลง ? " เพื่อประกอบการประมาณความเสียหายของระบบคอมพิวเตอร์ในกรณีที่ต้องประสบกับเหตุการณ์น้ำท่วมหรือไฟไหม้ แต่มาถึงทุกวันนี้ คุณก็ควรรวมกรณีของความเสียหายที่เกิดจากการกระทำของแฮคเกอร์เข้าไปในแผนฉุกเฉินของระบบคอมพิวเตอร์ของคุณด้วย

การสร้างความรำคาญ
การกระทำอันมิชอบผ่านทางระบบคอมพิวเตอร์หลายต่อหลายอย่างเข้าข่ายความผิดประเภทนี้ นับตั้งแต่การก่อให้เกิดความรำคาญเล็กๆ น้อยๆ ไปจนถึงการก่อเรื่องร้ายแรงถึงขั้นคอขาดบาดตาย ปัจจุบันมีการใช้คอมพิวเตอร์มาควบคุมดูแลการทำงานของเครื่องมือเครื่องใช้ต่างๆ มากมาย ยกตัวอย่างเช่น เครื่องจักรขนาดใหญ่ในโรงงาน, ระบบช่วยชีวิตผู้ป่วยในโรงพยาบาล เป็นต้น ดังนั้น จึงเป็นไปได้ว่าเรื่องล้อเล่นนิดเดียวอาจลุกลามกลายเป็นเรื่องใหญ่โตไปได้
[นักศึกษาคนหนึ่งลุกจากหน้าจอคอมพิวเตอร์ของเขาโดยไม่ได้ออกจากระบบให้เรียบร้อย จึงมีใครคนหนึ่งแอบเข้ามาใช้คอมพิวเตอร์ของเขาส่งอีเมลล์ขู่เอาชีวิตประธานาธิบดีของสหรัฐอเมริกา ดูเหมือนเป็นเรื่องล้อเล่น แต่หน่วยสืบราชการลับไม่เห็นเป็นเรื่องตลก และได้มาถึงที่มหาวิทยาลัยเพื่อสอบสวนผู้ที่มีชื่อในอีเมลล์ว่าเป็นผู้ส่งอีเมลล์นั้น แต่ทางผู้ดูแลระบบคอมพิวเตอร์ของมหาวิทยาลัยยืนยันในความบริสุทธิ์ของนักศึกษา เพราะจากการตรวจสอบบันทึกการทำงานของระบบ พบว่าไม่มีการทำงานใดๆ ที่คอมพิวเตอร์เครื่องนั้นอยู่นาน จนกระทั่งอีเมลล์ถูกส่งออกไป และภายหลังจากนั้น ก็ไม่มีการทำงานใดๆ ที่คอมพิวเตอร์เครื่องนั้นอีกนานเช่นกัน ข้อเท็จจริงอีกประการหนึ่งคือ โปรแกรมส่งอีเมลล์ที่ใช้ส่งก็ไม่ใช่โปรแกรมที่นักศึกษาคนนั้นใช้อยู่เป็นประจำด้วย หลักฐานเหล่านี้เป็นเครื่องยืนยันว่า มีผู้ประสงค์ร้ายแอบมาส่งอีเมลล์ในขณะที่เจ้าของเครื่องตัวจริงผละจากหน้าจอไปทำธุระที่อื่น หน่วยสืบราชการลับยอมรับในเหตุผลและยังคงควานหาตัวผู้ส่งอีเมลล์นั้นต่อไป]
การก่อการร้าย
หมายถึงปฏิบัติการของผู้ก่อการร้ายที่มุ่งทำลายข้อมูลและระบบคอมพิวเตอร์ เรื่องนี้กำลังเป็นที่สนใจอย่างกว้างขวาง เพราะเป็นเรื่องที่เร้าใจและกระตุ้นจินตนาการได้พอๆ กับนิยายวิทยาศาสตร์เลยทีเดียว หลายคนคาดคะเนระดับความเสียหายไปต่างๆ นานา ซึ่งเป็นไปตามความเป็นจริงที่ว่า ยิ่งคอมพิวเตอร์เข้ามาเกี่ยวข้องกับกิจกรรมต่างๆ ในชีวิตมนุษย์มากเท่าใด การก่อการร้ายผ่านระบบคอมพิวเตอร์ก็ยิ่งมีมากขึ้นเท่านั้น
