IoT ที่ไม่ปลอดภัย ช่องโหว่ไม่จำกัด

เราทุกคนคงเคยได้ยินวลีที่ว่า “เราอยู่ในโลกที่เชื่อมต่อกันมากเกินไป” เราสามารถเข้าถึงข้อมูลและแอปพลิเคชั่นมากมายผ่านอุปกรณ์ในกระเป๋าของเรา ข้อมูลส่วนตัวและข้อมูลไบโอเมตริกซ์ของเรากำลังถูกบีบอัดอย่างแข็งขันในคลาวด์มากขึ้นเรื่อยๆ เพื่อนำเสนอข้อมูลเชิงลึกว่าร่างกายของเราทำงานอย่างไร

อย่างไรก็ตาม Internet of Things (IoT) ไม่ได้ปราศจากความท้าทาย การนำอุปกรณ์ต่างๆ เข้าสู่โลกออนไลน์มากขึ้น (การให้ที่อยู่ IP แก่พวกเขาและทำให้สามารถระบุตำแหน่งได้) เรากำลังเพิ่มพื้นที่พื้นผิวของโลกที่ถูกแฮ็กได้

การเติบโตอย่างรวดเร็วของ IoT นั้นสอดคล้องกับการเติบโตอย่างรวดเร็วของการใช้อุปกรณ์ในทางที่ผิด อุปกรณ์เชื่อมต่อที่ทำให้เราพอใจกับความรู้เกี่ยวกับนิสัยและรูปแบบของเรา มีความสามารถที่จะบ่อนทำลายความเป็นส่วนตัวของเรา ปิดล้อมตัวตนของเรา และในกรณีร้ายแรงที่สุดก่อให้เกิดอันตรายทางกายภาพที่แท้จริงผ่านสงครามไซเบอร์

ช่องทางคำติชมของ IoT

Gartner คาดการณ์ว่าจะขายอุปกรณ์สวมใส่ได้ 322 ล้านเครื่องในปี 2560 การเพิ่มขึ้นอย่างมาก 48% จากปี 2558 ส่วนหนึ่งเป็นผลมาจากความนิยมของเทคโนโลยีสวมใส่ในรูปแบบไลฟ์สไตล์ เนื่องจากเทคโนโลยีถูกรวมเข้ากับชีวิตประจำวันของเราผ่านกิจวัตรประจำวันหรือตามนิสัย เราจึงกลายเป็นเครื่องสร้างข้อมูลไมโครไบโอ

อุปกรณ์และช่วงการเชื่อมต่อตั้งแต่ขนาดเล็กมากไปจนถึงสิ่งของที่มีหน้าจอและคุณลักษณะแบบโต้ตอบ สิ่งที่เราคิดไม่ถึงก็คืออุปกรณ์จำนวนมากที่จำเป็นต้องมีช่องแสดงความคิดเห็น

การวัดผลจะดีอย่างไรหากคุณมองไม่เห็นหรือเรียนรู้ความหมาย อุปกรณ์เหล่านี้สร้างอีเมลธุรกรรมจำนวนมากผ่านโทรศัพท์และจอภาพ "เอาต์พุต" อื่นๆ ของเรา เพื่อให้เราตระหนักถึงคุณค่าของการวัดกิจกรรมประจำวันของเรา

การส่งข้อความที่สร้างด้วยอีเมลและ IoT นำเสนอโอกาสที่ไม่ซ้ำใครสำหรับฟิชเชอร์และผู้ฉ้อโกง

กระแสจดหมายที่สร้างโดยอุปกรณ์สวมใส่ใหม่จะต้องมีการรักษาความปลอดภัย เนื่องจากฟิชชิงกำลังเพิ่มขึ้นอย่างแน่นอน

จากข้อมูลของ APWG (Anti-Phishing Working Group) การโจมตีแบบฟิชชิงเพิ่มขึ้น 65 เปอร์เซ็นต์ระหว่างปี 2015 และ 2016

