Microsoft Azure by Ingram Micro (Thailand)

ทีม X-Force ของ IBM ทำ Ethical Hacking เข้าไปยัง Smart Building ได้สำเร็จ

ทีม X-Force Ethical Hacking ของ IBM ได้ทำ Penetration Test ไปยังตึกออฟฟิศต่างๆ ที่มีการใช้เทคโนโลยี Building Automation Systems เพื่อควบคุม Sensor และตัววัดอุณหภูมิต่างๆ และพบว่าถึงแม้จะใช้เทคนิคเก่าๆ ในการโจมตีอย่างการเจาะช่องโหว่ของ Firewall ก็ทำให้ทีมของ IBM เข้าถึงระบบเครือข่ายภายในอาคาร ที่เชื่อมต่อกับระบบควบคุมอาคารได้แล้ว

Credit: ShutterStock.com
Credit: ShutterStock.com

จากนั้นทีมของ IBM ก็เจาะช่องโหว่ Remote Execution ต่อเพื่อเข้าถึงไฟล์ที่จัดเก็บ Password สำหรับควบคุมระบบควบคุมอาคารและการตั้งค่าของระบบควบคุมอาคารได้ แต่ก็พบกับปัญหาว่าไม่สามารถ Login เข้าไปได้เพราะระบบมีการทำ White List เอาไว้เพื่ออนุญาตเฉพาะการ Login จาก IP ภายในนั่นเอง

ทีม IBM จึงต้องขับรถไปที่บริเวณอาคารนั้น และทำการทดลองโจมตีต่อจากที่จอดรถจนสามารถเข้าถึงระบบควบคุมอาคารได้ ซึ่งการที่ผู้โจมตีสามารถเข้าถึงระบบควบคุมอาคารได้แบบนี้ถือเป็นอันตรายที่ร้ายแรงมาก ทาง IBM จึงได้ทำการแจ้งไปยังผู้ผลิตระบบควบคุมอาคารเหล่านี้ถึงปัญหาที่พบ และผู้ติดตั้งระบบควบคุมอาคารนี้ เพื่อแก้ไขช่องโหว่ต่างๆ เหล่านี้ให้เรียบร้อย

นี่เป็นเพียงหนึ่งตัวอย่างทางด้านความปลอดภัยของ Internet of Things ที่กำลังจะเติบโตอย่างรวดเร็วเท่านั้น โดย Gartner ได้สำรวจมาว่าปัจจุบันมีอุปกรณ์ในระบบ Smart Building อยู่มากถึง 206 ล้านชิ้น และจะเพิ่มเป็น 648 ล้านชิ้นในปี 2017 ทั่วโลก ซึ่งนับว่าอันตรายมากหากปล่อยเอาไว้ให้ถูกโจมตีได้แบบนี้

IBM แนะนำว่าในโครงการ Smart Building เหล่านี้ควรจะมีส่วนของข้อกำหนดทางด้านความปลอดภัยที่ชัดเจน ไม่ว่าจะเป็นการตัดการเชื่อมต่อจาก Internet ภายนอก, การควบคุมความปลอดภัยในการเข้าถึงจาก VPN, การใช้ Two-factor Authentication, การทำ Audit, การทำ Penetration Test และการทำ Security Assessment เข้าไปด้วย อีกทั้งยังควรทบทวนสัญญาส่วนนี้เพิ่มได้เรื่อยๆ เพื่อให้การรับมือกับภัยคุกคามหรือเหตุการณ์ที่ไม่คาดฝันเป็นไปได้อย่างสมบูรณ์

ที่มา: http://www.networkworld.com/article/3031247/security/ibms-x-force-team-hacks-into-smart-building.html#tk.rss_all

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เอชพี เปิดตัวพอร์ตโฟลิโอที่หลากหลายที่สุดในกลุ่มผลิตภัณฑ์ AI PCs [PR]

เอชพี เปิดตัวพอร์ตโฟลิโอที่หลากหลายที่สุดในกลุ่มผลิตภัณฑ์ AI PCs ขับเคลื่อน ด้วยขุมพลัง AI ยกระดับประสิทธิภาพการทำงาน การสร้างสรรค์ และประสบการณ์ของผู้ใช้ในสภาพแวดล้อม การทำงานแบบไฮบริด

Microsoft ยกเลิกการใช้ 1024-bit RSA Key บน Windows แล้ว

Microsoft ประกาศยกเลิกการใช้กุญแจเข้ารหัส 1024-bit RSA Key บน Windows แล้ว เปลี่ยนไปใช้กุญแจเข้ารหัสความยาว 2048-bit เป็นอย่างน้อย