โลกไซเบอร์กำลังก้าวเข้าสู่ยุค Internet of ‘Unpatchable’ Things อย่างไม่เต็มใจ ทั้งองค์กร ทั้ง Vendor อุปกรณ์ IoT ควรใส่ใจด้านความมั่นคงปลอดภัยมากขึ้น
Akamai ผู้ให้บริการเครือข่าย CDN ที่ใหญ่ที่สุดในโลก ออกมาเปิดเผยถึงเทคนิคการโจมตีที่ใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ Internet of Things เพื่อเข้าควบคุมและใช้เป็นตัวกลางในการโจมตีเป้าหมายจากระยะไกล ซึ่งกำลังเป็นแนวโน้มยอดนิยมของการโจมตีไซเบอร์ในปัจจุบัน โดยการโจมตีดังกล่าวถูกเรียกว่า SSHowDowN Proxy Attack

การโจมตีนี้ไม่ใช่เทคนิคใหม่แต่อย่างใด แต่เป็นการอาศัยช่องโหว่หรือจุดอ่อนบนการตั้งค่าแบบดั้งเดิมจากโรงงานของอุปกรณ์ IoT ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้างกองทัพซอมบี้ปริมาณมหาศาลเอาไว้ใช้โจมตีเป้าหมาย เช่น DDoS Attack ได้ตามต้องการ โดยการโจมตีแบบ SSHowDowN Proxy อาศัยช่องโหว่บน OpenSSH ที่มีอายุยาวนานถึง 12 ปี
Akamai ระบุว่า ได้ทำการสังเกตทราฟฟิคที่เกิดจากการโจมตีแบบ SSHowDowN Proxy พบว่ามาจากอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตเหล่านี้
- CCTV, NVR และ DVR (วิดีโอสำหรับเฝ้าระวัง)
- Satellite Antenna Equipment
- อุปกรณ์ Networking เช่น Router, Hotspot, WiMax, Cable และ ADSL Modem
- อุปกรณ์ NAS ที่เชื่อมต่อกับอินเทอร์เน็ต
- อุปกรณ์ Internet of Things อื่นๆ
เมื่อแฮ็คเกอร์สามารถเจาะผ่านช่องโหว่เข้าไปควบคุมอุปกรณ์นี้ได้แล้ว แฮ็คเกอร์สามารถทำการโจมตีอุปกรณ์หรือบริการอื่นๆ ที่เชื่อมต่อกับอินเทอร์เน็ตได้ทันที เช่น HTTP, SMTP และ Network Scanning หรือสามารถโจมตีระบบเครือข่ายภายในที่อุปกรณ์ IoT เหล่านั้นเชื่อมต่ออยู่ก็ได้เช่นกัน
“เรากำลังเข้าสู่ช่วงเวลาที่น่าสนใจเป็นอย่างยิ่ง หรืออาจกล่าวได้ว่าเป็นยุค ‘Internet of Unpatchable Things’ อุปกรณ์ใหม่ๆ ที่ถูกผลิตออกมาจากโรงงานไม่เพียงแค่มีช่องโหว่พร้อมให้แฮ็คเท่านั้น ยังหาวิธีที่จะจัดการกับช่องโหว่เหล่านั้นได้ยาก พวกเราทราบกันมาหลายปีแล้วว่า ในเชิงทฤษฎี เราสามารถนำอุปกรณ์ IoT มาโจมตีใส่กันได้ ก็คงต้องบอกว่าทฤษฎีดังกล่าวเป็นจริงแล้ว” — Eric Kobrin ผู้อำนวยการด้านความมั่นคงปลอดภัยของข้อมูลจาก Akamai กล่าว
วิธีรับมือกับ SSHowDowN Proxy Attacks
- ไม่ใช้รหัสผ่านและกุญแจสำหรับเข้ารหัส SSH ดั้งเดิมที่มาจากโรงงาน ทำการตั้งค่าใหม่ให้มีความแข็งแกร่ง อย่างไรก็ตาม วิธีการนี้อาจไม่สามารถทำได้กับอุปกรณ์ IoT โดยส่วนใหญ่
- ตั้งค่า SSH ของอุปกรณ์โดยไปที่ ~/ssh/authorized_ keys จากนั้นเพิ่ม “AllowTcpForwarding No”, “no-port-forwarding” และ “no-X11-forwarding”
- ยกเลิกการใช้ SSH ผ่านทาง Administrator Console
ในกรณีที่อุปกรณ์อยู่หลัง Firewall สามารถเพิ่มความมั่นคงปลอดภัยได้ดังนี้
- ปฏิเสธการเชื่อมต่อแบบ Inbound จากเครือข่ายภายนอกที่วิ่งผ่าน Port 22 ไปยังอุปกรณ์ IoT
- ปฏิเสธการเชื่อมต่อแบบ Outbound จากอุปกรณ์ IoT ทั้งหมด ยกเว้น IP และ Port ที่จำเป็นต้องใช้ในการปฏิบัติการจริงๆ
ที่มา: https://www.helpnetsecurity.com/2016/10/13/sshowdown-proxy-attacks/