Internet of Threats ความเสี่ยงที่มาพร้อมกับ IoT

24 มิถุนายน 2016

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

เนื่องจากภัยคุกคามบนอินเทอร์เน็ตในปัจจุบันนั้นถูกพบเห็นเป็นข่าวบ่อยขึ้นเรื่อยๆ ดังนั้นอุปกรณ์ IoT ที่มีการเชื่อมต่ออินเทอร์เน็ตจำนวนมากมาย จึงมีความน่าจะเป็นที่อาจจะถูกแฮ็กโดยผู้ไม่หวังดีได้มากขึ้นตามไปด้วย ดังตัวอย่างจากงาน DefCon ที่ประเทศจีนเมื่อปีที่ผ่านมา มีการแสดงโดยนักศึกษาจีนได้เข้าร่วมการแข่งขันที่ทาง Tesla ไม่ได้เป็นผู้ให้การสนับสนุนว่าเขาสามารถแฮ็กระบบควบคุมรถของ Tesla จนสามารถบังคับให้มีการเปิดประตูหรือซันรูฟในขณะที่รถกำลังวิ่งอยู่ได้ หรือแม้แต่การทำ PoC (Proof-of-Concept) ในการแฮ็กสมาร์ตทีวี, ระบบสแกนลายนิ้วมือบนสมาร์ตโฟน, อุปกรณ์เน็ตเวิร์ก, ระบบบ้านอัจฉริยะ, กล้องวงจรปิด และระบบกันขโมย ทำให้เห็นได้ว่า IoT นั้น นอกจากจะนำมาซึ่งความสะดวกสบายในชีวิตประจำวันของท่านแล้วยังนำมาซึ่งภัยคุกคามด้วยเช่นกัน ทำให้มีการเล่นคำว่า IoT นั้นมีอีกความหมายว่า Internet of Threats นั่นเอง

ไม่ว่าอุปกรณ์ใดๆ ก็ตามที่มีการเชื่อมต่อกับอินเทอร์เน็ต อุปกรณ์ตัวนั้นจะต้องพร้อมที่จะรับกับความเสี่ยงที่จะโดนแฮ็กข้อมูลหรือลุกล้ำเพื่อครอบครองโดยผู้ไม่หวังดี เพราะไม่ว่าคุณจะมีการป้องกันด้วยอุปกรณ์ Security ที่ดีเลิศที่สุดในโลก หรือคุณจะมีการเข้ารหัสข้อมูลหรือมีการป้องกันใดๆ ก็ตามที่เรียกได้ว่าดีที่สุดแข็งแรงที่สุด แต่ทันทีที่มันมีการเชื่อมต่อกับอินเทอร์เน็ตความเสี่ยงก็จะเกิดขึ้นทันที ซึ่งอุปกรณ์ IoT ก็ไม่สามารถปฏิเสธความเสี่ยงนี้ได้ แต่สิ่งที่น่ากลัวกว่าก็คืออุปกรณ์ IoT ในปัจจุบันนั้นก็เหมือนกับอุปกรณ์คอมพิวเตอร์หรือสมาร์ตโฟนรุ่นแรกๆ ที่เริ่มมีการเชื่อมต่ออินเทอร์เน็ตที่มีช่องโหว่มากมายให้ผู้บุกรุกสามารถเลือกสรรใช้ในการโจมตีอย่างสบายๆ ดังนั้นการตั้งอยู่ในความไม่ประมาทด้วยการพิจารณาอุปกรณ์ IoT ที่ท่านเลือกใช้ว่ามีมาตรการอย่างไรในการรักษาความปลอดภัยให้กับท่านได้ก่อนที่จะซื้อมาใช้งานก็จะช่วยให้ท่ามีความเสี่ยงลดลง (แต่ขอให้ระลึกไว้ว่าความเสี่ยงไม่มีทางเป็นศูนย์นะครับ)

Internet of Threats ความเสี่ยงที่มาพร้อมกับ IoT

โดยที่ในอดีตนั้นเราจะคิดว่าแฮกเกอร์นั้นมุ่งหวังที่จะโจมตีเฉพาะองค์กร เพราะผลลัพธ์ที่ได้นั้นคุ้มค่ามากกว่าการลงทุนลงแรงที่จะไปโจมตีที่ตัวบุคคล (ยกเว้นบุคคลสำคัญ) แต่ในปัจจุบันนั้นแฮกเกอร์เริ่มมุ่งเป้าไปที่อุปกรณ์ IoT ที่มีความง่ายในการโจมตี และผู้ใช้ส่วนใหญ่ยังขาดความระมัดระวังตัวด้วย ให้ลองคิดง่ายๆ ว่าถ้าคุณมีสมาร์ตโฟนที่เชื่อมต่อกับกล้องวงจรปิดและระบบป้องกันขโมยผ่านระบบคลาวด์ หากมีใครขโมยสมาร์ตโฟนของคุณไปก็สามารถที่จะควบคุมทุกอย่างในบ้านของคุณได้อย่างสบาย หรือแม้แต่ถ้าผู้บุกรุกสามารถแฮ็กระบบคลาวด์ได้ก็สามารถควบคุมทุกอย่างในบ้านของคุณได้เช่นกัน หรือบรรดารถอัจฉริยะรุ่มใหม่ๆ ที่มีระบบควบคุมอุปกรณ์ต่างๆ ในรถ รวมถึงการปลดล็อกและสตาร์ทรถ ใครสามารถแทรกแซงระบบได้ก็สามารถนำรถสุดหรูของคุณไปใช้หรือไปขายต่อตามชายแดนได้อย่างสบายๆ คุณยังจะคิดว่า Internet of Threats นั้นเป็นเรื่องไกลตัวคุณอีกต่อไปหรือไม่?

