หลายล้านอุปกรณ์ IoT ใช้ Private Key ร่วมกัน เสี่ยงถูกโจมตีแบบ Man-in-the-Middle

SEC Consult บริษัทผู้ให้คำปรึกษาทางด้านความปลอดภัยของยุโรป ได้ออกมาเปิดเผยผลการตรวจสอบอุปกรณ์ Internet of Things หรือ Embedded Device หลายล้านชิ้นทั่วโลก พบว่าอุปกรณ์เหล่านี้มีการใช้ TLS และ SSH Private Key ร่วมกัน ส่งผลให้ถ้า Key หลุดรอดไปถึงมือแฮ็คเกอร์ แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-middle อุปกรณ์อื่นๆในเครือเดียวกันได้ทันที

Credit: Anna Bardocz/ShutterStock
Credit: Anna Bardocz/ShutterStock

อุปกรณ์ IoT กว่า 4,000,000 เครื่องใช้ Privae Key ร่วมกัน 230 แบบ

SEC Consult ได้ทำการวิเคราะห์เฟิร์มแวร์ของอุปกรณ์ IoT เช่น Router, Modem, IP Camera, VoIP Phone และอื่นๆ กว่า 4,000 รุ่น จาก 70 แบรนด์ทั่วโลก พบว่ามีการใช้ Private Key สำหรับ SH และ HTTPS แตกต่างกันเพียงแค่ 580 แบบ หลายอุปกรณ์ IoT ยี่ห้อเดียวกันส่วนใหญ่จะมีการแชร์ Private Key ร่วมกัน หรือบางครั้งก็มีการแชร์ร่วมกับยี่ห้ออื่นด้วยเช่นกัน แต่พบเป็นส่วนน้อย

จากการตรวจสอบ Key ทั้ง 580 แบบด้วยการสแกนระบบอินเทอร์เน็ตสาธารณะ พบว่ามี Key 230 แบบที่ถูกใช้งานโดยอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตกว่า 4,000,000 เครื่อง โดยแบ่งเป็น

  • 3,200,000 เครื่อง มีการใช้ TLS Private Key ร่วมกัน 150 แบบ
  • 900,000 เครื่อง มีการใช้ SSH Private Key ร่วมกัน 80 แบบ

พึงระลึกไว้ว่า Key เหล่านี้ได้มากจากการสแกนระบบอินเทอร์เน็ตทั่วๆไป ไม่ได้ใช้การแฮ็คหรือหลอกลวงข้อมูลจากผู้ใช้แต่อย่างใด สำหรับ Key ที่เหลืออีก 350 แบบนั้น ไม่พบการใช้งานบนอินเทอร์เน็ต ซึ่งเป็นไปได้ที่อาจถูกใช้งานเฉพาะภายในบริษัทหรือองค์กรแต่เพียงอย่างเดียว

เสี่ยงถูกขโมยรหัสผ่านจากการโจมตีแบบ Man-in-the-Middle

ผลลัพธ์ของการใช้ Key ร่วมกัน คือ ถ้าแฮ็คเกอร์สามารถดัก Private Key ของอุปกรณ์ใดอุปกรณ์หนึ่งได้ แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle กับอุปกรณ์อื่นๆในเครือเดียวกันได้ทันที กล่าวคือ แฮ็คเกอร์สามารถดักจับข้อมูลกลางทางระหว่างอุปกรณ์ IoT กับเครื่องเซิฟเวอร์ เพื่อแอบดูและแก้ไขเปลี่ยนแปลงข้อมูลก่อนที่จะส่งไปยังเป้าหมายตามความต้องการของตนได้

โดยเฉพาะ TLS Private Key ที่ใช้เข้ารหัสการสื่อสารระหว่างผู้ใช้และเว็บไซต์ ถ้าหลุดรอดไปถึงมือแฮ็คเกอร์ หมายความว่าแฮ็คเกอร์สามารถแกะรหัสข้อมูลเพื่อขโมยชื่อผู้ใช้ รหัสผ่าน ร่วมไปถึงข้อมูลสำคัญอื่นๆได้ทันที

Credit: BoBaa22/ShutterStock
Credit: BoBaa22/ShutterStock

คำแนะนำสำหรับเจ้าของผลิตภัณฑ์และผู้ใช้งาน

SEC Consult ให้คำแนะนำแก่เจ้าของผลิตภัณฑ์ IoT และ Embedded Device ว่า ควรมีการใช้ Key สำหรับเข้ารหัสที่แตกต่างกันสำหรับแต่ละอุปกรณ์ ซึ่ง Key เหล่านี้สามารถสร้างแบบสุ่มได้ขณะอยู่ในไลน์การผลิต หรือตอนเปิดเครื่องใช้งานครั้งแรก สำหรับอุปกรณ์ที่ใช้งานอยู่แล้ว เจ้าของผลิตภัณฑ์ควรออกเฟิร์มแวร์อัพเดทเพื่อแก้ปัญหาดังกล่าว

สำหรับผู้ใช้งานอุปกรณ์ IoT ทางที่ดีที่สุดคือสร้าง Key สำหรับใช้เข้ารหัสขึ้นมาใหม่ แต่วิธีนี้จำเป็นต้องใช้ความรู้เชิงเทคนิคพอสมควร ซึ่งอาจเกินความสามารถของคนทั่วไป

ที่มา: http://www.networkworld.com/article/3009139/millions-of-embedded-devices-use-the-same-hard-coded-ssh-and-tls-private-keys.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

บรรเทาปัญหา Chrome กินแรมด้วย 6 วิธี

วันนี้เรามีทิปเล็กน้อยจาก Zdnet มาฝากกันเพราะเห็นว่าหลายท่านมักพูดเป็นเสียงเดียวกันว่า Chrome บริโภคแรมสุดๆ กันไปเลย ลองมาดูกันว่ามี 6 วิธีการอย่างไรบ้าง

[Guest Post] Next Gen Data Center: มารู้จักกับเทคโนโลยีใหม่ Edge Data Center จาก Kanoksin Export Import ด้วยผู้นำเทคโนโลยีจาก RITTAL

Edge Data Center ออกแบบมาเพื่อ “ปกป้องธุรกิจ” “ลดต้นทุน” “จ่ายเท่าที่ใช้” เพราะ “Data Center เป็นหัวใจสำคัญในการขับเคลื่อนธุรกิจ”