DNSSEC และ DANE ช่วยป้องกันการโดน Pharming และป้องกันการออก Certficate ปลอมหรือซ้ำซ้อน

การทำ DNSSEC ช่วยป้องกันการโดน Pharming (หรือเรียก DNS spoofing หรือ DNS cache poisoning) เพราะเป็นการ signed ตัว DNS Server ที่ใช้งานคู่กับ domain name ที่จดกับผู้รับจด domain เวลาตรวจสอบคำตอบที่ Resolver จะเช็คว่ามาจาก Name server ตัวจริงหรือไม่ ช่วยให้การได้รับ IP ส่งให้ client มีความถูกต้องเสมอ (ทดสอบแบบง่ายๆ คือแก้ไขไฟล์ hosts บนเครื่องให้วิ่งไปอีกเครื่องหนึ่งที่มีข้อมูลเหมือนกันทุกประกาศ ทำตัวเหมือนโดน trojan มาเปลี่ยนบนเครื่องให้ไปเครื่องปลอมเพื่อหลอกเอาข้อมูล)

image 

image

image

image

 

สำหรับการทำ DANE ป้องกันการถูก fake certificate หรือเจอ Certification Authority ออกใบ certificate ซ้ำซ้อน เพราะเราจะเอา fingerprint ของ certificate ใส่ลงใน TLSA record บน DNS Server ทำให้ตอนตัว browser เรียกเว็บ จะมีการตรวจสอบว่า certificate ที่ได้มา มี fingerprint ตรงกับที่อยู่ใน TLSA record หรือไม่

image 

image

 

ซึ่งทั้งสองอย่างยังไม่ค่อยเจอเว็บทั่วไปทำสักเท่าไหร่ และ browser ทั้ง 3 อันดับแรก ถ้าไม่ลง plugins ก็ยังตรวจสอบไม่ได้ครับ แต่เชื่อว่าอีกสักพักคงทยอยค่อยๆ ปรับกันมาแล้ว และเว็บในไทยที่เท่าที่เจอยังไม่ค่อยมีใครทำขนาด Google, Facebook, Micorosft ยังไม่ทำเลย

การทำให้เว็บรองรับ DNSSEC และ DANE ช่วยเพิ่มระบบในการป้องกันการที่ผู้ใช้งานเข้าใช้บริการของเว็บต่างๆ ได้ปลอดภัยมากขึ้นจากการทำ Man-in-The-Middle attacks ได้

วิดีโออธิบายการทำงานของ DNSSEC และ DANE

Tutorial on DANE and DNSSEC

ตัวอย่างเว็บที่ implement DNSSEC หรือ DANE

อ้างอิง

คำแนะนำในการเก็บรหัสผ่านในระบบสำหรับนักพัฒนาซอฟต์แวร์ และผู้ดูแลระบบไอที

คำแนะนำนี้เหมาะสำหรับนักพัฒนาซอฟต์แวร์ และผู้ดูแลระบบไอทีเป็นสำคัญ สำหรับบุคคลทั่วไปแนะนำให้อ่าน ตั้งรหัสผ่านอย่างไรให้ปลอดภัย แทนนะครับ

จริงๆ เจอเคสในการเก็บรหัสผ่านเป็นแบบ plaintext หรือเก็บรหัสผ่านแล้วสามารถย้อนกลับเป็น plaintext เดิมๆ ได้โดยง่าย ซึ่งผมเจอเคสแบบนี้บ่อยค่อนข้างมาก และคิดว่าควรจะเขียนเรื่องนี้สักครั้งหนึ่ง

หลักของการเก็บรหัสผ่านในฐานข้อมูลนั้น

1. ไม่ใช่การเก็บตัวรหัสผ่านจริงๆ ลงไป

2. ไม่ควรใช้การจัดเก็บรหัสผ่านที่สามารถย้อนกลับมาเป็นรหัสผ่านต้นทางได้ ไม่ว่าจะทางใดก็ทางหนึ่ง

