กู้คืนความเชื่อมั่น Kaspersky จะเปิดซอร์สโค้ด-กระบวนการพัฒนาซอฟต์แวร์ให้ตรวจสอบ

By: mk

on 24 October 2017 - 09:19 Tags:

Topics:

Kaspersky

Security

หลังจาก Kaspersky เจอปัญหารุมเร้าจากข้อกล่าวหาเรื่องรัฐบาลรัสเซีย จนส่งผลกระทบต่อธุรกิจ วันนี้บริษัทประกาศมาตรการกู้วิกฤตศรัทธา เรียกความเชื่อมั่นกลับคืนมา

แผนการของ Kaspersky มีชื่อว่า Global Transparency Initiative เน้นสร้างความโปร่งใสในผลิตภัณฑ์และกระบวนการทำงานของบริษัท ดังนี้

เปิดซอร์สโค้ดของบริษัทให้ผู้เชี่ยวชาญภายนอกเข้ามาตรวจสอบ โดยจะเริ่มในไตรมาส 1/2018
เปิดกระบวนการพัฒนาซอฟต์แวร์ให้ผู้เชี่ยวชาญภายนอกเข้ามาตรวจสอบ เริ่มไตรมาส 1/2018 เช่นกัน
เพิ่มกระบวนการควบคุมข้อมูลขององค์กร โดยเปิดให้หน่วยงานภายนอกเข้ามาตรวจสอบอีกชั้น ในไตรมาส 1/2018
ตั้งศูนย์ Transparency Centers สำหรับพาร์ทเนอร์เข้ามาตรวจสอบโค้ดและการทำงานของบริษัท โดยจะเปิด 3 แห่งทั่วโลก แยกเป็นในสหรัฐ ยุโรป เอเชีย ศูนย์แห่งแรกจะเปิดในปี 2018 และเปิดครบ 3 แห่งในปี 2020
เพิ่มเงินรางวัลสำหรับการค้นพบช่องโหว่ในผลิตภัณฑ์ Kaspersky สูงสุดคือ 100,000 ดอลลาร์ต่อช่องโหว่

Kaspersky ยังบอกว่าจะประกาศแผนเพิ่มเติมในครึ่งหลังของปี 2018 และยินดีรับฟังความเห็นจากผู้เชี่ยวชาญในอุตสาหกรรมความปลอดภัยด้วย

ที่มา - Kaspersky

No Description

Our transparency initiative: source code (incl. updates) for 3rd party review; open 3 transparency centers worldwide https://t.co/HQmyufDCcU pic.twitter.com/1pdLil6MhQ

— Eugene Kaspersky (@e_kaspersky) October 23, 2017

Hiring! บริษัทที่น่าสนใจ

KKP Dime

KKP Dime บริษัทในเครือเกียรตินาคินภัทร

MOLOG Tech

We are Modern Logistic Platform, Specialize in WMS, OMS and TMS.

Ascend Group Co., Ltd.

Our Ascend vision is to create life opportunities with innovative digital services.

Comments

By: jaideejung007

on 24 October 2017 - 11:20 #1014882

คล้ายๆ กับ MEGA.nz ไหมครับ

https://github.com/meganz/webclient

ที่เปิดซอร์สโค้ด เพื่อความโปร่งใสในการตรวจสอบ

By: mk

on 24 October 2017 - 11:56 #1014890 Reply to:1014882

อันนี้ไม่เปิดให้สาธารณะครับ แค่เปิดให้ auditor

By: McKay

on 24 October 2017 - 12:29 #1014893

กว่าจะถึง Q1 2018 ความเชื่อมั่นจะลดลงอีกขนาดไหนนะ แถมไม่ใช่ว่าก่อน Q1 จะลบส่วนที่เคยยัดมีปัญหาทิ้งไม่ได้ การแถลงข่าวครั้งนี้จะกลายเป็นการ backfired หรือเปล่า

แทนที่จะแถลงข่าวเมื่อพร้อมให้ตรวจสอบแล้ว

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: Hoo

on 24 October 2017 - 13:23 #1014901 Reply to:1014893

มองแบบธุรกิจ
ที่ต้องรีบ action เพราะลูกค้าเก่า ทยอยหมดอายุ ละมั๊ง
เลยต้องรีบประกาศสร้างความมั่นใจ แล้วทำแก้ไปทีหลัง
เพราะถ้าลูกค้าเก่าไม่ต่ออายุแล้วไปซื้อเจ้าอื่น อาจจะเสียลูกค้าเก่าถาวร

ยิ่งถ้ารอถึง Q1 ปีหน้า ก็ตก 6 เดือน
ลูกค้าเก่าหายไปครึ่งนึงเลย!!!

