เมื่อสัปดาห์ที่แล้วที่งาน GovernmentWare 2016 และ Singapore International Cyber Week ทาง Intel Security ได้มีการจัดบรรยายพิเศษเกี่ยวกับเรื่องของภัยคุกคามและความเสี่ยงของเทคโนโลยีและอุปกรณ์ Internet of Things (IoT) โดย JP Dunning นักวิจัยและให้คำปรึกษาด้านความปลอดภัยหลักของ Foundstone บริษัทในเครือของ Intel Security ซึ่งผมมีโอกาสไปนั่งฟังด้วย จึงขออนุญาตสรุปมาให้ผู้อ่านทุกท่านครับ
ข้อมูลเปิดเผย ผมเดินทางไปร่วมงานนี้ในฐานะแขกของ Intel Security ครับ
_** JP Dunning**_
JP Dunning (จากนี้จะเรียกว่า JP) เป็นนักวิจัยและให้คำปรึกษาด้านความปลอดภัย (ชื่อตำแหน่งจริงๆ คือ Principle Security Consultant) ของ Foundstone บริษัทด้านความปลอดภัยที่อยู่ในร่มของ Intel Security อีกทีหนึ่ง ความสนใจหลักคือเรื่องของความปลอดภัยระบบเครือข่ายไร้สาย IoT วิศวกรรมทางสังคม (social engineering) ความปลอดภัยในเชิงกายภาย (physical) และการทดสอบการเจาะระบบ (penetration testing) ซึ่งนอกจากจะไปบรรยายตามงานความปลอดภัยต่างๆ แล้วยังมีผลงานตีพิมพ์และงานวิจัยอยู่เยอะมากด้วย ตัวอย่างที่อาจจะชัดเจนคือผลงานที่อธิบายเรื่องของการโจมตี Bluetooth เมื่อปี 2013 ในงาน DEF CON 18 (ลองดูวิดีโอด้านล่าง)
JP เริ่มต้นอธิบายว่า ในความหมายของเขา IoT ไม่ใช่แค่อุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตเท่านั้น แต่หมายถึงอุปกรณ์เชื่อมต่อและสื่อสารได้ทุกประเภท ไม่ว่าจะผ่านสายไฟฟ้า สายโทรศัพท์ หรือมาตรฐานอุปกรณ์ไร้สายอื่นๆ ซึ่งในปัจจุบันครอบคลุมในอุปกรณ์ทุกแบบเท่าที่จะเป็นไปได้ เขายกตัวอย่างว่าในอนาคตอาจจะมีเก้าอี้ที่เก็บข้อมูลการนั่งเพื่อสุขภาพด้วย
ปัญหาที่เกิดขึ้นคือ เราไม่มีทางรู้ว่าอุปกรณ์เหล่านี้มีการจัดการเรื่องของความปลอดภัยอย่างไรบ้าง ยังไม่นับปัญหาเรื่องของการนำข้อมูลไปใช้อีก ตัวอย่างของเก้าอี้ที่เก็บข้อมูลการนั่ง ในอนาคตอาจจะนำไปเก็บข้อมูลการนั่งทำงานของพนักงาน หรือการระบุติดตามตัวด้วย ซึ่งถือเป็นปัญหาด้านความเป็นส่วนตัว
JP ระบุว่าโดยส่วนมากแล้ว บริษัทผู้ผลิตมักจะต้องการทำให้อุปกรณ์ของตัวเองทำงานได้กับอุปกรณ์ของค่ายอื่นๆ แต่สิ่งที่แลกมาคือการใช้ความปลอดภัยที่ต่ำสุดเสมอเพื่อให้อุปกรณ์อื่นทำงานร่วมกันได้ หรือทำให้ผู้ใช้สามารถตั้งค่าได้ง่ายกับอุปกรณ์ที่มีอยู่ และนี่คือจุดอ่อนที่สำคัญมากในระดับการนำลงไปใช้งาน (implementation) ไม่นับช่องโหว่อื่นๆ อีกในตัวมาตรฐานที่ใช้ นอกจากนั้นแล้วอุปกรณ์เหล่านี้มักถูกตั้งค่าแล้วก็ไม่ได้รับการสนใจอีก รวมถึงการอัพเดตซอฟต์แวร์หรือเฟิร์มแวร์ด้วยเช่นกัน
เขาให้แนวทางการประเมินความเสี่ยงด้านความปลอดภัยสำหรับอุปกรณ์สาย IoT ที่อาจเกี่ยวข้องหรือเป็นไปได้ทั้งหมดมาด้วยกัน 6 ด้าน แต่ละด้านก็มีประเด็นย่อยอื่นๆ ที่เกี่ยวข้อง พอสังเขปดังนี้