หลักง่ายๆ ก่อน 2 ข้อนี้ ทำให้เกิดวิธีคิดในการเก็บรหัสผ่านเพียงแค่ hash (หรือบางเอกสารเรียก fingerprint หรือค่า message digest) ของรหัสผ่านนั้นๆ กล่าวคือ การกระทำใดๆ ในตัวระบบ ต้องไม่มีความสามารถที่สามารถย้อนกลับวิธีการได้มาซึ่งข้อมูล hash ได้ (Non-invertibleเพื่อเป็นการป้องกันรหัสผ่านที่แท้จริงจากการนำไปใช้งานได้ทันทีหลังจากระบบถูก hack แล้วถูก dump ข้อมูลเหล่านี้ออกไป เพราะแม้ว่ารหัสผ่านที่ถูกนำออกไปจะเป็นเพียงแค่ hash ของข้อมูล แต่การโจมตีแบบ rainbow table attacks ก็สามารถถอดรหัสผ่านใดๆ ที่เป็นเพียงแค่ค่า hash ย้อนกลับมาเป็นรหัสผ่านเดิมได้ไม่ช้าก็เร็ว เพราะแม้มีความเป็นไปได้น้อยมากๆ แต่ก็ถือว่ามีความเสี่ยง

หลักการขอ rainbow table attacks คล้ายๆ การ brute force รหัสผ่านโดยทั่วไป แต่เป็นการกระทำต่อ hash เป็นหลัก โดยสุ่มชุดข้อมูลที่คิดว่าเป็นรหัสผ่าน มาเข้าขั้นตอน hash ที่เป็นที่นิยมใช้ให้ได้ซึ่งค่า hash แล้วเอาชุดข้อมูลดังกล่าว ใส่ลงในฐานข้อมูล rainbow tableไว้ แล้วเมื่อมีการ hack ระบบเกิดขึ้นแล้วได้ชุดข้อมูล hash ที่ dump ออกมา ก็เอาไปทดสอบเทียบกับชุดข้อมูลในฐานข้อมูลที่สร้างไว้ก่อนหน้านี้ ก็จะย้อนกลับมาได้ว่า ข้อมูล plaintext ที่เป็นส่วนย้อนกลับของ hash มีค่าใด

หากแต่การปรับปรุงและใช้ขั้นตอนของการใดมาซึ่งค่า hash ที่ยาวขึ้น มีความซับซ้อนมากขึ้น ไม่ใช้ขั้นตอนตามมาตรฐานเพียงอย่างเดียว มีการผสมชุดข้อมูลอื่นๆ ที่สร้างขึ้นจากระบบด้วยแล้วการถูก rainbow table attacks ก็มีความเสี่ยงน้อยลงไปอีก

โดยด้านล่างเป็นลักษณะของฟังค์ชั่นโดยทั่วไปที่มักใช้กัน

[hash] = [salt] + [hash_function([salt] + [password])]

[salt] = เป็นการสุ่มจากวิธีการสุ่มใดๆ ที่ปลอดภัยที่สุดเท่าที่ทำได้ คำแนะนำคือควรใช้วิธีการสุ่มจากฟังค์ชั่นแบบ Cryptographically Secure Pseudo-Random Number Generator (CSPRNG)

[hash_function] ก็เลือกว่าจะเอาตัวไหนก็ได้ แต่ที่ใช้ๆ กันก็ แต่พวก MD5 หรือ SHA-1 ที่มันหาง่าย แต่มันก็แข็งแรงน้อยลงมากๆ ไม่แนะนำ และเดี่ยวนี้มันพูดกันที่ระดับ SHA-2 กันไปแล้ว (SHA-2 = SHA-256 หรือ SHA-512)

จริงๆ สูตรฟังค์ชันด้านบนนั้น มีชุดคำสั่งสำเร็จรูปที่นิยมกันที่ชื่อ PBKDF2 เพราะมีการกำหนดชุดการฟังคัชันในการ hash, จำนวนรอบในการสุ่ม และกำหนดความยาวของ hash ได้หลากหลาย ทำให้ยากมากขึ้นในการได้มากซึ่ง plaintext ที่แท้จริงจาก rainbow table

hash= PBKDF2(hash_function_name, password, salt, iterations, length)

ส่วนการใช้งานตอนเปรียบเทียบรหัสผ่านที่ผู้ใช้กรอกเข้ามา กับ hash ที่ระบบเก็บไว้ ก็ตรงไปตรงมา ก็แค่นำรหัสผ่านที่ผู้ใช้กรอกเข้ามาเข้าวิธีการเดิมที่ได้มาซึ่ง hash เดิม แล้วนำมาเปรียบเทียบว่าตรงกันหรือไม่

