ผู้ผลิตอุปกรณ์สามารถใช้ประโยชน์จากการเพิ่มขึ้นของ Internet of Things (IoT) ได้อย่างรวดเร็ว และความเป็นไปได้ของสิ่งที่จะบรรลุได้หากสิ่งที่เรียกว่าอุปกรณ์อัจฉริยะสามารถสื่อสารระหว่างกันได้ อย่างไรก็ตาม ในขณะที่พวกเขาพยายามนำอุปกรณ์เหล่านี้ออกสู่ตลาดอย่างรวดเร็ว ผู้ผลิตฮาร์ดแวร์หลายรายจึงล้มเหลวในการรักษาความปลอดภัยอย่างเหมาะสมโดยทำสิ่งต่างๆ เช่น ไม่กระตุ้นให้ผู้ใช้เปลี่ยนข้อมูลระบุตัวตนเริ่มต้นของอุปกรณ์ จากรายงานของ Security Today ผู้เชี่ยวชาญคาดการณ์ว่าภายในปี 2020 จะมีการติดตั้งอุปกรณ์ IoT จำนวน 31 ล้านเครื่อง ซึ่งอาจทำให้ธุรกิจและผู้บริโภคเสี่ยงต่อการถูกโจมตี Craig Young นักวิจัยด้านความปลอดภัยอาวุโสของ Tripwire ได้ทุ่มเทเวลาและความพยายามในการปกป้องอุปกรณ์เหล่านี้ และมีโอกาสที่หากคุณมีอุปกรณ์ IoT Craig ได้พิจารณาเรื่องนี้แล้ว TechRadar Pro พูดคุยกับ Craig เกี่ยวกับสิ่งที่ทำให้เขากลายเป็นนักวิจัยด้านความปลอดภัย และยังให้รายละเอียดเพิ่มเติมเกี่ยวกับการค้นพบสมาร์ทล็อกที่มีช่องโหว่ล่าสุดของเขา ตลอดจนช่องโหว่ด้านความเป็นส่วนตัวของตำแหน่งที่ตั้งในสองส่วน ของผลิตภัณฑ์เพื่อผู้บริโภคยอดนิยมของ Google
ช่วยบอกเราหน่อยได้ไหมเกี่ยวกับงานของคุณกับทีม Tripwire Vulnerability and Exposure Research (GREEN)
งานของฉันในฐานะ Senior GREEN Security Investigator นั้นมีความหลากหลายอย่างไม่น่าเชื่อ และฉันมักจะสวมหมวกหลายใบตลอดทั้งสัปดาห์หรือแม้แต่วัน งานของฉันคือติดตามแนวโน้มความปลอดภัยระดับต่ำและสามารถเปลี่ยนจากเทคโนโลยีหรือฟีเจอร์หนึ่งไปเป็นอีกเทคโนโลยีหนึ่งได้ตลอดเวลา นอกเหนือจากการเขียนแบบทดสอบช่องโหว่ระยะไกลจำนวนมากสำหรับ IP360 แล้ว ฉันยังมีส่วนร่วมในการแนะนำนโยบายความปลอดภัยภายในอย่างสม่ำเสมอ ตลอดจนแง่มุมต่างๆ ของการออกแบบผลิตภัณฑ์ Tripwire ที่ปลอดภัย ฉันยังใช้เวลามากมายในการอ่านและทดลอง สิ่งนี้นำไปสู่โครงการวิจัยของฉันเอง ซึ่งบางโครงการจบลงด้วยการนำเสนอหรือแม้แต่หลักสูตรในการประชุมด้านความปลอดภัยที่มีชื่อเสียง เช่น Black Hat, DEF CON และ SECtorอะไรทำให้คุณเปลี่ยนจากวิศวกรมาเป็นนักวิจัยด้านความปลอดภัย