[ดูเหมือนว่าวงการธุรกิจและรัฐบาลของสหรัฐอเมริกายังไม่ตระหนักถึงความเปราะบางของระบบที่เรามีอยู่ เมื่อเปรียบเทียบกับทุกๆ ประเทศในโลกแล้ว เรา (สหรัฐ) เป็นประเทศที่พึ่งพาระบบอิเลคทรอนิคส์มากที่สุด เดี๋ยวนี้ เราไม่ได้มีแต่ศัตรูที่ทำอะไรโง่ๆ ประเภทที่เช่ารถบรรทุกเพื่อขนลูกระเบิดแล้วขับเข้าไปในเวิลด์เทรด เซ็นเตอร์เพียงอย่างเดียวเท่านั้น แต่ฝ่ายตรงข้ามของเรากำลังเก่งกาจขึ้นทุกวันๆ
เราได้รับรู้คำกล่าวของอดีตเจ้าหน้าที่ข่าวกรองอาวุโสท่านหนึ่งที่ว่า "ผมขอเงิน 1 พันล้านเหรียญกับคนอีก 20 คน แล้วผมจะทำอเมริกาให้เป็นอัมพาตทั้งประเทศ ผมจะหยุดการทำงานของระบบการเงินและตู้เอทีเอ็มทั้งหมด ผมจะปั่นคอมพิวเตอร์ทุกเครื่องในประเทศนี้ให้กระเจิง" นั่นทำให้ผมมั่นใจยิ่งขึ้นว่า เรากำลังจะต้องเผชิญกับการก่อการร้ายกับข้อมูลและระบบคอมพิวเตอร์ ซึ่งผู้กระทำไม่ใช่เป็นเพียงแฮคเกอร์ระดับมือสมัครเล่น แต่เป็นประเทศฝ่ายตรงข้ามหรือกลุ่มอาชญากรที่มีการปฏิบัติการอย่างเป็นระบบและมีประสิทธิภาพสูง
--อัลวิน ทอฟเฟลอร์]
ปัจจุบัน ยังไม่มีการบ่อนทำลายข้อมูลและระบบคอมพิวเตอร์ให้เห็นอย่างเด่นชัด เพียงแต่มีเค้าเท่านั้น เช่นในปี 1988 หน่วยงานราชการและมหาวิทยาลัยหลายแห่งในประเทศอิสราเอลได้ตรวจพบระเบิดเวลาซอฟท์แวร์ในระบบคอมพิวเตอร์ของตน เวลาที่ตั้งไว้ให้สร้างความเสียหายนั้นตรงกับเวลาที่มีกำหนดในไวรัส "อิสราเอล" ซึ่งเป็นไวรัสในเครื่องคอมพิวเตอร์พีซีพอดี ท้ายที่สุด ทั้งไวรัสและระเบิดเวลาก็ไม่สามารถแผลงฤทธิ์ในเวลาที่กำหนด เนื่องจากมีการถอดชนวนก่อน ไม่มีกลุ่มผู้ก่อการร้ายใดออกมาอ้างความรับผิดชอบในเหตุการณ์นี้ และเมื่อพิจารณาดูแล้ว การกระทำนี้ก็ยังไม่ถึงขั้นเป็นการก่อการร้ายเท่าใดนัก

---รู้จักความเสี่ยง---
จริงอยู่ที่สื่อมวลชนมักประโคมข่าวการบุกรุกเข้าสู่ระบบคอมพิวเตอร์ต่างๆ อย่างครึกโครม แต่แทบทุกคนในวงการคอมพิวเตอร์ต่างรู้ดีว่า ข่าวครึกโครมเหล่านั้นเป็นเพียงส่วนน้อยนิดของเหตุการณ์ที่เกิดขึ้นจริงทั้งหมดซึ่งเกิดขึ้นไม่เว้นแต่ละวัน
มีข้อที่น่าสังเกตคือ ถ้าหากมีโจรบุกเข้าปล้นธนาคารด้วยอาวุธปืน ผู้ร้ายรายนั้นก็จะถูกตามล่าตามล้างไปจนสุดหล้าจนกว่าจะถูกจับกุมตัวได้ แต่ถ้าเปลี่ยนอุปกรณ์ที่ใช้ในการปล้นมาเป็นคอมพิวเตอร์แล้ว นอกจากจะไม่เกิดอะไรขึ้นกับตัวคนร้ายแล้ว ทางธนาคารอาจจะไม่ยอมรับว่าเกิดการปล้นขึ้นด้วยซ้ำ เพราะห่วงเรื่องชื่อเสียงที่อาจเสื่อมเสียไป ต่อไปนี้เป็นตัวเลขสถิติที่สนับสนุนข้อสังเกตนี้
