Black Hat Asia 2023

หลายล้านอุปกรณ์ IoT ใช้ Private Key ร่วมกัน เสี่ยงถูกโจมตีแบบ Man-in-the-Middle

SEC Consult บริษัทผู้ให้คำปรึกษาทางด้านความปลอดภัยของยุโรป ได้ออกมาเปิดเผยผลการตรวจสอบอุปกรณ์ Internet of Things หรือ Embedded Device หลายล้านชิ้นทั่วโลก พบว่าอุปกรณ์เหล่านี้มีการใช้ TLS และ SSH Private Key ร่วมกัน ส่งผลให้ถ้า Key หลุดรอดไปถึงมือแฮ็คเกอร์ แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-middle อุปกรณ์อื่นๆในเครือเดียวกันได้ทันที

Credit: Anna Bardocz/ShutterStock
Credit: Anna Bardocz/ShutterStock

อุปกรณ์ IoT กว่า 4,000,000 เครื่องใช้ Privae Key ร่วมกัน 230 แบบ

SEC Consult ได้ทำการวิเคราะห์เฟิร์มแวร์ของอุปกรณ์ IoT เช่น Router, Modem, IP Camera, VoIP Phone และอื่นๆ กว่า 4,000 รุ่น จาก 70 แบรนด์ทั่วโลก พบว่ามีการใช้ Private Key สำหรับ SH และ HTTPS แตกต่างกันเพียงแค่ 580 แบบ หลายอุปกรณ์ IoT ยี่ห้อเดียวกันส่วนใหญ่จะมีการแชร์ Private Key ร่วมกัน หรือบางครั้งก็มีการแชร์ร่วมกับยี่ห้ออื่นด้วยเช่นกัน แต่พบเป็นส่วนน้อย

จากการตรวจสอบ Key ทั้ง 580 แบบด้วยการสแกนระบบอินเทอร์เน็ตสาธารณะ พบว่ามี Key 230 แบบที่ถูกใช้งานโดยอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตกว่า 4,000,000 เครื่อง โดยแบ่งเป็น

  • 3,200,000 เครื่อง มีการใช้ TLS Private Key ร่วมกัน 150 แบบ
  • 900,000 เครื่อง มีการใช้ SSH Private Key ร่วมกัน 80 แบบ

พึงระลึกไว้ว่า Key เหล่านี้ได้มากจากการสแกนระบบอินเทอร์เน็ตทั่วๆไป ไม่ได้ใช้การแฮ็คหรือหลอกลวงข้อมูลจากผู้ใช้แต่อย่างใด สำหรับ Key ที่เหลืออีก 350 แบบนั้น ไม่พบการใช้งานบนอินเทอร์เน็ต ซึ่งเป็นไปได้ที่อาจถูกใช้งานเฉพาะภายในบริษัทหรือองค์กรแต่เพียงอย่างเดียว

เสี่ยงถูกขโมยรหัสผ่านจากการโจมตีแบบ Man-in-the-Middle

ผลลัพธ์ของการใช้ Key ร่วมกัน คือ ถ้าแฮ็คเกอร์สามารถดัก Private Key ของอุปกรณ์ใดอุปกรณ์หนึ่งได้ แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle กับอุปกรณ์อื่นๆในเครือเดียวกันได้ทันที กล่าวคือ แฮ็คเกอร์สามารถดักจับข้อมูลกลางทางระหว่างอุปกรณ์ IoT กับเครื่องเซิฟเวอร์ เพื่อแอบดูและแก้ไขเปลี่ยนแปลงข้อมูลก่อนที่จะส่งไปยังเป้าหมายตามความต้องการของตนได้

โดยเฉพาะ TLS Private Key ที่ใช้เข้ารหัสการสื่อสารระหว่างผู้ใช้และเว็บไซต์ ถ้าหลุดรอดไปถึงมือแฮ็คเกอร์ หมายความว่าแฮ็คเกอร์สามารถแกะรหัสข้อมูลเพื่อขโมยชื่อผู้ใช้ รหัสผ่าน ร่วมไปถึงข้อมูลสำคัญอื่นๆได้ทันที

Credit: BoBaa22/ShutterStock
Credit: BoBaa22/ShutterStock

คำแนะนำสำหรับเจ้าของผลิตภัณฑ์และผู้ใช้งาน

SEC Consult ให้คำแนะนำแก่เจ้าของผลิตภัณฑ์ IoT และ Embedded Device ว่า ควรมีการใช้ Key สำหรับเข้ารหัสที่แตกต่างกันสำหรับแต่ละอุปกรณ์ ซึ่ง Key เหล่านี้สามารถสร้างแบบสุ่มได้ขณะอยู่ในไลน์การผลิต หรือตอนเปิดเครื่องใช้งานครั้งแรก สำหรับอุปกรณ์ที่ใช้งานอยู่แล้ว เจ้าของผลิตภัณฑ์ควรออกเฟิร์มแวร์อัพเดทเพื่อแก้ปัญหาดังกล่าว

สำหรับผู้ใช้งานอุปกรณ์ IoT ทางที่ดีที่สุดคือสร้าง Key สำหรับใช้เข้ารหัสขึ้นมาใหม่ แต่วิธีนี้จำเป็นต้องใช้ความรู้เชิงเทคนิคพอสมควร ซึ่งอาจเกินความสามารถของคนทั่วไป

ที่มา: http://www.networkworld.com/article/3009139/millions-of-embedded-devices-use-the-same-hard-coded-ssh-and-tls-private-keys.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

MFEC: พลิกโฉมการจัดการ Infrastructure ตอบโจทย์ Modernize Application ด้วย VMware Tanzu

แนวคิดการยกเครื่องแอปพลิเคชันเดิมสู่บริบทของการทำงานสมัยใหม่หรือที่เรียกว่า Modernization นั้นเริ่มกลายเป็นนโยบายหลักขององค์กร เนื่องจากหลายปีที่ผ่านมาการก้าวเข้ามาของเทคโนโลยี Container นั้นได้สนับสนุนให้แนวคิดนี้ทำได้สะดวกขึ้น อีกทั้งยังช่วยให้แอปพลิเคชันสามารถนำพลังจากเทคโนโลยีคลาวด์มาใช้ได้อย่างเกิดประโยชน์สูงสุด แต่ในความเป็นจริงแล้วผู้ดูแลระบบไอทีขององค์กรกลับกำลังเผชิญกับความท้าทายมากมาย ซึ่ง VMware Tanzu คือแพลตฟอร์มที่จะช่วยให้องค์กรสามารถบรรลุเป้าหมายของการทำ Modernization ประสบความสำเร็จได้ โดยที่ยังรักษาระบบการทำงานแบบเดิม …

บริหารจัดการ Multi-Cloud ครบวงจรอย่างมั่นใจ ด้วย VMware Aria จาก Fujitsu

แม้ Multi-Cloud จะไม่ใช่เรื่องใหม่สำหรับธุรกิจองค์กรแล้วในทุกวันนี้ แต่การบริหารจัดการ Multi-Cloud ให้มีประสิทธิภาพได้อย่างรอบด้านนั้นก็ยังคงเป็นความท้าทายของผู้บริหารฝ่าย IT ในหลายองค์กร เพราะ Cloud แต่ละระบบนั้นต่างก็มีความแตกต่างในเชิงรายละเอียด และยากต่อการรวบรวมข้อมูลการใช้งานมาวิเคราะห์แบบรวมศูนย์