ทางออกของปัญหา

ดังสุภาษิตที่ว่าทุกปัญหามีทางออก ปัญหาเรื่องภัยคุกคามของ IoT เองก็เช่นกัน รูปแบบของปัญหาก็ไม่ได้แตกต่างจากความเสี่ยงบนอินเทอร์เน็ตที่เราคุ้นเคยกันอยู่แล้ว ไม่ว่าจะเป็นเทคนิคการโจมตีหรือการแฮ็กอุปกรณ์ IoT ก็ไม่ได้แตกต่างจากที่เคยเกิดขึ้นกับบรรดาเซิร์ฟเวอร์และระบบต่างๆ ที่ให้บริการบนอินเทอร์เน็ต เช่น การโจมตีช่องโหว่ที่มีการเปิดเผยต่อสาธารณะแล้ว แต่ไม่มีการจัดการแก้ไขแพตซ์ตามคำแนะนำของผู้ขาย หรือช่องโหว่จากฟีเจอร์ที่ใช้งานหรือแม้แต่ช่องโหว่ที่เกิดจากการเขียนซอฟต์แวร์ไม่รัดกุม เป็นต้น ดังนั้นวิธีการแก้ไขและป้องกันความเสี่ยงก็เลยไม่แตกต่างกัน ได้แก่

  1. การออกแบบโดยคำนึงถึงความปลอดภัย โดยที่ผู้ผลิตก็จะต้องคิดถึงความเสี่ยงที่มีโอกาสจะเกิดขึ้นกับผลิตภัณฑ์ที่ต้องการจะผลิตตั้งแต่ตอนออกแบบ ทดสอบว่าการป้องกันที่ออกแบบไว้นั้นเพียงพอจะป้องกันความเสี่ยงที่ได้คิดเอาไว้หรือไม่ก่อนที่จะนำออกมาจำหน่าย และควรตั้งค่า Default ของผลิตภัณฑ์ให้เป็นค่าที่ปลอดภัยเสมอ
  1. การใช้งานอย่างปลอดภัย เมื่อผู้ขายทำให้ผลิตภัณฑ์มีความปลอดภัยแล้ว คนใช้ก็ควรจะทำความเข้าใจกับมาตรฐานความปลอดภัย (Security Standard) ที่ผู้ผลิตแนะนำและใช้งานผลิตภัณฑ์นั้นอย่างปลอดภัย เช่น การเปลี่ยน Default Password เลือกเข้ารหัสข้อมูลที่สำคัญ และอัพเดตแพตซ์อย่างสม่ำเสมอ เป็นต้น
  1. การจัดการเมื่อเกิดเหตุผิดปกติ ในฐานะผู้ใช้ไม่ว่าจะเพื่อการใช้งานส่วนตัวหรือใช้สำหรับองค์กร เมื่อเกิดเหตุผิดปกติขึ้นผู้ใช้จะเป็นคนแรกๆ ที่รับรู้ถึงความผิดปกติที่เกิดขึ้น ดังนั้นผู้ใช้ควรจะทราบว่าเมื่อเกิดเหตุผิดปกติขึ้นจะต้องแจ้งเหตุกับใครหรือต้องทำอย่างไรบ้าง (รวมถึงวิธีการติดต่อกับผู้ผลิต) เหมือนกับตอนขึ้นเครื่องบิน ผู้โดยสารก็ต้องรู้ว่าทางออกฉุกเฉินอยู่ไหน และต้องทำอย่างไรเมื่อเกิดเหตุผิดปกติขึ้น
  1. การเข้าใจสิทธิของผู้ใช้ เรื่องนี้ต้องยอมรับว่าผู้ผลิตส่วนใหญ่ชอบให้ผู้ใช้ติ๊ก Agreed ให้ผู้ผลิตสามารถเข้าถึงข้อมูลของผู้ใช้ก่อนจึงจะสามารถใช้งานซอฟต์แวร์หรืออุปกรณ์ IoT ได้ ซึ่งหากมองเผินๆ ก็ดูเหมือนไม่มีอะไร แต่ถ้าบรรดาข้อมูลที่เก็บจากบรรดาอุปกรณ์อัจฉริยะเหล่านี้อยู่ในมือของคนอื่นแล้วคุณจะแน่ใจได้อย่างไรว่าตัวคุณนั้นปลอดภัย เช่น ถ้าคนร้ายสามารถ

แฮ็กบริษัทผู้ผลิตอุปกรณ์ IoT ที่คุณใช้งานอยู่จนสามารถรู้ที่อยู่ของคุณแล้วตามมาทำร้ายคุณ แล้วใครจะรับผิดชอบกับชีวิตของคุณ

บทความจาก CAT Club เล่ม 06 มิถุนายน ปี 2559

บทความที่เกี่ยวข้อง