10 อันดับภัยคุกคามบน Internet of Things โดย OWASP ประจำปี 2014

ในปัจจุบันที่อุปกรณ์ในชีวิตประจำวันของเราสามารถเชื่อมต่ออินเตอร์เน็ตเพื่อรับส่งข้อมูลหากันได้ ไม่ว่าจะเป็นโทรศัพท์มือถือ รถยนต์ ระบบไฟ ตู้เย็น ทีวี และอื่นๆ จึงเกิดเป็นคอนเซ็ปต์ของ Internet of Things ขึ้น OWASP หรือ Open Web Application Security Project องค์กรไม่แสวงหาผลกำไรที่มุ่งเน้นการพัฒนาระบบความปลอดภัยบนซอฟต์แวร์ ได้ทำการวิจัยเพื่อค้นหาความเสี่ยงหรืออันตรายที่มีต่อ Internet of Things ซึ่งจะแสดงในบทความนี้

10 อันดับ OWASP Internet of Things เป็นโปรเจ็คท์ที่ถูกออกแบบมาเพื่อช่วยให้บริษัท, นักพัฒนา และผู้บริโภค ได้เข้าใจถึงประเด็นด้านความปลอดภัยที่เกี่ยวข้องกับ Internet of Things และช่วยสนับสนุนการตัดสินใจของผู้ใช้ในการสร้าง ติดตั้ง หรือประเมินเทคโนโลยี Internet of Things โดยรูปแบบภัยคุกคามทั้ง 10 อันดับนี้ จะแสดงข้อมูลเกี่ยวกับการโจมตี, ความรุนแรง, ช่องโหว่ และผลกระทบที่อาจเกิดขึ้น ผู้ที่สนใจดูรายละเอียด สามารถเลือกคลิ๊กบนภัยคุกคามที่สนใจได้ทันที

1. เว็บอินเตอร์เฟสไม่ปลอดภัย (โจมตี: ง่าย / ผลกระทบ: รุนแรง)
คือ เว็บที่มีระบบลงทะเบียนผู้ใช้ไม่รัดกุม เช่น ชื่อผู้ใช้/รหัสผ่านง่ายเกินไป หรือไม่มีระบบห้ามล็อกอินเมื่อใส่รหัสผ่านผิดเกิน 5 ครั้ง เป็นต้น รวมทั้งไม่มีระบบป้องกัน XSS, SQL Injection และ CSRF ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

2. การพิสูจน์ตัวตน/การกำหนดสิทธิ์ไม่เพียงพอ (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์สามารถเดารหัสผ่าน, ใช้กลไกของ Password Recovery ที่ไม่ปลอดภัย หรือระบบ Access Control ที่ไม่แข็งแกร่งในการเจาะเข้าสู่ระบบ ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

3. บริการด้านเครือข่ายไม่ปลอดภัย (โจมตี: ปานกลาง / ผลกระทบ: ปานกลาง)
ระบบให้บริการเครือข่ายมีช่องโหว่ต่อการถูกโจมตี หรือช่วยให้แฮ็คเกอร์มีช่องทางในการโจมตีอุปกรณ์ต่างๆ ส่งผลให้อาจถูกโจมตีแบบ DoS หรือ Buffer Overflow ได้

4. การเข้ารหัสข้อมูลไม่แข็งแกร่ง (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์สามารถแอบดูข้อมูลที่ส่งผ่านระบบเครือข่ายได้ ส่งผลให้ข้อมูลสำคัญถูกขโมย หรือเปิดเผยสู้โลกภายนอก

5. นโยบายความเป็นส่วนบุคคล (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์ใช้การโจมตีที่หลากหลาย เช่น ข้อ 1 – 4 ในการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ที่ไม่ได้ถูกป้องกันอย่างแน่นหนาเพียงพอ ส่งผลให้ข้อมูลส่วนตัวถูกขโมยหรือเปิดเผยสู่ภายนอก

6. คลาวด์อินเตอร์เฟสไม่ปลอดภัย (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์ใช้การโจมตีที่หลากหลาย เช่น ข้อ 1 – 4 ในการเข้าถึงข้อมูลหรือเข้าควบคุมระบบผ่านทางคลาวด์เว็บไซต์ ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

7. โมบายล์อินเตอร์เฟสไม่ปลอดภัย (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์ใช้การโจมตีที่หลากหลาย เช่น ข้อ 1 – 4 ในการเข้าถึงข้อมูลหรือเข้าควบคุมระบบผ่านทางอินเตอร์เฟสของอุปกรณ์โมบายล์ ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

8. การตั้งค่าความปลอดภัยไม่ดีพอ (โจมตี: ปานกลาง / ผลกระทบ: ปานกลาง)
อุปกรณ์มีการกำหนดสิทธิ์ในการเข้าถึงข้อมูลและการควบคุมไม่ดีพอ แฮ็คเกอร์สามารถใช้ช่องโหว่เรื่องการเข้ารหัสหรือการใช้รหัสผ่านที่ง่ายจนเกินไปในการโจมตีอุปกรณ์หรือเข้าถึงข้อมูลสำคัญได้ ส่งผลให้อุปกรณ์ถูกเจาะเพื่อขโมยข้อมูลออกไปได้

9. ซอฟต์แวร์/เฟิร์มแวร์ไม่ปลอดภัย (โจมตี: ยาก / ผลกระทบ: รุนแรง)
แฮ็คเกอร์สามารถตรวจจับการอัพเดทผ่านช่องทางที่ไม่ได้เข้ารหัสได้ ทำให้แฮ็คเกอร์สามารถส่งปลอมแปลงไฟล์อัพเดทผ่านทางการทำ DNS Hijacking ได้ นอกจากนี้ แฮ็คเกอร์สามารถตรวจสอบข้อมูลของการอัพเดท ซึ่งทำให้ทราบได้ว่าซอฟต์แวร์หรือเฟิร์มแวร์ในปัจจุบันมีช่องโหว่อะไรอยู่บ้าง ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

10. ปัญหาเชิงกายภาพของอุปกรณ์รักษาความปลอดภัย (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
อุปกรณ์รักษาความปลอดภัยไม่ได้ปิดกั้นหรือควบคุมการใช้ USB, SD Card หรืออุปกรณ์เก็บข้อมูลประเภทอื่นๆ ซึ่งอาจถูกใช้เป็นช่องทางในการเข้าถึงระบบปฏิบัติการหรือข้อมูลที่ถูกเก็บไว้ในอุปกรณ์ได้ ส่งผลให้อุปกรณ์ถูกเจาะเพื่อขโมยข้อมูลออกไปได้

รายละเอียดเพิ่มเติม: https://www.owasp.org/index.php/Top_10_2014-I1_Insecure_Web_Interface