10 อันดับภัยคุกคามบน Internet of Things โดย OWASP ประจำปี 2014

owasp_logo

ในปัจจุบันที่อุปกรณ์ในชีวิตประจำวันของเราสามารถเชื่อมต่ออินเตอร์เน็ตเพื่อรับส่งข้อมูลหากันได้ ไม่ว่าจะเป็นโทรศัพท์มือถือ รถยนต์ ระบบไฟ ตู้เย็น ทีวี และอื่นๆ จึงเกิดเป็นคอนเซ็ปต์ของ Internet of Things ขึ้น OWASP หรือ Open Web Application Security Project องค์กรไม่แสวงหาผลกำไรที่มุ่งเน้นการพัฒนาระบบความปลอดภัยบนซอฟต์แวร์ ได้ทำการวิจัยเพื่อค้นหาความเสี่ยงหรืออันตรายที่มีต่อ Internet of Things ซึ่งจะแสดงในบทความนี้

10 อันดับ OWASP Internet of Things เป็นโปรเจ็คท์ที่ถูกออกแบบมาเพื่อช่วยให้บริษัท, นักพัฒนา และผู้บริโภค ได้เข้าใจถึงประเด็นด้านความปลอดภัยที่เกี่ยวข้องกับ Internet of Things และช่วยสนับสนุนการตัดสินใจของผู้ใช้ในการสร้าง ติดตั้ง หรือประเมินเทคโนโลยี Internet of Things โดยรูปแบบภัยคุกคามทั้ง 10 อันดับนี้ จะแสดงข้อมูลเกี่ยวกับการโจมตี, ความรุนแรง, ช่องโหว่ และผลกระทบที่อาจเกิดขึ้น ผู้ที่สนใจดูรายละเอียด สามารถเลือกคลิ๊กบนภัยคุกคามที่สนใจได้ทันที

1. เว็บอินเตอร์เฟสไม่ปลอดภัย (โจมตี: ง่าย / ผลกระทบ: รุนแรง)
คือ เว็บที่มีระบบลงทะเบียนผู้ใช้ไม่รัดกุม เช่น ชื่อผู้ใช้/รหัสผ่านง่ายเกินไป หรือไม่มีระบบห้ามล็อกอินเมื่อใส่รหัสผ่านผิดเกิน 5 ครั้ง เป็นต้น รวมทั้งไม่มีระบบป้องกัน XSS, SQL Injection และ CSRF ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

2. การพิสูจน์ตัวตน/การกำหนดสิทธิ์ไม่เพียงพอ (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์สามารถเดารหัสผ่าน, ใช้กลไกของ Password Recovery ที่ไม่ปลอดภัย หรือระบบ Access Control ที่ไม่แข็งแกร่งในการเจาะเข้าสู่ระบบ ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

3. บริการด้านเครือข่ายไม่ปลอดภัย (โจมตี: ปานกลาง / ผลกระทบ: ปานกลาง)
ระบบให้บริการเครือข่ายมีช่องโหว่ต่อการถูกโจมตี หรือช่วยให้แฮ็คเกอร์มีช่องทางในการโจมตีอุปกรณ์ต่างๆ ส่งผลให้อาจถูกโจมตีแบบ DoS หรือ Buffer Overflow ได้

4. การเข้ารหัสข้อมูลไม่แข็งแกร่ง (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์สามารถแอบดูข้อมูลที่ส่งผ่านระบบเครือข่ายได้ ส่งผลให้ข้อมูลสำคัญถูกขโมย หรือเปิดเผยสู้โลกภายนอก

5. นโยบายความเป็นส่วนบุคคล (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์ใช้การโจมตีที่หลากหลาย เช่น ข้อ 1 – 4 ในการเข้าถึงข้อมูลส่วนบุคคลของผู้ใช้ที่ไม่ได้ถูกป้องกันอย่างแน่นหนาเพียงพอ ส่งผลให้ข้อมูลส่วนตัวถูกขโมยหรือเปิดเผยสู่ภายนอก

6. คลาวด์อินเตอร์เฟสไม่ปลอดภัย (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์ใช้การโจมตีที่หลากหลาย เช่น ข้อ 1 – 4 ในการเข้าถึงข้อมูลหรือเข้าควบคุมระบบผ่านทางคลาวด์เว็บไซต์ ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

