CDIC 2023

10 อันดับภัยคุกคามบน Internet of Things โดย OWASP ประจำปี 2014

owasp_logo

ในปัจจุบันที่อุปกรณ์ในชีวิตประจำวันของเราสามารถเชื่อมต่ออินเตอร์เน็ตเพื่อรับส่งข้อมูลหากันได้ ไม่ว่าจะเป็นโทรศัพท์มือถือ รถยนต์ ระบบไฟ ตู้เย็น ทีวี และอื่นๆ จึงเกิดเป็นคอนเซ็ปต์ของ Internet of Things ขึ้น OWASP หรือ Open Web Application Security Project องค์กรไม่แสวงหาผลกำไรที่มุ่งเน้นการพัฒนาระบบความปลอดภัยบนซอฟต์แวร์ ได้ทำการวิจัยเพื่อค้นหาความเสี่ยงหรืออันตรายที่มีต่อ Internet of Things ซึ่งจะแสดงในบทความนี้

10 อันดับ OWASP Internet of Things เป็นโปรเจ็คท์ที่ถูกออกแบบมาเพื่อช่วยให้บริษัท, นักพัฒนา และผู้บริโภค ได้เข้าใจถึงประเด็นด้านความปลอดภัยที่เกี่ยวข้องกับ Internet of Things และช่วยสนับสนุนการตัดสินใจของผู้ใช้ในการสร้าง ติดตั้ง หรือประเมินเทคโนโลยี Internet of Things โดยรูปแบบภัยคุกคามทั้ง 10 อันดับนี้ จะแสดงข้อมูลเกี่ยวกับการโจมตี, ความรุนแรง, ช่องโหว่ และผลกระทบที่อาจเกิดขึ้น ผู้ที่สนใจดูรายละเอียด สามารถเลือกคลิ๊กบนภัยคุกคามที่สนใจได้ทันที

1. เว็บอินเตอร์เฟสไม่ปลอดภัย (โจมตี: ง่าย / ผลกระทบ: รุนแรง)
คือ เว็บที่มีระบบลงทะเบียนผู้ใช้ไม่รัดกุม เช่น ชื่อผู้ใช้/รหัสผ่านง่ายเกินไป หรือไม่มีระบบห้ามล็อกอินเมื่อใส่รหัสผ่านผิดเกิน 5 ครั้ง เป็นต้น รวมทั้งไม่มีระบบป้องกัน XSS, SQL Injection และ CSRF ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

2. การพิสูจน์ตัวตน/การกำหนดสิทธิ์ไม่เพียงพอ (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์สามารถเดารหัสผ่าน, ใช้กลไกของ Password Recovery ที่ไม่ปลอดภัย หรือระบบ Access Control ที่ไม่แข็งแกร่งในการเจาะเข้าสู่ระบบ ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

3. บริการด้านเครือข่ายไม่ปลอดภัย (โจมตี: ปานกลาง / ผลกระทบ: ปานกลาง)
ระบบให้บริการเครือข่ายมีช่องโหว่ต่อการถูกโจมตี หรือช่วยให้แฮ็คเกอร์มีช่องทางในการโจมตีอุปกรณ์ต่างๆ ส่งผลให้อาจถูกโจมตีแบบ DoS หรือ Buffer Overflow ได้

4. การเข้ารหัสข้อมูลไม่แข็งแกร่ง (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์สามารถแอบดูข้อมูลที่ส่งผ่านระบบเครือข่ายได้ ส่งผลให้ข้อมูลสำคัญถูกขโมย หรือเปิดเผยสู้โลกภายนอก

5. นโยบายความเป็นส่วนบุคคล (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์ใช้การโจมตีที่หลากหลาย เช่น ข้อ 1 – 4 ในการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ที่ไม่ได้ถูกป้องกันอย่างแน่นหนาเพียงพอ ส่งผลให้ข้อมูลส่วนตัวถูกขโมยหรือเปิดเผยสู่ภายนอก

6. คลาวด์อินเตอร์เฟสไม่ปลอดภัย (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์ใช้การโจมตีที่หลากหลาย เช่น ข้อ 1 – 4 ในการเข้าถึงข้อมูลหรือเข้าควบคุมระบบผ่านทางคลาวด์เว็บไซต์ ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