โดยการทำแบบนี้ “ช่วยให้ผู้ใช้งานทั้งระบบยังพอมีเวลาในการปรับเปลี่ยนรหัสผ่านชุดใหม่ได้ใน ระยะเวลาที่น่าจะปลอดภัยมากที่สุด” เพราะหากว่ากันตามความเป็นจริงแล้ว ในวงการด้านการเข้ารหัสข้อมูลนั้น ทราบกันดีว่า ไม่มีวิธีการใดอะไรที่สามารถเข้ารหัสข้อมูลได้ปลอดภัยที่สุดไปตลอดกาล เพราะเทคโนโลยีด้านการคำนวนของ CPU/GPU นั้นเร็วมากขึ้นทุกวัน การจัดเก็บข้อมูลที่ปลอดภัยในช่วงเวลาหนึ่งอาจไม่ปลอดภัยในอีกไม่กี่ปีต่อมา เพราะเราสามารถแกะ และคำนวนหาค่าต่างๆ หรือสุ่มชุดข้อมูลต่างๆ ได้เร็วและหลายหลากขึ้น ตาม CPU/GPU ที่เร็วขึ้นเพื่อมาสร้าง rainbow table ได้ทุกขณะ

ทั้งหมดที่กล่าวมา เป็นเพียงแค่การทำความเข้าใจเริ่มต้นของแนวคิดในการเก็บรหัสผ่านในระบบเท่านั้น แนะนำให้อ่านข้อมูลเพิ่มเติมจาก keyword ต่างๆ ในบทความนี้เพิ่มเติม เพื่อทำความเข้าใจในทุกขั้นตอนต่อไป

อ้างอิง

Ref: https://www.flickr.com/photos/nyuhuhuu/4443886636

เว็บ se-ed.com เก็บรหัสผ่านสมาชิกของร้านเป็น plaintext!

เมื่อวานนั่งหาหนังสือ กะว่าจะสั่งหนังสือสัก 2-3 เล่ม แต่ลืมรหัสผ่าน se-ed.com เลยเข้า https://www.se-ed.com/forgot-password.aspx เพื่อขอขั้นตอนการปลดล็อคผ่านทางอีเมลเพื่อเข้าระบบ

2014-09-08_110337

 

แต่สิ่งที่ได้กลับมาทำให้ตกใจไม่น้อยเพราะ….

2014-09-08_110831

 

ก็ไม่รู้จะว่ายังไงดี ความอยากได้หนังสือหายไปในทันที เลิกสั่งตั้งรหัสผ่านใหม่ที่ยาวกว่าเดิม แล้วลาก่อนเว็บนี้

ส่วนเหตุผลว่าทำไมอ่านจากของเก่าได้ที่ อย่าไว้ใจเว็บแบรนด์ระดับโลกให้เก็บรหัสผ่านที่สำคัญของคุณ

ข้อมูลสรุปการพูดคุยกับทาง Baidu Thailand กรณี Potentially Unwanted Program

บันทึกข้อมูลที่พูดคุยเมื่อวันที่ 23 ก.ค. 2557

ข้อมูลอาจตกหล่นไปบางส่วนเพราะเขียนตามที่นึกออก โดยการพูดคุยไม่ได้บันทึกไว้อย่างละเอียด ใช้เป็นข้อมูลที่อ้างอิง หรือเป็นข้อผูกมัดของทั้งสองฝ่ายให้ทำตามไม่ได้ทั้งหมด เพราะเป็นการพูดคุยอย่างไม่เป็นทางการ และไม่ได้มีเซ็นหนังสือยอมรับความถูกต้องของเนื้อหาจากทั้งสองฝ่าย

ผมได้เดินทางไปพูดคุยปัญหาต่างๆ ที่ได้ประสบเอง และบอกเล่าจากข้อมูลคนรอบข้างให้กับ Baidu Thailand เพื่อรับทราบปัญหา และนำไปแก้ไขปรับปรุงต่อไป โดยการพูดคุยเป็นไปด้วยดี และเป็นการพูดคุยในเชิงเทคนิคทั้งด้านคอมพิวเตอร์ และทางกฎหมายบางส่วนที่เป็นข้อกังวล มีดังต่อไปนี้

