Kaspersky ช่วยในการกำจัดช่องโหว่ของอุปกรณ์บ้านอัจฉริยะ

นักวิจัยของ Kaspersky ค้นพบอุปกรณ์ควบคุมที่ใช้สำหรับระบบบ้านอัจฉริยะ (smart home) ที่สามารถระบุช่องโหว่ที่สำคัญหลายประการได้ ซึ่งประกอบด้วย ข้อบกพร่องของโครงสร้างพื้นฐานระบบคลาวด์และการใช้รหัสการควบคุมระยะไกล ที่อาจจะทำให้บุคคลที่สามสามารถกลายเป็น “super user” ที่สามารถเข้าถึงอุปกรณ์ควบคุมและจัดการระบบโครงสร้างพื้นฐานของบ้านอัจฉริยะในรูปแบบที่พวกเขาเลือก การค้นพบในครั้งนี้ได้นำเสนอผ่านผู้ขาย Fibaro ที่สามารถติดตั้งให้พวกเขาได้ทันที

การวิจัยด้านความปลอดภัยเกี่ยวกับอินเตอร์เน็ตสำหรับทุกสิ่ง (IoT) ได้ทำมาหลายปี ซึ่งในขณะที่ภูมิทัศน์ IoT ก็ยังขยายและพัฒนาต่อเนื่อง ดังนั้นองค์ประกอบสำคัญของการวิจัยนี้จะยังคงคำนึงถึง บริการและโซลูชั่นใหม่ มิติใหม่ของภัยคุกคามที่เกิดขึ้น ความปลอดภัยของผู้ใช้ หนึ่งในพนักงานของ Kaspersky ได้ให้นักวิจัยของทดสอบระบบบ้านอัจฉริยะที่ใช้ในบ้านของเขา โดยอนุญาตให้นักวิจัยเข้าถึงตัวควบคุมของระบบ ซึ่งตัวควบคุมนั้นได้ทำหน้าที่เชื่อมต่อและควบคุมการปฏิบัติการทุกส่วนของระบบบ้านอัจฉริยะ โดยการเชื่อมตัวแบบนี้จะทำให้อาชญากรไซเบอร์สามารถเข้าโจมตีระบบทั้งหมดได้ ไม่ว่าจะเป็นการโจรกรรมไปสู่การก่อวินาศกรรมทางกายภาพอีกด้วย

ในช่วงแรกของการวิจัย ตั้งแต่ขั้นตอนการรวบรวมข้อมูลทำให้นักวิจัยสามารถค้นพบการโจมตีที่สำคัญหลายรูปแบบ อาทิ การโจมตีผ่านการสื่อสารแบบไร้สายแบบ Z-Wave ที่เป็นรูปแบบที่ใช้กันหลากหลายระบบบ้านอัตโนมัติ การโจมตีผ่านหน้าของแผงควบคุม และการโจมตีผ่านโครงสร้างพื้นฐานคลาวด์ ซึ่งต่อมาจะกลายเป็นการโจมตีที่ทรงพลังมีประสิทธิภาพสูง ได้แก่ การทดสอบวิธีการที่ใช้ในการประมวลผลคำขอจากอุปกรณ์ที่มีช่องโหว่ในกระบวนการที่ขออนุญาตและการเข้าถึงหัสผ่านระยะไกล

เมื่อรวมเข้าด้วยกัน พวกเขาสามารถอนุญาตให้บุคคลที่สามเข้าสู่ระบบการสำรองข้อมูลที่อยู่ในระบบคลาวน์ของศูนย์ระบบบ้าน Fibaro ทั้งหมด และสำรองข้อมูลที่ติดเชื้อไว้ในระบบคลาวด์ จากนั้นดาวน์โหลดเก็บไว้ในอุปกรณ์ควบคุมที่สำคัญ แม้จะไม่มีสิทธิ์ในระบบก็ตาม

เพื่อการทำวิจัยครั้งนี้ให้สำเร็จ นักวิจัยของ Kaspersky ได้ทดสอบการโจมตีบนแผงควบคุม โดยการสำรองข้อมูลที่จัดทำเฉพาะจากสคริปต์ที่แยกออกมาและตั้งค่ารหัสผ่านไว้ด้วย จากนั้นพวกเขาจะส่งอีเมลหรือข้อความ SMS ที่ขอให้เจ้าของบ้านอัปเดทเฟิร์มแวร์ของอุปกรณ์ควบคุมไปยังอุปกรณ์ของเจ้าของบ้านผ่านระบบคลาวด์ จากนั้นเหยื่อจะเชื่อและดาวน์โหลดข้อมูลสำรองที่ติดเชื้อ ซึ่งจะทำให้นักวิจัยสามารถกลายเป็นผู้ใช้ที่สามารถมีสิทธิ์ในการควบคุมระบบบ้านอัจฉริยะ อนุญาตให้พวกเขาจัดการระบบนิเวศน์ที่เกี่ยวข้องได้ นั่นแสดงให้เห็นว่าบุกรุกระบบได้สำเร็จ โดยนักวิจัยได้เข้าเปลี่ยนการตั้งเวลาปลุก และในวันถัดไปพนักงานของ Kaspersky ก็ตื่นมากับเสียงกลองและเบสที่มีเสียงดัง