7. โมบายล์อินเตอร์เฟสไม่ปลอดภัย (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์ใช้การโจมตีที่หลากหลาย เช่น ข้อ 1 – 4 ในการเข้าถึงข้อมูลหรือเข้าควบคุมระบบผ่านทางอินเตอร์เฟสของอุปกรณ์โมบายล์ ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

8. การตั้งค่าความปลอดภัยไม่ดีพอ (โจมตี: ปานกลาง / ผลกระทบ: ปานกลาง)
อุปกรณ์มีการกำหนดสิทธิ์ในการเข้าถึงข้อมูลและการควบคุมไม่ดีพอ แฮ็คเกอร์สามารถใช้ช่องโหว่เรื่องการเข้ารหัสหรือการใช้รหัสผ่านที่ง่ายจนเกินไปในการโจมตีอุปกรณ์หรือเข้าถึงข้อมูลสำคัญได้ ส่งผลให้อุปกรณ์ถูกเจาะเพื่อขโมยข้อมูลออกไปได้

9. ซอฟต์แวร์/เฟิร์มแวร์ไม่ปลอดภัย (โจมตี: ยาก / ผลกระทบ: รุนแรง)
แฮ็คเกอร์สามารถตรวจจับการอัพเดทผ่านช่องทางที่ไม่ได้เข้ารหัสได้ ทำให้แฮ็คเกอร์สามารถส่งปลอมแปลงไฟล์อัพเดทผ่านทางการทำ DNS Hijacking ได้ นอกจากนี้ แฮ็คเกอร์สามารถตรวจสอบข้อมูลของการอัพเดท ซึ่งทำให้ทราบได้ว่าซอฟต์แวร์หรือเฟิร์มแวร์ในปัจจุบันมีช่องโหว่อะไรอยู่บ้าง ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

10. ปัญหาเชิงกายภาพของอุปกรณ์รักษาความปลอดภัย (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
อุปกรณ์รักษาความปลอดภัยไม่ได้ปิดกั้นหรือควบคุมการใช้ USB, SD Card หรืออุปกรณ์เก็บข้อมูลประเภทอื่นๆ ซึ่งอาจถูกใช้เป็นช่องทางในการเข้าถึงระบบปฏิบัติการหรือข้อมูลที่ถูกเก็บไว้ในอุปกรณ์ได้ ส่งผลให้อุปกรณ์ถูกเจาะเพื่อขโมยข้อมูลออกไปได้

Credit: Anna Bardocz/ShutterStock
Credit: Anna Bardocz/ShutterStock

รายละเอียดเพิ่มเติม: https://www.owasp.org/index.php/Top_10_2014-I1_Insecure_Web_Interface


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

5 เครื่องมือโอเพ่นซอร์สสแกนหาช่องโหว่

หลายท่านอาจคงมีเครื่องมือการสแกนหาช่องโหว่อยู่แล้วในมุมมองต่างๆ แต่ในบทความนี้เราขอพาทุกท่านไปรู้จักกับ 5 เครื่องมือฟรี ที่ช่วยตอบโจทย์การค้นหาช่องโหว่

เชิญร่วมงานสัมมนาออนไลน์ Unlock the Limits of Your SAP System with Google Cloud โดย Tangerine [18 ต.ค. 2023]

พลาดไม่ได้! สำหรับองค์กรที่ใช้ระบบ SAP ซึ่งนับเป็นระบบสำคัญที่อยู่เบื้องหลังในการดำเนินธุรกิจให้สำเร็จ ซึ่งภายใต้การแข่งขันที่สูงขึ้นความสำคัญก็ยิ่งเพิ่มขึ้นตามไปด้วย ฉะนั้นจะทำอย่างไร? ให้ธุรกิจสามารถรองรับการใช้งานตามความต้องการที่มีการเปลี่ยนแปลงอยู่เสมอ และจะดีกว่าหรือไม่ หากสามารถนำข้อมูลภายใน SAP มาประยุกต์ใช้กับข้อมูลภายนอก สร้าง Analytics Dashboard ได้ง่ายและรวดเร็ว …