TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Tobias Zillner, Senior IS Auditor จาก Cognosec บริษัทที่ปรึกษาด้าน IT Security ชื่อดังจากประเทศออสเตรีย ได้ออกมาเปิดเผยถึง 10 ประเด็นด้านความมั่นคงปลอดภัยของระบบเครือข่ายสำหรับใช้เชื่อมต่อกับอุปกรณ์ Internet of Things ในงาน Black Hat Asia 2016 ที่เพิ่งจัดไปที่ประเทศสิงคโปร์
Internet of Things ปฏิวัติระบบอินเทอร์เน็ตให้เปลี่ยนไป
Internet of Things ถูกมองว่าเป็นการปฏิวัติระบบอินเทอร์เน็ตครั้งใหญ่ที่กำลังจะเกิดขึ้นในอนาคต ก่อให้เกิดเครือข่ายของการเชื่อมต่อระหว่างอุปกรณ์หลากหลายประเภท ไม่ว่าจะอยู่ที่ไหน หรือเวลาใดก็ตาม Gartner คาดการณ์ไว้ว่า ในปี 2020 จะมีอุปกรณื IoT มาถึง 26,000 ล้านชิ้น ด้วยปริมาณและความหลากหลายของอุปกรณ์ IoT ที่เพิ่มมากขึ้น ทำให้ IoT กลายเป็นที่สนใจของแฮ็คเกอร์ เนื่องจากยังไม่มีมาตรฐานที่ชัดเจนเพียงพอ
การใช้งานและโปรโตคอลต่างจากอุปกรณ์ Wi-Fi ปกติ
อุปกรณ์ IoT ณ ปัจจุบันนี้มักเป็น Wireless Sensor ขนาดเล็ก ราคาถูก มีความสามารถในการใช้งานที่จำกัด เนื่องจากใช้สำหรับจัดเก็บข้อมูลแล้วส่งต่อมายังระบบศูนย์กลางเพื่อประมวลผล ทั้งยังไม่ได้ใช้โปรโตคอล TCP/IP ทำให้มีลักษณะที่แตกต่างออกไปจากอุปกรณ์ที่เชื่อมต่อ Wi-Fi ปกติ Wireless Sensor เหล่านี้จำเป็นต้องกินพลังงานน้อยเพื่อให้สามารถใช้งานได้เป็นระยะเวลานาน จึงได้มีการออกแบบโปรโตคอลสำหรับอุปกรณ์ IoT โดยเฉพาะขึ้น เช่น Zigbee และ Z-Wave ความใหม่ของมาตรฐานและโปรโตคอลเหล่านี้ ทำให้เกิดช่องว่างระหว่างการใช้งานและความมั่นคงปลอดภัยขึ้น
ยังขาดซึ่งความเป็นมาตรฐานสากล
Internet of Things กำลังอยู่ในช่วงพัฒนา ทำให้มีการออกแบบโปรโตคอล และแนวปฏิบัติใหม่ๆ มากมาย ซึ่งส่วนใหญ่ยังเป็นตัวต้นแบบ (Prototype) หรือพัฒนาเพื่อใช้เป็นโปรเจ็คท์ไป ส่งผลให้ยังไม่มีมาตรฐานที่ได้รับการยอมรับอย่างแพร่หลาย นอกจากนี้ยังมีปัญหาเรื่องการจัดทำเอกสาร ทำให้การนำสิ่งที่ผู้อื่นคิดค้นมาพัฒนาต่อเป็นไปได้อย่างยากลำบาก เหล่านี้เอง ทำให้ประเด็นเรื่องความมั่นคงปลอดภัยกลายเป็นเรื่องรองที่หลายฝ่ายยังไม่ให้ความสนใจ จึงเป็นจังหวะดีของแฮ็คเกอร์ที่จะโจมตีเพื่อขโมยข้อมูลขององค์กร
10 ปัญหาด้าน Wireless Security บนอุปกรณ์ IoT
- Unencrypted communication – ไม่มีการเข้ารหัสการติดต่อสื่อสารระหว่างอุปกรณ์ IoT ส่งผลให้แฮ็คเกอร์สามารถดักฟังข้อมูลบนอากาศได้
- No message freshness checks – ไม่มีการตรวจสอบว่าข้อมูลที่รับส่งหากันเป็นข้อมูล “ใหม่” หรือไม่ หรือเป็นข้อมูลที่เกิดจากการคัดลอกแล้วส่งซ้ำ (Replay Attack)
- Vulnerable key exchange – การแลกเปลี่ยนกุญแจสำหรับเข้ารหัสต่างจากโปรโตคอลปกติ บางครั้งอาจเกิดปัญหาจนรับส่งข้อมูลแบบ Plain-text ดื้อๆ แทน
- Jamming – เกิดการชนกันหรือการกวนกันของสัญญาณจากแหล่งอื่นๆ ที่ใช้คลื่นความถี่เดียวกัน
- Mixing unencrypted and encrypted communication – ช่องสัญญาณที่เข้ารหัสและไม่เข้ารหัสถูกใช้ร่วมกัน ทำให้ยากที่จะทราบได้ว่าข้อมูลที่ได้รับมามีการเข้ารหัสหรือไม่
- Weak Join/Pairing procedures – การเชื่อมต่อระหว่างอุปกรณ์ IoT ยังไม่มีมาตรฐานด้านความมั่นคงปลอดภัยที่แข็งแกร่งเพียงพอ อาจเป็นช่องโหว่ให้แฮ็คเกอร์เข้ามาร่วมเชื่อมต่อเพื่อขโมยข้อมูลได้
- Hardcoded secrets – มีการ Hardcode ข้อมูลที่เป็นความลับลงไปในโปรแกรม ซึ่งอาจรั่วไหลไปสู่ภายนอกได้
- Weak cryptography – เนื่องจากความสามารถในการประมวลที่จำกัด ทำให้การเข้ารหัสไม่แข็งแกร่งเหมือนระบบ Wi-Fi ปกติ
- No message authentication – ไม่มีการพิสูจน์ว่าข้อมูลที่รับส่งกันเป็นข้อมูลจริงและถูกต้อง อาจเป็นข้อมูลที่แฮ็คเกอร์ปลอมแปลงขึ้นก็ได้
- Insecure rejoin procedure – กระบวนการเชื่อมต่อใหม่ของอุปกรณ์ IoT ยังไม่มั่นคงปลอดภัยเพียงพอ แฮ็คเกอร์สามารถขโมยกุญแจที่ใช้เข้ารหัสมาได้ดื้อๆ