“สำหรับการโจมตีที่แท้จริงจะไม่เหมือนกับที่เราทดลอง เมื่อผู้โจมตีจริงเข้าสู่ระบบจะไม่เพียงแค่เล่นสนุกด้วยการตั้งนาฬิกาปลุกเท่านั้น เราได้ศึกษาถึงองค์ประกอบที่สำคัญของอุปกรณ์ที่เรียกว่า “smart things” ที่ทำให้เจ้าของบ้านสามารถจัดการได้จากศูนย์ รายละเอียดที่สำคัญคือ การประเมินเป้าหมายที่ใช้ในระบบ ก่อนหน้านี้การวิจัยส่วนใหญ่ได้จัดทำขึ้นภายใต้เงื่อนไขในห้องทดลอง การวิจัยได้แสดงให้เห็นว่าถึงแม้ว่าตอนนี้จะมีการตระหนักในความสำคัญของความปลอดภัยในระบบ IoT แต่ยังคงมีการโจมตีเกิดขึ้น และที่สำคัญไปกว่านั้นคืออุปกรณ์ที่เราได้ศึกษานั้น ได้ผลิตขึ้นเป็นครั้งละจำนวนมากและใช้ในเครือข่ายบ้านอัจฉริยะ ซึ่งเราต้องขอบคุณศูนย์ Fibaro ที่รับผิดชอบในการทำให้บ้านของเพื่อนร่วมงานของเรามีความปลอดภัยมากขึ้นกว่าก่อนที่จะมาวิจัย” พาเวล เชอร์มัชกิน นักวิจัยด้านความปลอดภัย Kaspersky ICS CERT

เพื่อป้องกันความปลอดภัยให้กับอุปกรณ์ เราแนะนำให้ผู้ใช้ปฏิบัติ ดังต่อไปนี้

• เมื่อต้องการเพิ่มความสะดวกสบายให้กับชีวิตด้วยระบบอัตโนมัติ ต้องคำนึงถึงความเสี่ยงด้านความปลอดภัยด้วยเช่นกัน

• ก่อนที่จะซื้ออุปกรณ์ IoT ต้องค้นหาข้อมูลเกี่ยวกับข่าวสารและช่องโหว่ต่าง ๆ

• โดยปกติผลิตภัณฑ์ใหม่จะมีข้อบกพร่อง ซึ่งอุปกรณ์ที่เปิดตัวใหม่อาจจะมีปัญหาด้านความปลอดภัย ที่นักวิจัยยังไม่ได้ตรวจสอบ ทางที่ดีควรจะเลือกซื้อผลิตภัณฑ์ที่มีซอฟต์แวร์ที่อัพเดทแล้ว มากกว่าที่จะเลือกอุปกรณ์ที่เพิ่งเปิดตัวในตลาด.

• ต้องมั่นใจว่าอุปกรณ์ทุกชิ้นมีเฟิร์มแวร์ที่ได้รับการอัปเดทในเวอร์ชั่นล่าสุดอยู่เสมอ

• เริ่มใช้งาน Kaspersky Security Cloudที่ป้องกันผู้ใช้งานออนไลน์และเครือข่ายไวไฟที่บ้าน มั่นใจได้ว่าเครือข่ายส่วนตัวยังมีความเป็นส่วนตัวโดยจะแจ้งให้ผู้ใช้ทราบทันทีเมื่อมีผู้ไม่พึงประสงค์พยายามที่จะเชื่อมต่อในเครือข่ายและยังป้องกันอุปกรณ์ IoT อีกทั้งมีการแจ้งเตือนอัตโนมัติ เมื่อมีภัยคุกคามด้านความปลอดภัยและมีคำแนะนำจากผู้เชี่ยวชาญเมือจำเป็น

ติดตามรายงานฉบับเต็มได้ที่ ICS CERT website.

เกี่ยวกับ Kaspersky

Kaspersky เป็นบริษัทด้านความปลอดภัยบนอินเทอร์เน็ตระดับโลก ที่ก่อตั้งในปี 1997 ด้วยความเชี่ยวชาญด้านความปลอดภัยที่ได้พัฒนามาอย่างต่อเนื่อง จนปัจจุบันเปลี่ยนเป็นโซลูชั่นความปลอดภัยยุคใหม่ ที่ให้บริการในการป้องกันสำหรับธุรกิจ โครงสร้างพื้นฐาน รัฐบาลและลูกค้าทั่วโลก การให้บริการของบริษัทประกอบด้วย การป้องกันปลายทาง โซลูชั่นการป้องกันความปลอดภัยแบบพิเศษจำนวนมาก และบริการเพื่อป้องกันภัยคุกคามดิจิทัล ซึ่ง Kaspersky ได้ป้องกันความปลอดภัยให้แก่ผู้ใช้กว่า 400 ล้านคน และอีกกว่า 270,000 องค์กร ที่ป้องกันความปลอดภัยให้กับทุกส่วนที่สำคัญสำหรับลูกค้า ศึกษาข้อมูลเพี่มเติมได้ที่ www.kaspersky.com