ไม่ว่าจะเป็นการสำรวจ COCOT (โทรศัพท์สาธารณะ) ที่ห้างสรรพสินค้าในฐานะทวีตหรือแสดงให้ผู้บริหารโรงเรียนมัธยมศึกษาเห็นว่าเขาสามารถเข้าถึงระบบการให้คะแนนได้ง่ายเพียงใด ฉันมักจะสนใจในแง่มุมด้านความปลอดภัยของเทคโนโลยี และโชคดีที่ได้เป็น สามารถสร้างอาชีพจากมันได้อะไรคือภัยคุกคามด้านความปลอดภัยที่ใหญ่ที่สุดสำหรับอุปกรณ์ IoT ในปัจจุบัน และผู้ผลิตอุปกรณ์จะทำให้ผลิตภัณฑ์ที่เชื่อมต่อของตนปลอดภัยยิ่งขึ้นได้อย่างไร
มีความเสี่ยงมากมายที่เกี่ยวข้องกับ IoT ขึ้นอยู่กับแอปพลิเคชัน แต่ในระดับทั่วไป ความเสี่ยงที่ใหญ่ที่สุดจากมุมมองของฉันคือการที่อินเทอร์เน็ตไม่เสถียรที่อาจเกิดขึ้น อันเป็นผลมาจากผู้ให้บริการ IoT รายใหญ่ถูกบุกรุก ผู้โจมตีที่เข้าถึงโครงสร้างพื้นฐานระบบคลาวด์ของอุปกรณ์ IoT ยอดนิยมอาจส่งมัลแวร์ไปยังบ้านและสำนักงานทั่วโลก ความเสียหายจากการโจมตีที่ซับซ้อนเช่นนี้อาจดูแคระกว่าของ Mirai หรือแม้แต่ WannaCry หรือ NotPetyaเขาเพิ่งค้นพบช่องโหว่ในสมาร์ทล็อคแบรนด์ยอดนิยม คุณช่วยบอกเราเพิ่มเติมเกี่ยวกับสิ่งที่คุณค้นพบและสิ่งที่กระตุ้นให้คุณตรวจสอบความปลอดภัยล็อคอัจฉริยะตั้งแต่แรกได้ไหม
สำหรับล็อคอัจฉริยะนี้ ฉันพบว่าผู้ขายเปิดประตูทิ้งไว้สำหรับผู้โจมตี โดยเฉพาะอย่างยิ่ง เอเจนต์คิวข้อความที่ใช้ไม่จำเป็นต้องมีชื่อผู้ใช้หรือรหัสผ่าน และอนุญาตให้ทุกคนในโลกแลกเปลี่ยนข้อความกับแม่กุญแจที่เชื่อมต่อกับระบบคลาวด์ จากผู้ให้บริการ ด้วยการเข้าสู่ระบบคลาวด์ของผู้ให้บริการโดยไม่ระบุตัวตน จากนั้นปลดล็อกการทดสอบของฉัน ฉันจึงสามารถสังเกตโทเค็นการเข้ารหัสเพื่อปลดล็อกประตูได้ จากนั้นคุณสามารถเล่นข้อความนี้เพื่อเปิดประตู คุณยังสามารถส่งข้อความอื่นๆ ที่ป้องกันไม่ให้ผู้อื่นเปิดประตูด้วยปุ่มกดหรือเครื่องอ่านลายนิ้วมือ หรือปิดแอปของคุณอย่างไม่มีกำหนด อย่างไรก็ตาม วิธีที่ฉันพบช่องโหว่นี้ค่อนข้างผิดปกติ แทนที่จะเริ่มด้วยผลิตภัณฑ์เฉพาะและมองหาช่องโหว่ ฉันเริ่มด้วยการดูที่โปรโตคอล MQTT ที่ใช้กันทั่วไปใน IoT และมองหาการเปิดเผยข้อมูล ฉันพบผู้ให้บริการบล็อกนี้โดยการค้นหาข้อมูลที่จัดทำดัชนีโดยเครื่องมือค้นหาทางอินเทอร์เน็ต Shodan เพื่อหาที่อยู่อีเมลและคำศัพท์ที่เกี่ยวข้องกับ IoT ฉันสังเกตเห็นเซิร์ฟเวอร์ได้เนื่องจาก Shodan ได้บล็อกที่อยู่อีเมลหลายร้อยรายการที่ส่งไปยัง Shodan เป็นชื่อหัวข้อ MQTTแฮ็กเกอร์สามารถใช้ประโยชน์จากลำโพงอัจฉริยะเพื่อรับข้อมูลเกี่ยวกับเจ้าของได้อย่างไร คุณคิดว่าอุปกรณ์เหล่านี้เป็นภัยคุกคามต่อความเป็นส่วนตัวของผู้ใช้อย่างร้ายแรงหรือไม่?