โดยเฉลี่ย คนร้ายที่บุกเข้าปล้นธนาคารจะปล้นเงินไปได้ประมาณ 2,500 ถึง 7,500 เหรียญต่อครั้ง เพื่อแลกกับความเสี่ยงถูกยิงตาย ตามสถิติของการปล้นธนาคารโดยใช้อาวุธ ทางการจับคนร้ายได้ประมาณ 50-60 เปอร์เซ็นท์ของคนร้ายทั้งหมดที่ก่อเหตุ 80 เปอร์เซ็นท์ของคนร้ายที่จับได้ถูกตัดสินลงโทษจำคุก 5 ปีโดยเฉลี่ย ในขณะที่การปล้นธนาคารในรูปของอาชญากรรมคอมพิวเตอร์จะฉกเงินไปได้คราวละประมาณ 50,000 ถึง 500,000 เหรียญโดยไม่ต้องเสี่ยงกับลูกกระสุนแม้แต่นัดเดียว มีเพียง 10 เปอร์เซ็นท์ของการปล้นทางคอมพิวเตอร์ที่สามารถสาวไปถึงตัวคนร้ายได้ และในบรรดาคนร้ายเหล่านั้น มีเพียง 15 เปอร์เซ็นท์ที่ถูกส่งดำเนินคดี แต่ไม่ใช่ทั้งหมดที่ถูกลงโทษ เพราะมีถึง 50 เปอร์เซ็นท์ที่ถูกปล่อยตัวไป เพราะขาดพยานหลักฐานที่แน่นหนา หรือไม่ก็ด้วยเหตุผลที่เจ้าทุกข์ไม่อยากตกเป็นข่าว เหลืออยู่เพียง 50 เปอร์เซ็นท์ที่ถูกลงโทษด้วยบทลงโทษ 5 ปีโดยเฉลี่ย
แต่ปัจจุบันกำลังมีการแก้ไขกฎหมายเกี่ยวกับเรื่องนี้อยู่ รวมไปถึงบทลงโทษที่จะรุนแรงขึ้นด้วย
การดำเนินคดีกับผู้กระทำผิดในข้อหาอาชญากรรมคอมพิวเตอร์ควรจะมีมากกว่าที่เป็นอยู่ในปัจจุบัน จากตัวเลขสถิติข้างบนแสดงให้เห็นชัดแล้วว่า ผู้กระทำผิดมักไม่ถูกลงโทษ ทำให้คนร้ายไม่รู้สึกเกรงกลัวกฏหมายแต่อย่างใด ดังนั้น การฟ้องร้องและการทำให้คดีปรากฏต่อสาธารณชนจึงเป็นหนทางที่จะช่วยให้อาชญากรรมคอมพิวเตอร์ลดน้อยลงได้ อย่างน้อยที่สุด ผู้ที่กำลังจะลงมือคงต้องคิดหนักขึ้นก่อนที่จะทำอะไรลงไป
เมื่อมีเหตุการณ์บุกรุกระบบคอมพิวเตอร์เกิดขึ้น คุณในฐานะผู้ดูแลระบบ ผู้รักษาความปลอดภัยระบบ หรือพนักงานของบริษัท จะถูกดึงเข้าไปมีส่วนร่วมในคดีความทันทีอย่างหลีกเลี่ยงไม่ได้ ทุกวันนี้ พนักงานของบริษัทจะต้องแบกรับความรับผิดชอบต่อข้อมูลของบริษัทมากขึ้น ทั้งในด้านความถูกต้อง ความลับ และการเรียกดูได้ของข้อมูล ถ้าคุณไม่สามารถปกป้องข้อมูลที่คุณรับผิดชอบอยู่ได้ดีพอ คุณเองนั่นแหละที่จะมีปัญหาในทางกฏหมาย
การล่วงละเมิดทางกฏหมายที่เกี่ยวข้องกับข้อมูลคอมพิวเตอร์มีอยู่ 3 ประการคือ การละเมิดกฏหมายทั่วไป(เรื่องเกี่ยวกับทางการ) การละเมิดกฏหมายเกี่ยวกับการดูแลรักษาทรัพย์สิน(เรื่องเกี่ยวกับผู้ถือหุ้นของบริษัท) และการละเมิดสิทธิส่วนบุคคล(เรื่องภายในบริษัท) คุณสามารถลดความเสี่ยงต่อการละเมิดกฏหมายทั้งสามประการนี้ได้ ด้วยการมีแนวทางและข้อปฎิบัติต่อข้อมูลอย่างถูกต้อง