-อินเทอร์เน็ต ความเสี่ยงที่เกี่ยวข้องกับอินเทอร์เน็ตคือเรื่องของการจัดการกับข้อมูลและการอัพเดตจากฝั่งผู้ผลิต ไม่ว่าจะเป็นเรื่องของระบบหลังบ้าน ระบบหน้าบ้าน และการจัดการกับข้อมูลที่ได้จากอุปกรณ์ IoT ต่างๆ เรื่องนี้เป็นหน้าที่ของผู้ผลิตที่จะต้องทำให้ดี ส่วนผู้ใช้ก็ต้องประเมินเอาจากประวัติหรือการรักษาความปลอดภัยของบริษัทที่ผ่านๆ มา ซึ่งก็ไม่ได้รับรองว่าจะไม่เกิดเหตุการณ์ที่ไม่คาดคิดได้
-ผู้ใช้งาน ความเสี่ยงในจุดนี้เกี่ยวข้องกับการป้อนข้อมูลที่ผิดพลาด การใช้การตั้งค่าจากโรงงาน (default settings) หรือแม้กระทั่งข้อมูลที่ถูกป้อนเข้าไปแต่ส่งผลเสียกับระบบ (fuzzing input) รวมถึงแอพที่เชื่อมต่อกับตัวอุปกรณ์ต่างๆ ด้วย
-เทคโนโลยี ความเสี่ยงดังกล่าวคือเรื่องของเทคโนโลยี มาตรฐานที่จะนำเข้ามาใช้งาน ข้อจำกัด และวิธีการที่อุปกรณ์นำมาปรับใช้ว่ามีความปลอดภัยเพียงใด
-คลาว์ด JP ให้เหตุผลว่าที่นำคลาว์ดเข้ามาคิดด้วย เพราะในปัจจุบันระบบที่อุปกรณ์สาย IoT มีการอิงกับระบบคลาว์ดค่อนข้างมาก ซึ่งก็ต้องมีการประเมินด้วยว่าระบบที่อุปกรณ์ต่างๆ ใช้ หรือในกรณีที่เป็นผู้ผลิตต้องการจะใช้ มีความปลอดภัยมากเพียงใด ในบางกรณี JP ระบุว่าแม้จะมีการลบตัว Virtual Machine ที่ใช้เพื่อเก็บข้อมูลจากอุปกรณ์เหล่านี้ไปแล้ว แต่ข้อมูลจริงๆ ยังอยู่ในดิสก์ของเครื่องในศูนย์ข้อมูล และสามารถเรียกกลับมาได้ด้วย
-เครือข่าย ความเสี่ยงนี้เป็นเรื่องของการถูกตรวจสอบ การดักฟัง หรือการควบคุมการใช้บริการ ในส่วนนี้เป็นเรื่องที่อาจก่อให้เกิดความเสี่ยงทางความปลอดภัยได้ ตัวอย่างเช่น ข้อมูลที่ถูกส่งระหว่างอุปกรณ์ IoT ไม่ได้รับการเข้ารหัสที่ดีเพียงพอ ทำให้ข้อมูลถูกถอดออกมาได้จากผู้ไม่หวังดี
-ฮารด์แวร์ ส่วนสุดท้ายคือเรื่องของอุปกรณ์หรือฮาร์ดแวร์ ซึ่งเป็นไปได้ทั้งการเจาะอุปกรณ์แล้วแก้ไขตัวซอฟต์แวร์ การเข้าควบคุมอุปกรณ์ หรือการแอบเข้าแก้ไขอุปกรณ์ก่อนติดตั้งหรือหลังติดตั้งแล้ว (กรณีตัวอย่างเช่นการที่ NSA ฝังช่องโหว่ลงอุปกรณ์เครือข่าย โดยการดักรอสินค้า)
JP ระบุว่าความเสี่ยงเหล่านี้เกิดขึ้นได้จริง โดยเขายกตัวอย่างหัวข้อการประชุมในงาน DEF CON 22 เมื่อปี 2014 ที่มีการยกตัวอย่างการแฮกอุปกรณ์ 20 ชิ้น ในเวลา 45 นาที รวมถึงการแฮกอุปกรณ์อื่นๆ ด้วย
สิ่งที่เขาแนะนำคือการประเมินความเสี่ยงทั้งหมดให้ดี และต้องประเมินความเสี่ยงในโลกจริงด้วย รวมถึงตั้งคำถามต่างๆ ที่เกี่ยวข้องกับการใช้งานอุปกรณ์ IoT และระบบอื่นๆ ที่เกี่ยวข้องก่อนที่จะตัดสินใจนำเข้าไปใช้อย่างเป็นทางการ เมื่อถึงจุดนี้ผมถามความเห็นเขาเกี่ยวกับที่ Bruce Schneier ออกมาเรียกร้องให้ภาครัฐเข้ามาควบคุมอุปกรณ์ IoT ว่า อย่าไปเรียกว่าเป็นการควบคุม แต่เป็นเรื่องของการออกมาตรฐานการรับรองแบบ FCC (หรือ กสทช. บ้านเรา) เพื่อทำให้อุปกรณ์เหล่านี้มีมาตรฐานความปลอดภัยที่ดีและทำให้ผู้ใช้สามารถวางใจได้ว่ามีความปลอดภัยจากภัยคุกคามต่างๆ ที่เป็นไปได้เหล่านี้
from Blognone https://www.blognone.com/node/86500
via IFTTT