มีการนำเสนอตัวอย่างในงานวิจัยก่อนหน้าของฉัน ในสถานการณ์นี้ ผู้โจมตีสามารถรับตำแหน่งทางภูมิศาสตร์ที่แม่นยำของลำโพงอัจฉริยะได้ หลังจากที่ใครก็ตามที่เชื่อมต่อกับเครือข่ายนั้นอัปโหลดเนื้อหาที่เป็นอันตรายไปยังเว็บเบราว์เซอร์ผ่านลิงก์โดยตรงหรือโฆษณาแบบฝัง Google แก้ไขปัญหานี้โดยเพิ่มการป้องกันเพื่อป้องกันการโจมตีการผูก DNS การโจมตีอื่น ๆ ที่ฉันรู้จักมักแบ่งออกเป็นสองประเภทหลัก ได้แก่ แอปที่เป็นอันตรายและการส่งคำสั่งเสียงที่ไม่ได้รับอนุญาต ในหมวดหมู่แรก กลุ่มวิจัยต่างๆ ได้พิจารณาวิธีการต่างๆ ที่นักพัฒนาที่ประสงค์ร้ายสามารถดักฟังการสนทนาที่เกิดขึ้นรอบๆ ลำโพงอัจฉริยะ ประเภทที่สองมักจะเกี่ยวข้องกับเทคนิคทางกายภาพประยุกต์ที่ช่วยให้สามารถโต้ตอบกับผู้พูดจากนอกบ้านได้ เทคนิคที่มีประสิทธิภาพมากที่สุดในเรื่องนี้ดูเหมือนจะเป็นการใช้เลเซอร์เพื่อกระตุ้นเสียงโดยตรงไปยังไมโครโฟนของอุปกรณ์ โดยส่วนตัวแล้วฉันไม่กังวลเกี่ยวกับแฮ็กเกอร์ที่ใช้ประโยชน์จากลำโพงอัจฉริยะมากนัก สิ่งสำคัญคือต้องรู้ว่าคุณเปิดใช้เนื้อหาของบุคคลที่สามใดและคุณให้ลำโพงอัจฉริยะเข้าถึงอะไรได้บ้าง แต่สุดท้ายแล้ว ด้วยอุปกรณ์รุ่นปัจจุบัน ฉันไม่กังวลเกี่ยวกับการแฮ็กมากนัก เป็นรายบุคคลที่เป็นอันตราย ฉันกังวลมากขึ้นเกี่ยวกับความเป็นไปได้ที่ผู้ขายจะใช้ประโยชน์จากการเข้าถึงบ้านของเราโดยการขายข้อมูลที่ได้รับเกี่ยวกับเราให้กับผู้ลงโฆษณาหรือแม้แต่การบังคับใช้กฎหมายจากช่องโหว่ทั้งหมดที่คุณค้นพบ ช่องโหว่ใดที่น่าสนใจที่สุดและเพราะเหตุใด
จากมุมมองทางเทคนิค งานวิจัยของฉันเกี่ยวกับช่องโหว่การเข้ารหัสนั้นน่าสนใจมาก ในปี 2018 ฉันมีโอกาสร่วมเขียน Oracle Threat (ROBOT) ของ The Return of Bleichenbacher กับ Hanno Böck และ Dr. Juraj Somorovsky นอกเหนือจากข้อบกพร่องที่น่าสนใจอย่างลึกซึ้งที่เราค้นพบแล้ว การตรวจสอบนี้ต้องการให้เราระบุและประสานงานระหว่างรายชื่อผู้ขายจำนวนมากที่ได้รับผลกระทบเพื่อเปิดเผยในระดับที่เราไม่เคยเกี่ยวข้องด้วยมาก่อน นอกจากนี้ยังทำให้ฉันได้รับรางวัล Pwnie Award ที่ Black Hat ในปีนั้น และจุดประกายให้ฉันสำรวจปัญหาคริปโตอื่นๆ เช่น GOLDENDOODLE และ Zombie POODLE ที่ฉันเปิดเผยในปี 2019คุณจะให้คำแนะนำอะไรแก่ธุรกิจที่กำลังพิจารณานำ IoT หรืออุปกรณ์เชื่อมต่ออื่นๆ มาใช้
เช่นเดียวกับการนำเทคโนโลยีมาใช้ บริษัทต่างๆ จะต้องชั่งน้ำหนักผลประโยชน์ที่อาจเกิดขึ้นกับความเสี่ยงที่อาจเกิดขึ้น องค์กรยังต้องพิจารณาการลงทุนเหล่านี้ในบริบทที่กว้างขึ้นของธุรกิจและความสามารถในการดำเนินงาน ผู้มีอำนาจตัดสินใจต้องพิจารณาสถานการณ์ What-if ที่แตกต่างกันเพื่อให้เข้าใจอย่างถ่องแท้ว่าพวกเขากำลังเข้าสู่ IoT อย่างไร ต่อไปนี้เป็นคำถามที่ต้องถาม:- จะเกิดอะไรขึ้นถ้า X ไม่พร้อมใช้งาน