> Ford: รูปแบบการติดตั้งของซอฟต์แวร์ของ Baidu นั้นมีการติดตั้งที่ไม่ได้รับการยอมรับจากผู้ใช้โดยผ่านตัวติดตั้งของซอฟต์แวร์ตัวอื่นๆ ซึ่งผมได้เสนอแนวทางการแก้ไขคือการกำหนดรูปแบบที่ชัดเจนต่อยอมรับเพื่อติดตั้งซอฟต์แวร์ของ Baidu อย่างชัดเจน

> Baidu: ทาง Baidu ได้รับทราบปัญหา และทาง Baidu ไม่ได้นิ่งนอนใจ มีการตรวจสอบจาก community ต่างๆ ว่ามีซอฟต์แวร์ตัวใดบ้าง และได้ทำการแก้ไขปัญหากับทาง software distributor และ ads network ให้ปรับปรุงรูปแบบดังกล่าวแล้ว แต่ในตัวติดตั้งในซอฟต์แวร์เก่าๆ ที่อาจจะตกค้างอยู่คงไม่สามารถกลับไปแก้ไขไม่ได้

> Ford: ถ้าเป็นเช่นกัน การถอนการติดตั้งของซอฟต์แวร์ Baidu ก็ยังทำได้ยากอยู่ดี หรือพูดสั้นๆ “ติดตั้งง่าย เอาออกยาก”

> Baidu: ทาง Baidu ยืนยันว่าตัวซอฟต์แวร์นั้นได้มีการพัฒนาทำตัวถอนการติดตั้งมาอย่างถูกต้องสมบูรณ์แล้ว

> Ford: หากเป็นเช่นนั้นจริงทำไมถึงพบปัญหาว่าซอฟต์แวร์ตัวอื่นๆ นอกจากซอฟต์แวร์ของ Baidu ถึงไม่ถูกนำออกไปด้วย หรือแม้แต่มีการติดตั้งซ้่ำกลับมาอีกได้ ซึ่งทางผมตรวจสอบมาได้แก่ Hao123, 555.in.th หรือ Omiga Plus เป็นต้น

> Baidu: ขอยืนยันว่าซอฟต์แวร์ตัวอื่นๆ นอกจาก Baidu PC Faster และ Baidu AntiVirus นั้น ไม่ใช่ของ Baidu แต่อย่างใด หากแต่เป็นซอฟต์แวร์ที่ได้ซื้อช่องทาง software distributor และ ads network เช่นเดียวกับทาง Baidu ทำให้อาจมีตัวเลือกติดตั้งที่อาจเลือกพร้อมกับทาง Baidu ซึ่งทาง Baidu ได้พูดคุยกับทาง software distributor และ ads network หลายเจ้าที่ทำแบบนี้ให้ปรับปรุง และบางรายก็ได้ยกเลิกสัญญาไปแล้วเช่นกัน อ่านแก้ไขแก้ไขเพิ่มเติม [1] และ [2]: 25/7/2014 12:10 น. ด้านล่าง

> [1] Ford: ผมยังยืนยันต่อไปว่า การถอนการติดตั้งยังทำได้ยาก โดยได้แสดงขั้นตอนการถอนการติดตั้งจาก http://malwaretips.com/blogs/baidu-pc-faster-virus/ เป็นตัวอย่าง และได้นำเสนอแนวทางแก้ไขปัญหานี้ด้วยการจัดทำคู่มือที่เป็นภาษาไทย และออก Removable Tools ทั้งซอฟต์แวร์จาก Baidu และซอฟต์แวร์ที่ถูกคาดเดาว่ามาจาก Baidu เองเพื่อช่วยกลุ่มผู้ใช้ดังกล่าวต่อไปน่าจะช่วยให้ปัญหาเหล่านี้ได้รับการแก้ไข
> [2] Ford: ควรประกาศอย่างเป็นการทั่วไปบนเว็บไซต์ของ Baidu เองว่า ซอฟต์แวร์ที่ถูกคาดเดาว่ามาจาก Baidu นั้นมิใช่ซอฟต์แวร์ที่มาจาก Baidu เอง เพื่อเป็นการยืนยันอีกครั้งหนึ่ง
> [3] Ford: ทาง Baidu มีการตอบคำถามในบางคำถามตาม community ต่างๆ ในการแนะนำวิธีการใช้งานอยู่ อยากแนะนำให้ทำคู่มือเป็นภาษาไทยอย่างเป็นทางการให้อ่านฟรีบนเว็บของ Baidu ภาษาไทย เพื่อเป็นแนวทางในการใช้งานและการแก้ไขปัญหาของผู้ใช้งานเป็นการทั่วไป เพราะการสนับสนุนผ่านทาง community เพียงอย่างเดียว อาจไม่ทั่วถึง

