หลายล้านอุปกรณ์ IoT ใช้ Private Key ร่วมกัน เสี่ยงถูกโจมตีแบบ Man-in-the-Middle

SEC Consult บริษัทผู้ให้คำปรึกษาทางด้านความปลอดภัยของยุโรป ได้ออกมาเปิดเผยผลการตรวจสอบอุปกรณ์ Internet of Things หรือ Embedded Device หลายล้านชิ้นทั่วโลก พบว่าอุปกรณ์เหล่านี้มีการใช้ TLS และ SSH Private Key ร่วมกัน ส่งผลให้ถ้า Key หลุดรอดไปถึงมือแฮ็คเกอร์ แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-middle อุปกรณ์อื่นๆในเครือเดียวกันได้ทันที

อุปกรณ์ IoT กว่า 4,000,000 เครื่องใช้ Privae Key ร่วมกัน 230 แบบ

SEC Consult ได้ทำการวิเคราะห์เฟิร์มแวร์ของอุปกรณ์ IoT เช่น Router, Modem, IP Camera, VoIP Phone และอื่นๆ กว่า 4,000 รุ่น จาก 70 แบรนด์ทั่วโลก พบว่ามีการใช้ Private Key สำหรับ SH และ HTTPS แตกต่างกันเพียงแค่ 580 แบบ หลายอุปกรณ์ IoT ยี่ห้อเดียวกันส่วนใหญ่จะมีการแชร์ Private Key ร่วมกัน หรือบางครั้งก็มีการแชร์ร่วมกับยี่ห้ออื่นด้วยเช่นกัน แต่พบเป็นส่วนน้อย

จากการตรวจสอบ Key ทั้ง 580 แบบด้วยการสแกนระบบอินเทอร์เน็ตสาธารณะ พบว่ามี Key 230 แบบที่ถูกใช้งานโดยอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตกว่า 4,000,000 เครื่อง โดยแบ่งเป็น

• 3,200,000 เครื่อง มีการใช้ TLS Private Key ร่วมกัน 150 แบบ
• 900,000 เครื่อง มีการใช้ SSH Private Key ร่วมกัน 80 แบบ

พึงระลึกไว้ว่า Key เหล่านี้ได้มากจากการสแกนระบบอินเทอร์เน็ตทั่วๆไป ไม่ได้ใช้การแฮ็คหรือหลอกลวงข้อมูลจากผู้ใช้แต่อย่างใด สำหรับ Key ที่เหลืออีก 350 แบบนั้น ไม่พบการใช้งานบนอินเทอร์เน็ต ซึ่งเป็นไปได้ที่อาจถูกใช้งานเฉพาะภายในบริษัทหรือองค์กรแต่เพียงอย่างเดียว

เสี่ยงถูกขโมยรหัสผ่านจากการโจมตีแบบ Man-in-the-Middle

ผลลัพธ์ของการใช้ Key ร่วมกัน คือ ถ้าแฮ็คเกอร์สามารถดัก Private Key ของอุปกรณ์ใดอุปกรณ์หนึ่งได้ แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle กับอุปกรณ์อื่นๆในเครือเดียวกันได้ทันที กล่าวคือ แฮ็คเกอร์สามารถดักจับข้อมูลกลางทางระหว่างอุปกรณ์ IoT กับเครื่องเซิฟเวอร์ เพื่อแอบดูและแก้ไขเปลี่ยนแปลงข้อมูลก่อนที่จะส่งไปยังเป้าหมายตามความต้องการของตนได้

โดยเฉพาะ TLS Private Key ที่ใช้เข้ารหัสการสื่อสารระหว่างผู้ใช้และเว็บไซต์ ถ้าหลุดรอดไปถึงมือแฮ็คเกอร์ หมายความว่าแฮ็คเกอร์สามารถแกะรหัสข้อมูลเพื่อขโมยชื่อผู้ใช้ รหัสผ่าน ร่วมไปถึงข้อมูลสำคัญอื่นๆได้ทันที

คำแนะนำสำหรับเจ้าของผลิตภัณฑ์และผู้ใช้งาน

SEC Consult ให้คำแนะนำแก่เจ้าของผลิตภัณฑ์ IoT และ Embedded Device ว่า ควรมีการใช้ Key สำหรับเข้ารหัสที่แตกต่างกันสำหรับแต่ละอุปกรณ์ ซึ่ง Key เหล่านี้สามารถสร้างแบบสุ่มได้ขณะอยู่ในไลน์การผลิต หรือตอนเปิดเครื่องใช้งานครั้งแรก สำหรับอุปกรณ์ที่ใช้งานอยู่แล้ว เจ้าของผลิตภัณฑ์ควรออกเฟิร์มแวร์อัพเดทเพื่อแก้ปัญหาดังกล่าว

สำหรับผู้ใช้งานอุปกรณ์ IoT ทางที่ดีที่สุดคือสร้าง Key สำหรับใช้เข้ารหัสขึ้นมาใหม่ แต่วิธีนี้จำเป็นต้องใช้ความรู้เชิงเทคนิคพอสมควร ซึ่งอาจเกินความสามารถของคนทั่วไป

ที่มา: http://www.networkworld.com/article/3009139/millions-of-embedded-devices-use-the-same-hard-coded-ssh-and-tls-private-keys.html