การเชื่อมต่อที่ไม่มีที่สิ้นสุด

กิจกรรมในบ้านของฉันสร้างอีเมลและการแจ้งเตือนแบบพุชเพื่อเตือนให้ฉันเคลื่อนไหวหรือเมื่อสุนัขพาสุนัขของฉันกลับบ้านหลังจากวิ่งเล่นที่สวนสาธารณะ ในเวลากลางคืน ผู้คนนับล้านสวม Fitbit เพื่อนอนหลับเพื่อให้สามารถตรวจสอบ บันทึก และวิเคราะห์รูปแบบการนอนหลับของตนได้

ของเล่นเด็กมีความสามารถด้านดิจิทัล แอนิมาโทรนิกส์ และสามารถเข้าถึงได้จากระยะไกลเพื่อการโต้ตอบที่ดียิ่งขึ้นผ่านบลูทูธและมาตรฐานการสื่อสารอื่นๆ

หม้อหุงซูวีของฉันมีการเชื่อมต่อ Wi-Fi และบลูทูธ จึงสามารถบอกโทรศัพท์ของฉันได้ว่าอุณหภูมิของอ่างน้ำเปลี่ยนแปลงหรือเมื่อพร้อมสำหรับแช่อาหาร GPS ของ iPhone ของฉัน รวมกับสายรัดหน้าอก กลายเป็นเครื่องติดตามการออกกำลังกายร่างกายทั้งหมดที่บันทึกเส้นทางของฉันบน Strava และฉันต้องทนทุกข์ทรมานกับการปีนขึ้นไปบนภูมิประเทศที่เป็นเนินเขาของบริเวณ Bay Area มากเพียงใด

ความปลอดภัยส่วนเพิ่ม

อุปกรณ์ทุกเครื่องที่เพิ่มลงใน IoT ที่กำลังเติบโตนั้นมีความสามารถในการรวบรวมและส่งข้อมูลที่ระบุตัวบุคคลได้ (PII) ผู้ผลิตอุปกรณ์เหล่านี้กำลังดำเนินการอย่างรวดเร็วเพื่อทดลองใช้และแนะนำอุปกรณ์ที่ชาญฉลาดและละเอียดอ่อนยิ่งขึ้นซึ่งใช้ขอบเขตตั้งแต่ไบโอเมตริกซ์ไปจนถึงระบบอัตโนมัติภายในบ้านและการเชื่อมต่อยานยนต์ อย่างไรก็ตาม อุปกรณ์เหล่านี้ทั้งหมดทำให้เกิดความเสี่ยงด้านความปลอดภัยและความท้าทายใหม่ๆ ในสภาพแวดล้อมที่ไม่ปลอดภัยอยู่แล้ว

บางทีการประนีประนอมที่มีชื่อเสียงที่สุดของอุปกรณ์ที่คล้ายกับ IoT อาจไม่ใช่อุปกรณ์ IoT เลย แต่เป็นเครือข่ายแบบ air-gapped ไวรัส Stuxnet ทำลายโรงงานเสริมสมรรถนะนิวเคลียร์ของอิหร่าน ไวรัสคอมพิวเตอร์ก่อให้เกิดความเสียหายอย่างใหญ่หลวงในโลกทางกายภาพ Stuxnet เป็นตัวอย่างของสงครามไซเบอร์ที่เราจินตนาการได้เฉพาะในภาพยนตร์เท่านั้น ในระดับที่เล็กกว่า แต่จับต้องได้ยิ่งกว่าเดิม คือการรั่วไหลของการบันทึกเสียงเด็กนับล้านและพ่อแม่ของพวกเขาผ่านตุ๊กตาหมีที่เชื่อมต่อกัน

อุปกรณ์ IoT แต่ละเครื่องเป็นจุดปลายทางที่สามารถเข้าถึงได้ผ่าน API หรือวิธีการอื่นในการส่งและรับข้อมูล

สิ่งที่น่าสนใจอย่างยิ่งสำหรับฟิชเชอร์และแฮ็กเกอร์คือลักษณะของอุปกรณ์ IoT: เปิดตลอดเวลาและใช้ประโยชน์จากการเชื่อมต่อที่เร็วที่สุดที่มีอยู่

