หน้าแรก Security Hacker 10 จุดอ่อนด้านความปลอดภัยที่พบมากที่สุดในระบบ IoT

10 จุดอ่อนด้านความปลอดภัยที่พบมากที่สุดในระบบ IoT

แบ่งปัน

ทุกคนเคยได้ยินอยู่แล้วว่าการนำระบบ IoT มาใช้ทำให้เกิดความเสี่ยงด้านความปลอดภัยมากมาย โดยเฉพาะถ้าผู้จำหน่ายหรือผู้ผลิตไม่ได้คำนึงถึงเรื่องความปลอดภัยเป็นอันดับแรกๆ แต่เอาเข้าจริงแล้วรู้กันไหมเอ่ยว่าช่องโหว่ที่ควรกลัวมากที่สุดของระบบ IoT มีอะไรบ้าง

ที่เข้าหูเรากันบ่อยๆ ได้แก่ ช่องโหว่ที่เปิดให้อุปกรณ์ IoT จำนวนมากกลายเป็นฝูงซอมบี้บอทเน็ทขนาดใหญ่สำหรับเป็นเครื่องมือรุมโทรมเหยื่อแบบ DDoS แต่จริงๆ แล้ว ปัญหาใหญ่ที่สุด หรือช่องโหว่ที่ควรหลีกเลี่ยงมากที่สุดเวลาติดตั้งหรือจัดการระบบ IoT คืออะไรบ้างนั้น และเราสามารถจำกัดปัญหาดังกล่าวได้อย่างไรบ้าง ทางองค์กรที่ชื่อ Open Web Application Security Project (OWASP) จึงออกมารวบรวมช่องโหว่ด้านความปลอดภัยที่ท็อปฮิตมากที่สุดในช่วงปีที่ผ่านมา 10 อันดับแรกดังต่อไปนี้

1. การตั้งรหัสผ่านอ่อน เดาง่าย

การใช้รหัสที่เดาสุ่มได้ง่ายผ่านการยิงแบบ Brute-Forced, การใช้รหัสผ่านที่เห็นกันทั่วตามเน็ท, หรือการใช้รหัสผ่านเดิมเป็นระยะเวลานานโดยไม่เคยเปลี่ยน หรือแม้แต่การมีประตูหลังฝังมาในเฟิร์มแวร์หรือซอฟต์แวร์บนอุปกรณ์ที่เปิดให้คนอื่นเข้าถึงสำหรับติดตั้งแก้ไขการตั้งค่าได้นั้น ล้วนแต่เป็นมหันตภัยร้ายสำหรับอุปกรณ์ที่เชื่อมต่อเครือข่ายได้ทั้งสิ้นไม่เว้นแม้แต่ IoT ซึ่งสาเหตุที่มาจากการขี้เกียจแค่นี้ไม่ควรใช้เป็นข้ออ้างที่ทำให้เกิดความเสียหายอย่างมหาศาล

2. รันเซอร์วิสที่ไม่ปลอดภัยบนเครือข่าย

อย่างเซอร์วิสที่ไม่ได้จำเป็นต้องรันการทำงาน หรือไม่ได้มีความปลอดภัยเพียงพอที่รันอยู่บนอุปกรณ์ที่เชื่อมต่อไปถึงอินเทอร์เน็ตได้นั้น ย่อมเสี่ยงต่อการเปิดช่องโหว่ให้บุคคลภายนอกเข้ามาควบคุมระบบได้จุดนี้ก็เป็นประเด็นที่ควรเฝ้าระวัง แม้จะเป็นการยากในการฟันธงว่าเซอร์วิสไหน “ไม่จำเป็น” หรือ “ไม่ปลอดภัย” ก็ตาม

3. อินเทอร์เฟซสำหรับเข้าควบคุมไม่ปลอดภัย

ไม่ว่าจะเป็นหน้าเว็บ, API ของระบบที่อยู่เบื้องหลัง, หรือแม้แต่อินเทอร์เฟซสำหรับเข้าใช้งานบนอุปกรณ์พกพาภายนอกนั้น มักจะมีปัญหาเกี่ยวกับการขาดกระบวนการยืนยันตนหรือให้อำนาจสิทธิ์การควบคุมที่ไม่รัดกุม, ขาดระบบเข้ารหัสข้อมูลที่สื่อสาร หรือมีการเข้ารหัสที่ไม่ดีพอ, รวมทั้งขาดการคัดกรองข้อมูลเข้าออก

4. ขาดกลไกการอัพเดทระบบความปลอดภัยอย่างเพียงพอ

การที่ไม่สามารถอัพเดทอุปกรณ์ได้ ไปจนถึงการที่ไม่สามารถตรวจสอบความถูกต้องของเฟิร์มแวร์ที่จะนำมาติดตั้งว่ามาจากผู้ผลิตจริงหรือไม่, การส่งข้อมูลมาอัพเดทอย่างไม่ปลอดภัย เช่น ไม่ได้เข้ารหัส, การไม่มีกลไกป้องกันการโรลแบ๊ก, รวมทั้งการขาดการแจ้งเตือนการเปลี่ยนแปลงการตั้งค่าด้านความปลอดภัยที่เกิดจากการอัพเดท เป็นต้น