ซึ่งครอบคลุมทั้งในเรื่องของการป้องกันการใช้ซอฟท์แวร์เถื่อน การใช้ซอฟท์แวร์ลิขสิทธิ์อย่างถูกต้อง การวางแผนรองรับความเสียหายโดยเฉพาะความเสียหายในด้านความปลอดภัยของข้อมูลซึ่งเป็นสาเหตุสำคัญที่สุดที่ทำให้ข้อมูลใช้การไม่ได้ รวมไปถึงข้อปฏิบัติสำหรับพนักงานทั่วไปของบริษัทด้วย ได้แก่ กฏการใช้อุปกรณ์คอมพิวเตอร์ของบริษัท การควบคุมการใช้อีเมลล์ และการเก็บรายละเอียดเกี่ยวกับการใช้ระบบของพนักงานทุกคน แนวทางและข้อปฏิบัติเหล่านี้ ควรมีการนำมาใช้อย่างแข็งขันและต่อเนื่องในบริษัท



คัมภีร์สยบแฮกเกอร์ (#3)
ความเดิมตอนที่แล้ว

การละเมิดกฏหมายทั่วไป
นอกเหนือจากการละเมิดกฏหมายด้วยการใช้อุปกรณ์คอมพิวเตอร์เป็นเครื่องมือในการก่อเหตุแล้ว ยังมีอีก
หลายประเด็นที่เข้าข่ายละเมิดกฏหมายด้วยเช่นเดียวกัน อย่างเช่น การละเมิดที่พบบ่อยที่สุด ได้แก่การใช้ซอฟท์แวร์เถื่อน หลายต่อหลายบริษัท ไม่ว่าจะเป็นบริษัทใหญ่หรือเล็ก ต่างก็มีสิทธิถูกจับในข้อหาใช้ซอฟท์แวร์เถื่อนกันทั้งสิ้น เพราะกฏหมายการใช้ซอฟท์แวร์เถื่อนกินความตั้งแต่การหาซอฟท์แวร์ที่ถูกก๊อปปี้อย่างผิดกฏหมายมาใช้ ไปจนถึงการก๊อปปี้ซอฟท์แวร์ไว้ใช้เองเกินจำนวนที่มีกำหนดไว้ โดยทั่วไป ผู้ใช้ได้รับอนุญาตให้ก๊อปปี้ซอฟท์แวร์ที่มีลิขสิทธิ์เอาไว้เพียง 1 ชุดสำหรับเป็นชุดสำรองเท่านั้น หากในระบบการทำงานของคุณมีการเก็บข้อมูลสำรองทั้งแบบประจำวันและแบบเก็บไว้นานๆ ใช้ที ก็เป็นไปได้ว่า คุณกำลังละเมิดกฏหมายโดยมีก๊อปปี้ของซอฟท์แวร์ลิขสิทธิ์มากกว่า 1 ก๊อปปี้ไว้ในครอบครอง เพื่อเป็นการป้องกัน คุณควรทำบัญชีรายชื่อของซอฟท์แวร์ที่บริษัทคุณมีอยู่ทั้งหมดเอาไว้ โดยเฉพาะซอฟท์แวร์ในเครื่องคอมพิวเตอร์พีซี ซึ่งคุณควรให้ความสนใจเป็นพิเศษ

การละเมิดกฏหมายเกี่ยวกับการดูแลรักษาทรัพย์สิน
การดูแลรักษาทรัพย์สินจำเป็นต้องมีการรักษาความปลอดภัยข้อมูลเข้ามาเกี่ยวข้องมากเท่าใดนั้น ขึ้นอยู่กับการตัดสินของศาลเป็นสำคัญ แต่แน่นอนว่ามีบางสิ่งบางอย่างที่ต้องทำเป็นพื้นฐานอยู่แล้ว เช่นถ้าหากว่าบริษัทไม่ได้มีการทำสิ่งต่อไปนี้กับระบบคอมพิวเตอร์ของตน ก็ถือได้ว่าบริษัทไม่มีความรับผิดชอบในการดูแลรักษาทรัพย์สิน เช่น ไม่มีการแก้ไขซอฟท์แวร์ในส่วนที่ค้นพบความบกพร่องที่เกี่ยวกับความปลอดภัยของข้อมูล, ไม่มีข้อแนะนำหรือคำเตือนเกี่ยวกับการรักษาความปลอดภัยระบบ, ไม่มีระเบียบปฏิบัติเพื่อรักษาความปลอดภัยของข้อมูล เป็นต้น