7. โมบายล์อินเตอร์เฟสไม่ปลอดภัย (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
แฮ็คเกอร์ใช้การโจมตีที่หลากหลาย เช่น ข้อ 1 – 4 ในการเข้าถึงข้อมูลหรือเข้าควบคุมระบบผ่านทางอินเตอร์เฟสของอุปกรณ์โมบายล์ ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

8. การตั้งค่าความปลอดภัยไม่ดีพอ (โจมตี: ปานกลาง / ผลกระทบ: ปานกลาง)
อุปกรณ์มีการกำหนดสิทธิ์ในการเข้าถึงข้อมูลและการควบคุมไม่ดีพอ แฮ็คเกอร์สามารถใช้ช่องโหว่เรื่องการเข้ารหัสหรือการใช้รหัสผ่านที่ง่ายจนเกินไปในการโจมตีอุปกรณ์หรือเข้าถึงข้อมูลสำคัญได้ ส่งผลให้อุปกรณ์ถูกเจาะเพื่อขโมยข้อมูลออกไปได้

9. ซอฟต์แวร์/เฟิร์มแวร์ไม่ปลอดภัย (โจมตี: ยาก / ผลกระทบ: รุนแรง)
แฮ็คเกอร์สามารถตรวจจับการอัพเดทผ่านช่องทางที่ไม่ได้เข้ารหัสได้ ทำให้แฮ็คเกอร์สามารถส่งปลอมแปลงไฟล์อัพเดทผ่านทางการทำ DNS Hijacking ได้ นอกจากนี้ แฮ็คเกอร์สามารถตรวจสอบข้อมูลของการอัพเดท ซึ่งทำให้ทราบได้ว่าซอฟต์แวร์หรือเฟิร์มแวร์ในปัจจุบันมีช่องโหว่อะไรอยู่บ้าง ส่งผลให้ข้อมูลอาจถูกขโมย หรืออุปกรณ์อาจถูกแย่งสิทธิ์ควบคุมได้

10. ปัญหาเชิงกายภาพของอุปกรณ์รักษาความปลอดภัย (โจมตี: ปานกลาง / ผลกระทบ: รุนแรง)
อุปกรณ์รักษาความปลอดภัยไม่ได้ปิดกั้นหรือควบคุมการใช้ USB, SD Card หรืออุปกรณ์เก็บข้อมูลประเภทอื่นๆ ซึ่งอาจถูกใช้เป็นช่องทางในการเข้าถึงระบบปฏิบัติการหรือข้อมูลที่ถูกเก็บไว้ในอุปกรณ์ได้ ส่งผลให้อุปกรณ์ถูกเจาะเพื่อขโมยข้อมูลออกไปได้

Credit: Anna Bardocz/ShutterStock
Credit: Anna Bardocz/ShutterStock

รายละเอียดเพิ่มเติม: https://www.owasp.org/index.php/Top_10_2014-I1_Insecure_Web_Interface


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนผู้ใช้ VLC เล่นไฟล์วิดีโอแปลกปลอมเสี่ยงถูกแฮ็กได้

Symeon Paraschoudis นักวิจัยด้านความมั่นคงปลอดภัยจาก Pen Test Partners ออกมาแจ้งเตือนถึงช่องโหว่บน VLC แอปพลิเคชันสำหรับเล่นวิดีโอยอดนิยม ซึ่งช่วยให้แฮ็กเกอร์สามารถเข้าควบคุมระบบคอมพิวเตอร์จากระยะไกล ถ้าผู้ใช้เผลอเล่นไฟล์วิดีโออะไรก็ไม่รู้ที่ดาวน์โหลดมาจากอินเทอร์เน็ต

UiPath ขอเชิญร่วม Meeting ในหัวข้อ Discovering the process for Automation 3 ก.ค. 2019

UiPath ขอเชิญผู้ที่สนใจเทคโนโลยี Robotic Process Automation (RPA) ทุกท่าน เข้าร่วมงาน Meeting ฟรี Discovering the process for Automation เพื่อเรียนรู้ว่าปัจจุบันนี้กระบวนการใดบ้างที่นิยมแปลงให้เป็นอัตโนมัติด้วย RPA ในวันที่ 3 ก.ค. 2019 โดยมีรายละเอียด กำหนดการ และวิธีการลงทะเบียนเข้าร่วมงานฟรีดังนี้