5. ใช้ชิ้นส่วนหรืออุปกรณ์ที่ไม่ปลอดภัยหรือล้าสมัย

การใช้ซอฟต์แวร์หรือไลบรารีที่เก่าล้าสมัยหรือไม่ปลอดภัย ที่อาจเปิดช่องโหว่ให้ผู้ไม่หวังดีใช้เจาะระบบได้ ซึ่งรวมถึงการปรับแต่งแก้ไขแพลตฟอร์มหรือโอเอสบนอุปกรณ์เองอย่างไม่ปลอดภัย หรือแม้แต่การติดตั้งซอฟต์แวร์หรือฮาร์ดแวร์จากที่อื่นที่อาจโดนฝังมัลแวร์หรือมีช่องโหว่ พูดง่ายๆ คือ ไม่ควรเสียน้อยเสียอยาก กลัวเปลืองจนจัดการด้วยตัวเองไม่พึ่งการเซอร์วิสจากผู้ผลิตที่เชื่อถือได้

6. ขาดการปกป้องความเป็นส่วนตัวที่เพียงพอ

มีการนำข้อมูลส่วนบุคคลของผู้ใช้มาจัดเก็บบนอุปกรณ์ ที่มีการใช้ข้อมูลอย่างไม่ปลอดภัย, ไม่เหมาะสม, หรือไม่ได้รับอนุญาต

7. ใช้ระบบสตอเรจหรือการสื่อสารข้อมูลที่ไม่ปลอดภัย

เช่น ขาดการเข้ารหัสข้อมูล หรือควบคุมการเข้าถึงข้อมูลที่อ่อนไหวจากทุกช่องทาง ตลอดกระบวนการสื่อสาร ไม่ว่าจะเป็นข้อมูลที่จัดเก็บอยู่กับที่, กำลังถูกส่งต่อ, หรือขณะที่ถูกประมวลผล ซึ่งจุดนี้มักถูกละเลยจากผู้ผลิตจำนวนมาก

8. ไม่ได้ใช้ระบบจัดการอุปกรณ์จากศูนย์กลาง

การขาดการซัพพอร์ตด้านความปลอดภัยสำหรับอุปกรณ์ที่ติดตั้งใช้งานอยู่ รวมไปถึงการไม่ได้ใช้ระบบจัดการทรัพยากรอุปกรณ์, การจัดการอัพเดทอุปกรณ์จำนวนมาก, การบำรุงรักษาด้านความปลอดภัย, ระบบตรวจสอบ, ไปจนถึงความสามารถในการเข้าจัดการหรือแก้ไขปัญหาได้จากระยะไกลในเวลาอันรวดเร็วแม้อุปกรณ์ IoT จะมีขนาดเล็ก, ราคาย่อมเยา, และมักนำมาติดตั้งครั้งละมากๆ แต่ก็ไม่ได้หมายความว่าไม่จำเป็นต้องหาวิธีจัดการอุปกรณ์ปริมาณมหาศาลเหล่านี้อย่างสะดวกและรวดเร็ว กลับกัน เราควรหาระบบจัดการอุปกรณ์ IoT กลุ่มนี้มากกว่าระบบอื่นๆ เสียอีก แม้ระบบจัดการจากศูนย์กลางดังกล่าวจะไม่ได้ใช้งานได้ง่าย ราคาถูก หรือทำให้ยุ่งยากมากกว่าไม่มีระบบจัดการก็ตาม

9. การตั้งค่ามาแบบดีฟอลต์ที่ไม่ปลอดภัย

อุปกรณ์หรือระบบที่มีการจำหน่ายออกมาด้วยการตั้งค่าโดยดีฟอลต์แบบไม่ปลอดภัยอยู่แล้ว หรือการที่ไม่สามารถตั้งค่าจัดการให้อุปกรณ์ปลอดภัยขึ้นได้ทีหลังเนื่องจากผู้ผลิตหรือผู้ให้บริการจำกัดการตั้งค่าดังกล่าว เป็นต้น

10. ไม่ได้มีการรักษาความปลอดภัยกับตัวอุปกรณ์ทางกายภาพ

การเปิดให้วายร้ายสามารถเข้าถึงอุปกรณ์ทางกายภาพเพื่อปรับแต่งแก้ไขให้เปิดประตูหลังสำหรับเข้าถึงจากระยะไกลได้ทีหลัง เช่น การเปิดช่องให้มีคนเอาธัมม์ไดรฟ์ไปเสียบที่อุปกรณ์ได้โดยตรง

ที่มา : Networkworld