ลักษณะของกิจการของบริษัทจะเป็นตัวกำหนดว่า บริษัทของคุณควรจะมีระบบดูแลป้องกันข้อมูลของบริษัทอย่างแน่นหนาเพียงใด เพื่อให้เป็นที่พอใจแก่ผู้ถือหุ้นของบริษัท ดังนั้น บริษัทจึงควรยึดเอามาตรฐานในวงการของตนเป็นหลักในการกำหนดระบบรักษาความปลอดภัยข้อมูล

การละเมิดสิทธิส่วนบุคคล
สิทธิส่วนบุคคลที่บริษัทจะต้องปกป้องไม่ให้ถูกล่วงละเมิดโดยการล้วงข้อมูลไปจากระบบคอมพิวเตอร์มีอยู่ 2 ประเด็นด้วยกัน ได้แก่ การปกปิดความลับข้อมูลของลูกค้าของบริษัท และการปกปิดความลับข้อมูลของพนักงานของบริษัท
บางครั้ง บริษัทก็จำเป็นต้องเก็บข้อมูลส่วนตัวของลูกค้าเอาไว้ เพราะต้องใช้ในการดำเนินการของบริษัท ดังตัวอย่างธุรกิจ เช่น โรงพยาบาลต้องเก็บประวัติการใช้ยาและการเข้ารับรักษาของคนไข้, สถาบันทางการเงินต้องเก็บข้อมูลทางการเงินของลูกค้า, หรือกิจการทางธุรกิจอื่นๆ ที่ในบางขั้นตอนจำเป็นต้องมีข้อมูลส่วนตัวของลูกค้ามาเป็นองค์ประกอบของการดำเนินงานทางธุรกิจ บางครั้ง ทางบริษัทต้องทำสัญญากับลูกค้าว่าจะไม่เปิดเผยข้อมูลที่เป็นความลับของลูกค้าต่อบุคคลที่สาม ทำให้บริษัทจะต้องทำทุกวิถีทางเพื่อป้องกันไม่ให้ข้อมูลความลับของลูกค้ารั่วไหลออกไปได้
ส่วนเรื่องสิทธิของพนักงานนั้น เป็นเรื่องที่ละเอียดอ่อนพอสมควร เพราะการที่คนๆ หนึ่งจะเข้ามาเป็นพนักงานของบริษัทนั้น เขาจะต้องเสียสิทธิส่วนบุคคลบางอย่างเพื่อทำให้ตัวเขามีความเหมาะสมสอดคล้องเข้ากับนโยบายและการดำเนินงานของบริษัท แต่อย่างไรก็ตาม พนักงานก็ยังคงมีสิทธิส่วนบุคคลหลงเหลืออยู่ ในการรับเข้าทำงานตั้งแต่วันแรก บริษัทกับพนักงานจึงควรมีการคุยกันเรื่องสิทธิส่วนบุคคลของพนักงานอย่างชัดแจ้ง เพื่อความเข้าใจที่ตรงกันทั้งสองฝ่าย
มีคำกล่าวว่า การป้องกันที่ดีที่สุดเป็นการรุกที่ดีที่สุด การย้ำเตือนถึงแนวทางและวิธีปฏิบัติเกี่ยวกับการรักษาความปลอดภัยของข้อมูลให้กับพนักงานในบริษัทเป็นสิ่งสำคัญที่ต้องทำอย่างสม่ำเสมอ พนักงานจะต้องรู้ว่า ข้อมูลส่วนตัวของตนประเภทใดที่ถือว่าเป็นสิทธิส่วนบุคคลที่บริษัทจะละเมิดมิได้ และข้อมูลส่วนตัวประเภทใดที่ไม่ถือว่าเป็นความลับต่อบริษัท พวกเขาควรจะได้รู้ด้วยว่า การยอมเปิดเผยความลับให้กับบริษัทนั้นจะก่อให้เกิดผลดีต่อส่วนรวมอย่างไร จุดที่สำคัญที่สุดสองจุดเกี่ยวกับสิทธิส่วนบุคคลของพนักงาน ได้แก่ สิทธิในการปกปิดข้อมูลในไฟล์ข้อมูลส่วนตัวและในอีเมลล์ และสิทธิในการถูกบันทึกร่องรอยการทำงานทางอิเลคทรอนิค ระดับความมากน้อยของการอ้างสิทธิของพนักงานควรขึ้นอยู่กับอายุงานของพนักงานแต่ละคน กล่าวคือ พนักงานใหม่จะต้องถูกเฝ้าดูข้อมูลส่วนตัวอย่างใกล้ชิดมากกว่าพนักงานที่ทำงานมานาน ประเด็นเกี่ยวกับสิทธิส่วนบุคคลของพนักงานนี้ จะต้องยึดเอาตามแนวทางและวิธีปฏิบัติที่ได้วางเอาไว้อย่างเหนียวแน่น