> Baidu: ทาง Baidu จะนำกลับไปพิจาราณาความเหมาะสม แต่เป็นทางออกที่ดีในการแก้ไขปัญหา

> Ford: เป็นไปได้หรือไม่ ที่จะเผยแพร่รายงานการตรวจสอบรูปแบบการติดตั้งตัวซอฟต์แวร์ของ Baidu ที่ได้ส่งให้กับทาง software distributor และ ads network ว่าที่แห่งใดบ้างได้ทำตามข้อกำหนดในการติดตั้งอย่างถูกต้องแล้ว เพื่อแสดงความโปร่งใส และความมั่นใจในการติดตั้งซอฟต์แวร์ต่างๆ

> Baidu: ทาง Baidu จะนำกลับไปพูดคุยกันเพื่อดูความเป็นไปได้ต่อไป เนื่องจาก software distributor และ ads network มีความหลากหลายและเยอะมาก แต่ทาง Baidu ไม่ได้นิ่งนอนใจ มีการตรวจสอบอยู่ตลอดในช่วงเวลาที่ผ่านมา และเราได้ยกเลิกสัญญาไปหลายเจ้าแล้ว ตามที่ข้อมูลข้างต้น

> Ford: ผมได้ทดสอบติดตั้งซอฟต์แวร์ที่คาดว่าจะมีตัวติดตั้ง Baidu บนเครื่องคนละ location setting กัน กลับไม่พบการติดตั้งซอฟต์แวรของ Baidu แต่เป็นซอฟต์แวร์ของผู้ผลิตรายอื่น แสดงว่า ทาง software distributor และ ads network มีการตรวจสอบข้อมูลของประเทศปลายทางด้วยใช่หรือไม่