By: McKay

on 24 October 2017 - 13:46 #1014907 Reply to:1014901

การรีบปล่อยข่าวโดยที่ยังไม่สามารถทำได้ในปัจจุบันมันดูแย่มากนะครับ มันแปลว่า ณ ปัจจุบันตัว Kaspersky เอง'ไม่พร้อม'ที่จะถูก Audit ไม่ว่าจะด้วยเหตุผลอะไรก็แล้วแต่ และต้องใช้เวลาอย่างน้อย 2 เดือน เพื่อ'เตรียมการ'ถูก Audit นั้น

การมาแสดงตัวว่า'ตอนนี้ไม่พร้อม'นี่แหละครับ ยิ่งทำให้ตัวเองหมดความน่าเชื่อถือ

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: Hoo

on 24 October 2017 - 14:25 #1014912 Reply to:1014907

ความไม่พร้อม ไม่น่าเกิดจาก code ไม่พร้อมถูก Audit นะ

ผมมองว่า
การกำหนด ข้อตกลงการ Audit เอย
การเลือกหา บ.Audit ที่ไว้ใจได้เอย
การดำเนินการขั้นตอนทางธุรกิจกับ บ.Audit เอย
ต้องใช้เวลาทั้งนั้น

By: McKay

on 24 October 2017 - 14:36 #1014915 Reply to:1014912

สิ่งเหล่านั้นเป็นเพียงข้ออ้างมากกว่าครับ Kaspersky มีเวลาสองเดือนกว่าๆก่อนที่จะออกมาให้ข่าวนี้ด้วยซ้ำ

อย่างที่บอกครับ หากไม่พร้อมก็ไม่ควรให้ข่าวตั้งแต่แรก

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: Jirawat

on 24 October 2017 - 20:03 #1014978 Reply to:1014915

ถูกต้องครับ

By: Hoo

on 24 October 2017 - 20:12 #1014979 Reply to:1014915

ถ้าปักธงไปแล้วว่า มีฝังโค้ดขโมยข้อมูลแน่ๆ
เวลาที่ยืดคือใช้ทำลายหลักฐาน
ผมก็ไม่มีอะไรจะพูดละ

เพราะผมแค่ชี้ว่า ขั้นตอนทางธุรกิจ มันไม่ได้เร็วแบบนั้น
แค่เขียนร่างข้อตกลงยอมให้ Audit แล้วมีช่องโหว่
เช่น เปิดมากไป/น้อยไป Auditor ต้องรักษาความลับธุรกิจยังไง ถ้าหลุดจะฟ้องร้องได้ขนาดไหน ฯลฯ
มันไม่ง่าย ต้องปรึกษาฝ่ายเทคนิก อ่านทวนสัญญา ตรวจสอบอย่างรอบคอบหลายรอบ

รวมทั้งเหตุผลที่รอไม่ได้

ถ้าคิดว่าฟังไม่ขึ้น หรือ อยากก่อดราม่า ก็เอาที่สบายใจ
เพราะผมใช้ AVG

By: McKay

on 24 October 2017 - 21:08 #1014991 Reply to:1014979

ผมไม่ได้ปักธงอะไรครับ ไม่ได้คิดว่า Kaspersky จะต้องฝังโค๊ดด้วยซ้ำ

แต่การเป็นบริษัท security นั้นจำเป็นต้องทำงานแบบ transparency ครับ คุณจะปล่อยให้เกิดปัญหามาอย่างน้อยสองเดือนกว่าแล้วมาบอกว่าอีกสองเดือน(รวม 5 เดือน+)จะให้ Audit บริษัทนะ แบบนั้นมันแย่ครับ เพราะมันแปลว่าที่ผ่านมาคุณไม่เคยให้ใคร Audit ตัวเองเลยแม้แต่เรื่องกระบวนการ กรณีแบบนี้ท้ายที่สุดแล้วความน่าเชื่อถือมันจะอยู่ที่ไหนครับ นโยบาย CEO ไม่ให้ความร่วมมือก็จริง แต่ก็ไม่มีอะไรมายืนยันได้ว่าในบริษัทจะไม่มีใครแอบฝัง หรือสร้างช่องโหว่อะไรไว้ หรือแม้แต่ข่าวลือเรื่อง Kaspersky สร้างไวรัสอะไรนั่นก็ด้วย