ในการวางนโยบายให้พนักงานปฏิบัติ ควรคำนึงถึงการปฏิบัติต่อพนักงานอย่างเหมาะสม, หลักคุณธรรม และสิทธิส่วนบุคคลของพนักงาน การมีคอมพิวเตอร์เข้ามาเกี่ยวข้องในการทำงานของพนักงานไม่ได้หมายความว่าสิทธิและความรับผิดชอบของพนักงานจะต้องแตกต่างไปจากเดิม ถ้าหากการที่บริษัทไปเปิดจดหมายที่เป็นกระดาษของพนักงานออกอ่านเป็นการไม่สมควร หลักการเดียวกันนี้ก็ควรจะใช้ได้กับอีเมลล์ของพนักงานด้วย

ส่งท้าย
ในสถานการณ์ที่คุณต้องต่อสู้กับแฮคเกอร์โดยมีระบบคอมพิวเตอร์ที่คุณดูแลเป็นเดิมพันนั้น ยิ่งคุณหยั่งรู้ตัวตนและความคิดของแฮคเกอร์ได้มากเท่าใด โอกาสชนะของคุณก็ยิ่งมีมากขึ้นเท่านั้น และการเตรียมพร้อมก็เป็นสิ่งสำคัญด้วย คุณควรวิเคราะห์ถึงจุดแข็งและจุดอ่อนของระบบคอมพิวเตอร์ของคุณเป็นประจำ อย่างเช่น
- ลักษณะกิจการของบริษัทหรือระบบคอมพิวเตอร์ของคุณมีส่วนที่เป็นที่น่าสนใจของแฮคเกอร์หรือเปล่า ?
- มีความเป็นไปได้แค่ไหน ที่บริษัทคุณจะถูกคู่แข่งโจรกรรมข้อมูล ?
- มีความขุ่นเคืองบริษัทเก็บซ่อนอยู่ในจิตใจพนักงานคนใดหรือกลุ่มใดหรือไม่ ?
การมองระบบคอมพิวเตอร์ของคุณด้วยมุมมองของแฮคเกอร์ก็มีส่วนช่วยได้ไม่น้อย เพราะมันจะทำให้คุณเข้าใจแฮคเกอร์ที่จะมารุกรานระบบของคุณได้อย่างลึกซึ้งเลยทีเดียว นอกจากนี้ คุณควรหาคำตอบให้กับคำถามที่เกี่ยวกับแฮคเกอร์ดังต่อไปนี้ เพื่อคุณจะได้รู้จักฝ่ายตรงข้ามของคุณได้ดียิ่งขึ้น
- แฮคเกอร์ที่คุณต้องเผชิญ อาจเป็นคนในบริษัทเอง หรือเป็นผู้บุกรุกจากภายนอก ?
- เขามีทักษะความสามารถขนาดไหน ?
- จุดประสงค์ของเขาคืออะไร ?
เมื่อคุณได้รู้จักศัตรูของคุณดีพอสมควรแล้ว คุณก็จะตัดสินใจได้ว่า ควรจะวางแนวป้องกันระบบไว้ที่ไหนดี และจะป้องกันด้วยวิธีใดได้บ้าง การเตรียมตัวป้องกันไว้เป็นอย่างดีเท่ากับมีชัยไปกว่าครึ่ง การป้องกันระบบคอมพิวเตอร์ให้ปลอดจากแฮคเกอร์โดยการสร้างแนวป้องกันและวางระบบเตือนภัย ย่อมดีกว่าการปล่อยให้แฮคเกอร์หลุดรอดเข้ามาและต้องต่อสู้กันไปอย่างยืดเยื้อแน่นอน

[korawit]

โห เยอะจังเลย แล้วจะอ่านหมดไหมเนี่ย ไงก็ขอบคุณน่ะครับ