> Baidu: เป็นไปตามความเข้าใจแบบนั้นจริง

> Ford. ทางผมได้พบข้อชวนเป็นห่วงต่อปัญหาในด้านข้อมูลส่วนตัว และความกำกวมของ EULA (อ้างอิง http://antivirus.baidu.com/th/license_agree.php) อยู่หลายส่วนด้วยกัน
1. คำว่า “ข้อมูลส่วนบุคคล” ในข้อที่ 3.5 ของ EULA ของ Baidu AntiVirus นั้นค่อนข้างกว้างมาก ซึ่งตาม “ร่าง พรบ การคุ้มครองข้อมูลส่วนบุคคล” นั้นหมายถึง “ข้อเท็จจริงเกี่ยวกับบุคคล ซึ่งทำให้สามารถระบุตัวบุคคลนั้นได้ไม่ว่าทางตรงหรือทางอ้อม” ซึ่งค่อนข้างกว้าง ควรปรับให้แคบลงกว่านี้ เพราะอาจหมายรวมไปถึงข้อมูลบัญชีธนาคาร บัตรเครดิต ข้อมูลการเข้าถึงพื้นที่ที่ต้องมีการยืนยันด้วยรหัสสมาชิกและรหัสผ่านอื่นๆ ได้
2. การเปิดเผยข้อมูลส่วนบุคคลนั้นหมายรวมไปถึงพันธมิตรของ Baidu ด้วย และไม่ต้องมีการยินยอมจากผู้ใช้ ซึ่งส่วนตัวมองว่าตรวจสอบยาก เพราะพันธมิตรของ Baidu เพิ่มขึ้นทุกวัน เพราะฉะนั้น ข้อมูลส่วนบุคคลของผู้ใช้อาจจะแพร่กระจายออกในบริษัทอื่นๆโดยไม่ได้รับการยินยอมจากผู้ใช้
3. จากข้อที่ 2. การเผยแพร่ดังกล่าว มีข้อยกเว้น ซึ่งนอกจากพันธมิตรของ Baidu แล้วยังมีหน่วยงานราชการตามกฎหมาย ซึ่งมิได้ระบุประเทศว่าอ้างอิงกฎหมายหรือหน่วยงานราชการประเทศใด เพราะมีกลุ่มผู้ใช้กังวลต่อข้อมูลส่วนบุคคลที่อาจถูกรวบรวมส่งต่อให้กับหน่วยงานราชการทั้งปรถเทศจีน ไทยหรือประเทศอื่นๆ ได้โดยไม่ได้้างอิงหลักกฎหมายอย่างชัดเจนว่าใช้ของประเทศใด
4. ในข้อที่ 3.6 มีการขยายความขอบเขตและเหตุผลความต้องการข้อมูลส่วนบุคคลเพิ่มเติมจาก 3.5 อีกรอบ
5. ในข้อที่ 3.8 เรื่อง “ความยินยอมของผู้ใช้” นั้นมีส่วนที่กังวลคือ วงเล็บ (2) ที่กล่าวว่า “การดาวน์โหลด ติดตั้ง หรือใช้ซอฟต์แวร์นี้” ซึ่งมีความหมายว่า เพียงแค่ดาวน์โหลดเข้ามาในเครื่อง แม้ไม่ได้ติดตั้ง ก็อาจหมายถึง “ความยินยอมของผู้ใช้” แล้ว และมีข้อกำหนดคำว่า “อื่นๆ” ซึ่งเป็นข้อกำหนดปลายเปิด ซึ่งสุดท้ายสามารถทำการณ์ใดๆ ก็ได้ ก็เท่ากับเป็น “ความยินยอมของผู้ใช้” ได้แล้วในอนาคต
ในความเป็นจริง ไม่ใช่เพียงแค่ 5 ข้อนี้ เพราะเป็นแค่ตัวอย่างของ EULA ซึ่งมีปัญหา และสร้างความกังวลของผู้ใช้เองได้

> [1] Baidu: สร้าง Baidu รับทราบข้อกังวลดังกล่าว และจะนำไปปรับปรุง และประกาศแจ้งอย่างเป็นการทั่วไปบนเว็บไซต์ของ Baidu เพื่อสร้างความสบายใจของผู้ใช้คนไทยต่อไป โดย EULA ดังกล่าว จะเป็น EULA ที่เหมาะสมกับกฎหมาย และประเทศไทยเป็นสำคัญ
> [2] Baidu: ทาง Baidu ได้เสริมข้อมูลทางด้านเทคนิคว่า ทาง Baidu นั้นมีการเก็บข้อมูลผู้ใช้แบบนิรนาม (anonymous) เช่นเดียวกับซอฟต์แวร์อื่นๆ โดยการส่งข้อมูลกลับไปหรือไม่นั้น มีตัวเลือกให้ผู้ใช้ยืนยันก่อนการส่งข้อมูลอย่างแน่นอน แต่หากติดตั้งผ่าน software distributor หรือ ads network อาจจะไม่มีชุดคำถามดังกล่าว แต่ค่าเริ่มต้นเป็นการกำหนดแบบไม่ส่งข้อมูลให้กับทาง Baidu

แก้ไขเพิ่มเติม [1] : สำหรับ hao123.com ผมไม่ได้ทักท้วงว่าทำไมถึงไม่เกี่ยวกับ Baidu เพราะในเว็บ hao123.com ยังมีระบุว่าเป็นของ Baidu.com เนื่องจากการควบรวมตั้งแต่ปี 1999

แก้ไขเพิ่มเติม [2]: 25/7/2014 12:10 น.
คำถาม: โปรแกรมในเครือ Baidu มีอะไรบ้าง
คำตอบ: เท่าที่มีในประเทศไทยตอนนี้มีดังนี้
Desktop
– Baidu PC faster
– Baidu anti virus
– Spark Browser (1. Spark Browser 2. Spark Security Browser)
– PC App Store
– Hao123
apps บนมือถือระบบ Android
– DU Speed Booster
– DU Battery Saver
– Baidu Browser
– PhotoWonder

ข้อมูลอ้างอิง http://pantip.com/topic/32279590/comment1

Potentially Unwanted Program คืออะไร?