ไม่ใช่ว่ากรณี lost trust แบบนี้มันไม่เคยเกิดขึ้นครับ มันเกิดขึ้นบ่อยมากจนมาเกิดกับ Kaspersky แต่การแก้ปัญหาของ Kaspersky นั้นล่าช้าจนปัญหามันลุกลามไปเยอะแล้ว

ขอย้ำอีกทีว่าโดยส่วนตัวผมไม่คิดว่า Kaspersky จะต้องฝังโค๊ดอะไร แต่การให้ข่าวนี้ของ Kaspersky นั้นแทบจะเรียกความเชื่อมั่นคืนมาไม่ได้เลยครับ ในขณะที่จำนวนคู่แข่งเองก็เพิ่มขึ้นมาเรื่อยๆและลูกค้าสามารถย้ายไปใช้เจ้าอื่นได้ตลอดเวลา

เพราะผมแค่ชี้ว่า ขั้นตอนทางธุรกิจ มันไม่ได้เร็วแบบนั้น

อันนี้ Kaspersky ไม่ได้บอกนะครับว่าจะเสร็จตอน Q1 2018 แต่บอกว่าจะ'เริ่ม' ซึ่งกระบวนการมันก็คงเริ่มตอนนั้นแหละครับ

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: Hoo

on 25 October 2017 - 18:06 #1015185 Reply to:1014991

ถ้าพูดถึงการพูดแล้วแต่ยังไม่ action
ก็ไม่มีผลต่อตลาดเท่าไหร่ อันนี้เห็นด้วย

แต่ผมไม่เห็นด้วยว่า kaper ไม่โปร ที่ไม่พร้อมให้ audit
เพราะผมไม่เคยเห็นมี AV ตัวไหนต้องโดน audit เลย

แล้วแนวคิด security
บางอย่างควรเปิด
บางอย่างควรปิด

โดยมาก algo ในการตรวจเชิงพฤติกรรมอะไรแบบนี้จะปิดลับ ไม่ใช่เปิด
การเปิดจะทำให้ hack หาวิธีหนีการตรวจจับได้ง่ายขึ้น เพราะจะรู้จุดหมิ่นเหม่ได้
ไม่ว่าการจับบอทค่าย blizzard หรือ google ที่ตรวจ apk
ยังไม่รวมทั้งรั่วถึงคู่แข่งอีก

2 เดือนที่ผ่านมา ไม่ควรนับ
เพราะ kaper พยายามดิ้นด้วยวิธีอื่น คงเพิ่งตกลงจะยอมใช้วิธีให้ audit นี้ ซึ่งน่าจะเป็นทางเลือกสุดท้ายจริงๆ

เมื่อตกลงแล้วว่าจะใช้วิธีนี้
จากนี้ขั้นตอนธุรกิจคือ
-ร่างสัญญาให้รัดกุม
-เลือกหา บ.Audit ที่ยอมรับสัญญา + เจรจาราคา
-บ.Audit ต้องเตรียมหาคนมาดูแลงานนี้

ฝั่ง kaper เองก็ต้องแก้ process งาน เช่น เปิดให้ audit เข้าถึง code ก่อน build
ฯลฯ
กว่าจะเริ่มได้ก็ Q1 นั่นแหละ

ลองคิดว่าคุณเป็น kaper ที่จู่ๆ รายได้ก็หายไป แต่ค่าใช้จ่ายยังวิ่งเหมือนเดิม เงินที่หมุนน้อยลงไปเรื่อยๆ ในทางธุรกิจมันหนักนะ

การออกมาพูดโดยหวังว่ามันจะดีขึ้นซักนิด(เผื่อบางคนเชื่อมั่นขึ้นมา) ก็ดีกว่าเงียบเฉยๆครับ
เรียกว่าจะจมน้ำแล้ว เห็นฟางก็ต้องคว้าละครับ
มันเป็นอะไรที่เข้าใจได้ในทางธุรกิจครับ

By: McKay

on 25 October 2017 - 19:13 #1015206 Reply to:1015185

อันนี้ผมไม่ขอตอบเพิ่มแล้วกันนะครับ แต่แนะนำให้ไปอ่านเพิ่มเติมใน blog ของ kaspersky เอาเอง เรื่อง transparency

Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

Main menu