[Black Hat Asia 2016] เผย 10 ปัญหาด้าน Wireless Security ของอุปกรณ์ Internet of things

black_hat_2016_logo

Tobias Zillner, Senior IS Auditor จาก Cognosec บริษัทที่ปรึกษาด้าน IT Security ชื่อดังจากประเทศออสเตรีย ได้ออกมาเปิดเผยถึง 10 ประเด็นด้านความมั่นคงปลอดภัยของระบบเครือข่ายสำหรับใช้เชื่อมต่อกับอุปกรณ์ Internet of Things ในงาน Black Hat Asia 2016 ที่เพิ่งจัดไปที่ประเทศสิงคโปร์

Internet of Things ปฏิวัติระบบอินเทอร์เน็ตให้เปลี่ยนไป

Internet of Things ถูกมองว่าเป็นการปฏิวัติระบบอินเทอร์เน็ตครั้งใหญ่ที่กำลังจะเกิดขึ้นในอนาคต ก่อให้เกิดเครือข่ายของการเชื่อมต่อระหว่างอุปกรณ์หลากหลายประเภท ไม่ว่าจะอยู่ที่ไหน หรือเวลาใดก็ตาม Gartner คาดการณ์ไว้ว่า ในปี 2020 จะมีอุปกรณื IoT มาถึง 26,000 ล้านชิ้น ด้วยปริมาณและความหลากหลายของอุปกรณ์ IoT ที่เพิ่มมากขึ้น ทำให้ IoT กลายเป็นที่สนใจของแฮ็คเกอร์ เนื่องจากยังไม่มีมาตรฐานที่ชัดเจนเพียงพอ

black_hat_asia_2016_2-1

การใช้งานและโปรโตคอลต่างจากอุปกรณ์ Wi-Fi ปกติ

อุปกรณ์ IoT ณ ปัจจุบันนี้มักเป็น Wireless Sensor ขนาดเล็ก ราคาถูก มีความสามารถในการใช้งานที่จำกัด เนื่องจากใช้สำหรับจัดเก็บข้อมูลแล้วส่งต่อมายังระบบศูนย์กลางเพื่อประมวลผล ทั้งยังไม่ได้ใช้โปรโตคอล TCP/IP ทำให้มีลักษณะที่แตกต่างออกไปจากอุปกรณ์ที่เชื่อมต่อ Wi-Fi ปกติ Wireless Sensor เหล่านี้จำเป็นต้องกินพลังงานน้อยเพื่อให้สามารถใช้งานได้เป็นระยะเวลานาน จึงได้มีการออกแบบโปรโตคอลสำหรับอุปกรณ์ IoT โดยเฉพาะขึ้น เช่น Zigbee และ Z-Wave ความใหม่ของมาตรฐานและโปรโตคอลเหล่านี้ ทำให้เกิดช่องว่างระหว่างการใช้งานและความมั่นคงปลอดภัยขึ้น

ยังขาดซึ่งความเป็นมาตรฐานสากล

Internet of Things กำลังอยู่ในช่วงพัฒนา ทำให้มีการออกแบบโปรโตคอล และแนวปฏิบัติใหม่ๆ มากมาย ซึ่งส่วนใหญ่ยังเป็นตัวต้นแบบ (Prototype) หรือพัฒนาเพื่อใช้เป็นโปรเจ็คท์ไป ส่งผลให้ยังไม่มีมาตรฐานที่ได้รับการยอมรับอย่างแพร่หลาย นอกจากนี้ยังมีปัญหาเรื่องการจัดทำเอกสาร ทำให้การนำสิ่งที่ผู้อื่นคิดค้นมาพัฒนาต่อเป็นไปได้อย่างยากลำบาก เหล่านี้เอง ทำให้ประเด็นเรื่องความมั่นคงปลอดภัยกลายเป็นเรื่องรองที่หลายฝ่ายยังไม่ให้ความสนใจ จึงเป็นจังหวะดีของแฮ็คเกอร์ที่จะโจมตีเพื่อขโมยข้อมูลขององค์กร

10 ปัญหาด้าน Wireless Security บนอุปกรณ์ IoT

  1. Unencrypted communication – ไม่มีการเข้ารหัสการติดต่อสื่อสารระหว่างอุปกรณ์ IoT ส่งผลให้แฮ็คเกอร์สามารถดักฟังข้อมูลบนอากาศได้
  2. No message freshness checks – ไม่มีการตรวจสอบว่าข้อมูลที่รับส่งหากันเป็นข้อมูล “ใหม่” หรือไม่ หรือเป็นข้อมูลที่เกิดจากการคัดลอกแล้วส่งซ้ำ (Replay Attack)
  3. Vulnerable key exchange – การแลกเปลี่ยนกุญแจสำหรับเข้ารหัสต่างจากโปรโตคอลปกติ บางครั้งอาจเกิดปัญหาจนรับส่งข้อมูลแบบ Plain-text ดื้อๆ แทน
  4. Jamming – เกิดการชนกันหรือการกวนกันของสัญญาณจากแหล่งอื่นๆ ที่ใช้คลื่นความถี่เดียวกัน
  5. Mixing unencrypted and encrypted communication – ช่องสัญญาณที่เข้ารหัสและไม่เข้ารหัสถูกใช้ร่วมกัน ทำให้ยากที่จะทราบได้ว่าข้อมูลที่ได้รับมามีการเข้ารหัสหรือไม่
  6. Weak Join/Pairing procedures – การเชื่อมต่อระหว่างอุปกรณ์ IoT ยังไม่มีมาตรฐานด้านความมั่นคงปลอดภัยที่แข็งแกร่งเพียงพอ อาจเป็นช่องโหว่ให้แฮ็คเกอร์เข้ามาร่วมเชื่อมต่อเพื่อขโมยข้อมูลได้
  7. Hardcoded secrets – มีการ Hardcode ข้อมูลที่เป็นความลับลงไปในโปรแกรม ซึ่งอาจรั่วไหลไปสู่ภายนอกได้
  8. Weak cryptography – เนื่องจากความสามารถในการประมวลที่จำกัด ทำให้การเข้ารหัสไม่แข็งแกร่งเหมือนระบบ Wi-Fi ปกติ
  9. No message authentication – ไม่มีการพิสูจน์ว่าข้อมูลที่รับส่งกันเป็นข้อมูลจริงและถูกต้อง อาจเป็นข้อมูลที่แฮ็คเกอร์ปลอมแปลงขึ้นก็ได้
  10. Insecure rejoin procedure – กระบวนการเชื่อมต่อใหม่ของอุปกรณ์ IoT ยังไม่มั่นคงปลอดภัยเพียงพอ แฮ็คเกอร์สามารถขโมยกุญแจที่ใช้เข้ารหัสมาได้ดื้อๆ

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

สู่ยุค Computational SSD: นำ Azure IoT Edge มาทำงานด้วยหน่วยประมวลผลบน SSD

หลังจากที่ปีที่แล้วแนวคิดด้าน Computational Storage นั้นเริ่มกลายเป็นที่ถูกกล่าวถึงในวงการ Storage ตอนนี้แนวคิดนี้ถูกนำมาสู่ SSD จนกลายเป็น Computational SSD แล้ว

Microsoft ประกาศเปิดตัว Azure Ultra Disk Storage ในสถานะ GA พร้อมใช้งานได้ 1 ต.ค. 2019

Microsoft ได้ออกมาประกาศให้ Azure Ultra Disk Storage บริการ Managed Disks ประสิทธิภาพสูงเข้าสู่สถานะ General Availability หรือ GA แล้ว