Potentially Unwanted Program ตัวย่อ PUP หรือ PUPs เป็นคำที่ใช้อธิบายประเภทของโปรแกรมที่ไม่พึงประสงค์ประเภทหนึ่ง (unwanted programs) ซึ่งอาจมีพฤติกรรมที่เข้าข่าย โทรจัน (trojans) สปายแวร์ (spyware) แอดแวร์ (adware) หรือ มัลแวร์ (malware) โดยมันอาจล่วงละเมิดความเป็นส่วนตัวได้  (privacy)

โปรแกรมรูปแบบดังกล่าวมักมาพร้อมกับซอฟต์แวร์ฟรีแวร์  ซึ่งส่วนใหญ่จะพบในซอฟต์แวร์ประเภท video codec/recording/streaming, download managers หรือ PDF creators โดยคุณสามารถใช้ซอฟต์แวร์เหล่านี้ได้โดยไม่ต้องเสียค่าใช้จ่ายใดๆ แต่มันจะแสดงหน้าต่างที่เป็นโฆษณา แถบเครื่องมือในเบราว์เซอร์ การเปลี่ยนแปลงหน้าเริ่มต้นค้นหา การเปลี่ยนหน้าเริ่มต้นในเบราว์เซอร์ และเก็บรวบรวมข้อมูลผู้ใช้งานบางอย่าง โดยบางส่วนอาจมีการทำงานเบื้องหลัง ซึ่งอาจทำให้เครื่องคอมพิวเตอร์ของท่านทำงานช้าลง พบการทำงานที่ผิดพลาดไปจากความเป็นจริง หรือมีการติดตั้งส่วนเสริมอื่นๆ ในภายหลังโดยไม่แจ้งให้ผู้ใช้งานทราบล่วงหน้า ซึ่ง Potentially Unwanted Program โดยมากมักติดตั้งโดยไม่ได้รับความยินยอมของผู้ใช้งานผ่านการติดตั้งแบบเร็วของซอฟต์แวร์ฟรีแวร์อื่นๆ ผู้ใช้งานควรใช้การติดตั้งซอฟต์แวร์โดยการเลือกตัวเลือกขั้นสูง หรือกำหนดเองเสมอ เพื่อตรวจสอบการติดตั้งที่ไม่ได้รับความยินยอมใดๆ จากผู้ใช้ โดยการนำออกไปจากระบบคอมพิวเตอร์ผู้ใช้งานนั้นมีขั้นตอนที่ยุ่งยากกว่าขั้นตอนปรกติ บางโปรแกรมป้องกันไวรัส หรือซอฟต์แวร์ปกป้องความปลอดภัยจะสแกนและป้องกันระบบของคุณเพื่อป้องกัน Potentially Unwanted Program ในขั้นตอนแรกที่ถูกเรียกใช้ โดยมีคำแนะนำจากเหล่าผู้ผลิตซอฟต์แวร์ปกป้องคามปลอดภัยว่าควรหลีกเลี่ยงการติดตั้งซอฟต์แวร์ฟรีแวร์ที่มี PUP มาพร้อมด้วย เพื่อป้องกันปัญหาทางกฎหมายใด ๆ ที่อาจเกิดขึ้นได้จากการยอมรับการติดตั้งซอฟต์แวร์พรีแวร์ดังกล่าว เนื่องจาก Potentially Unwanted Program นั้นมีการแจ้งข้อกำหนดที่อยู่ในรูปแบบสัญญาการให้สิทธิในการใช้ซอฟต์แวร์ (end user license agreement; EULA) ซึ่งอาจนำไปสู่การฟ้องร้องต่อความเสียหายที่เกิดขึ้นไม่ได้ เนื่องจากผู้ใช้งานได้ยอมรับเงื่อนไขดังกล่าวในขณะที่เริ่มต้นติดตั้งซอฟต์แวร์ดังกล่าวลงไปแล้ว

2014-07-23_113317
แผนภาพแสดงพฤติกรรมต่างๆ ที่เข้าค่าย PUP จากรายงาน Potentially Unwanted Program จาก McAfee

อ้างอิง

http://www.webopedia.com
http://www.malwarebytes.org
http://www.symantec.com
http://www.bitdefender.com
http://www.pandasecurity.com