อุปกรณ์ทุกชิ้นต้องการให้ปลายทางมีความปลอดภัยเพื่อให้แน่ใจว่าจะไม่ถูกบุกรุกและซึมซับเข้าสู่บ็อตเน็ตที่สามารถติดตั้งการโจมตี DDoS หรือเนื้อหาที่เป็นอันตรายในรูปแบบอื่นๆ เนื่องจากอุปกรณ์ส่วนใหญ่ผลิตขึ้นในต่างประเทศ จึงแทบไม่มีการกำกับดูแลวิธีสร้างอุปกรณ์เหล่านี้ หรือประเภทของบริการที่ใช้งานอุปกรณ์เหล่านี้เพียงเล็กน้อย

เพิ่มการรับรู้

องค์กรที่คำนึงถึงความปลอดภัย เช่น Arbor Networks กำลังขุดข้อมูล honeypot เพื่อวัดกิจกรรมการหาประโยชน์จาก IoT ในทำนองเดียวกัน กลุ่มงาน Messaging, Malware, Mobile Anti-Abuse Working Group (M3AAWG) กำลังเริ่มให้ความสำคัญกับภัยคุกคามโดยปริยายในสังคมที่เชื่อมโยงแบบทวีคูณอย่างจริงจัง

ในเดือนเมษายน 2017 M3AAWG ได้ประกาศกลุ่มผลประโยชน์พิเศษ IoT ใหม่ เพื่อประสานความพยายามของสมาชิกในการแก้ไขปัญหาการละเมิดจากอุปกรณ์ IoT ที่ถูกบุกรุก กลุ่มผลประโยชน์พิเศษกลุ่มใหม่นี้จะพัฒนาแนวทางและกระบวนการด้านชื่อเสียงสำหรับผู้ผลิตอุปกรณ์ นอกเหนือจากการสร้างความตระหนักเกี่ยวกับอันตรายของ IoT ที่ไม่ปลอดภัย

ปลอดภัยไว้ก่อน

เช่นเดียวกับเรือดำน้ำ และการกำหนดลักษณะ "ทำงานอย่างเงียบเชียบ ทำงานลึก" IoT ในฐานะส่วนย่อยของเทคโนโลยีที่กำลังขยายตัว จำเป็นต้องให้ความสำคัญกับการรักษาความปลอดภัยในระดับแนวหน้าของการเดินขบวนไปสู่การผลิตอุปกรณ์ที่เป็นนวัตกรรมมากขึ้น ไม่ต้องสงสัยเลยว่า IoT จะทำให้ชีวิตเราสมบูรณ์ยิ่งขึ้น เราทุกคนต่างเห็นพ้องต้องกันว่าตั้งแต่โทรศัพท์มือถือ นาฬิกา ไปจนถึงเครื่องติดตามการออกกำลังกาย เราทุกคนฉลาดขึ้นเล็กน้อยด้วยเหตุนี้ อย่างไรก็ตาม โปรโตคอลและนโยบายด้านความปลอดภัยจำเป็นต้องตามให้ทัน

ในฐานะที่เป็นผลลัพธ์ ข้อความจะต้องได้รับการรักษาความปลอดภัยโดยเป็นส่วนหนึ่งของการปกป้องข้อมูลที่อุปกรณ์เหล่านี้ส่งไปและกลับในแต่ละวัน IoT ได้เพิ่มปริมาณข้อมูลที่เรายินดีเปิดสู่โลกภายนอกและระดับความสะดวกสบายของเราด้วยรายละเอียดภายนอกเกี่ยวกับกิจวัตรของเรา แต่ในขณะเดียวกัน เราต้องตรวจสอบให้แน่ใจว่าผู้ไม่หวังดีจะไม่เข้ามาและใช้ข้อมูลนั้นกับเรา

หากคุณต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการหลอกลวงเฉพาะอีเมลอื่นๆ และวิธีป้องกันตัวเอง ลองดู Phishing, Doxxing, Botnets และ Email Scams: สิ่งที่คุณต้องรู้