ข้ามไปที่เนื้อหาหลัก

สรุป OWASP Top 10 Internet of Things ปี 2018 (ภาษาไทย)

สรุป OWASP Top 10 Internet of Things ปี 2018 (ภาษาไทย)


OWASP (Open Web Application Security Project) องค์กรไม่แสวงหาผลกำไรที่เน้นวิจัยทางด้าน Web Application Security ออกเอกสาร OWASP Top 10 ทางด้าน Internet of Things ฉบับปี 2018 เพื่อให้ผู้ผลิตและนักพัฒนาที่สนใจทางด้าน IoT Security ได้ดาวน์โหลดไปศึกษาฟรีๆ ครับ


OWASP Internet of Things Project ถูกออกแบบมาเพื่อช่วยผู้ผลิต นักพัฒนา และผู้บริโภคเข้าใจประเด็นด้านความมั่นคงปลอดภัยที่เกี่ยวข้องกับ Internet of Things (IoT) ได้ดียิ่งขึ้น และช่วยให้ผู้ใช้ในบริบทต่างๆ สามารถตัดสินใจเกี่ยวกับความมั่นคงปลอดภัยเมื่อทำการสร้าง วางระบบ หรือประเมินเทคโนโลยี IoT ได้ดีขึ้นกว่าเดิม ซึ่ง OWASP Top 10 Internet of Things ปี 2018 ประกอบด้วยความเสี่ยงทั้งหมด 10 ประการที่มักเจอบนระบบ IoT ซึ่งสามารถสรุปได้ ดังนี้

1. รหัสผ่านอ่อนแอเกินไป คาดเดาได้ง่าย หรือถูกฮาร์ดโค้ดไว้

ใช้ Credentials ที่ง่ายต่อการถูก Brute Force, พบได้ทั่วไปในสาธารณะ หรือไม่สามารถเปลี่ยนแปลงได้ รวมไปถึง Backdoors ในเฟิร์มแวร์หรือซอฟต์แวร์ Client ที่ให้สิทธิ์ในการเข้าถึงแบบ Unauthorized Access บนระบบที่วางไว้

2. Network Services ที่ไม่มั่นคงปลอดภัย

Network Services ที่ไม่จำเป็นหรือไม่มั่นคงปลอดภัยที่รันอยู่บนตัวอุปกรณ์เอง โดยเฉพาะ Services ที่สามารถเข้าถึงได้จากอินเทอร์เน็ต ซึ่งก่อให้เกิดปัญหาด้านการักษาความลับ ความถูกต้อง หรือความพร้อมในการให้บริการของข้อมูล (CIA) หรือก่อให้เกิดการเข้าควบคุมจากระยะไกลได้โดยไม่ได้รับอนุญาต

3. Ecosystem Interfaces ที่ไม่มั่นคงปลอดภัย

Web, Backend API, Cloud หรือ Mobile Interfaces บน Ecosystem ภายนอกอุปกรณ์ที่ก่อให้เกิดปัญหาด้านความมั่นคงปลอดภัยกับอุปกรณ์หรือส่วนประกอบที่เกี่ยวข้อง ปัญหาทั่วไปที่พบ ได้แก่ ไม่มีการพิสูจน์ตัวตนหรือการกำหนดสิทธิ์ในการเข้าถึง, ไม่มีการเข้ารหัสหรือใช้การเข้ารหัสที่ไม่แข็งแกร่งเพียงพอ และไม่มีการกรอก Input และ Output

4. การขาดกลไกในการอัปเดตอย่างมั่นคงปลอดภัย

การขาดความสามารถในการอัปเดตอุปกรณ์อย่างมั่นคงปลอดภัย ซึ่งรวมไปถึง ไม่มีการตรวจสอบเฟิร์มแวร์บนอุปกรณ์, ไม่มีการส่งมอบเฟิร์มแวร์อย่างมั่นคงปลอดภัย (ไม่เข้ารหัสบนช่องทางที่ส่ง), ไม่มีกลไกในการป้องกันการ Rollback และไม่มีการแจ้งเตือนเมื่อมีการเปลี่ยนแปลงที่เกี่ยวข้องกับความมั่นคงปลอดภัยจากการอัปเดต

5. การใช้ส่วนประกอบที่ไม่มั่นคงปลอดภัยหรือล้าสมัย

การใช้ส่วนประกอบของซอฟต์แวร์หรือไลบราลี่ที่ล้าสมัย (เลิกใช้ไปแล้ว) หรือไม่มั่นคงปลอดภัย ซึ่งอาจก่อให้เกิดปัญหาด้านความมั่นคงปลอดภัยแก่อุปกรณ์ รวมไปถึงการปรับแต่งแพลตฟอร์มระบบปฏิบัติการอย่างไม่มั่นคงปลอดภัย และการใช้ส่วนประกอบของซอฟต์แวร์และฮาร์ดแวร์ของผู้อื่นที่ได้มาจาก Supply Chain ที่ไม่มั่นคงปลอดภัย

6. การปกป้องความเป็นส่วนบุคคลไม่เพียงพอ

ข้อมูลส่วนบุคคลของผู้ใช้ที่ถูกจัดเก็บบนอุปกรณ์หรือบน Ecosystem ถูกนำไปใช้อย่างไม่มั่นคงปลอดภัย ไม่เหมาะสม หรือไม่ได้รับอนุญาต

7. การจัดเก็บและรับส่งข้อมูลอย่างไม่มั่นคงปลอดภัย

ไม่มีการเข้ารหัสข้อมูลหรือการควบคุมการเข้าถึงข้อมูลสำคัญในทุกๆ ที่ภายใน Ecosystem ไม่ว่าจะเป็นขณะถูกจัดเก็บ (At rest), ขณะรับส่ง (In transit) หรือขณะประมวลผล (Processing)

8. การขาดการบริหารจัดการอุปกรณ์

การขาดการสนับสนุนด้านความมั่นคงปลอดภัยบนอุปกรณ์ที่ใช้งานบนสายการผลิต ไม่ว่าจะเป็น Asset Management, Update Management, Secure Decommissioning, Systems Monitoring และ Response Capabilities

9. การตั้งค่าจากโรงงานที่ไม่มั่นคงปลอดภัย

อุปกรณ์หรือระบบถูกส่งมาโดยใช้การตั้งค่าจากโรงงาน (Default Settings) ที่ไม่มั่นคงปลอดภัย หรือไม่ยอมให้ผู้ประกอบการแก้ไขการตั้งค่าเพื่อทำให้ระบบมีความมั่นคงปลอดภัยมากยิ่งขึ้น

10. การขาดการเสริมแกร่งให้แก่อุปกรณ์ทางด้านกายภาพ

ไม่มีมาตรการเสริมแกร่งให้แก่อุปกรณ์ทางด้านกายภาพ (Physical Hardening) ซึ่งช่วยให้แฮ็กเกอร์สามารถทราบถึงข้อมูลสำคัญ ส่งผลให้สามารถทำการโจมตีจากระยะไกลหรือเข้าควบคุมอุปกรณ์จากภายในได้ในอนาคต
ผมพยายามแปลเป็นภาษาไทยให้เข้าใจง่ายๆ สำหรับผู้ที่ต้องการอ่าน OWASP Top 10 Internet of Things ปี 2018 ฉบับเต็มภาษาอังกฤษ รวมไปถึงหลักการและเหตุผล กระบวนการจัดทำเพื่อให้ได้มาซึ่งเอกสารดังกล่าว สามารถดูรายละเอียดเพิ่มเติมได้ที่: https://www.owasp.org/index.php/OWASP_Internet_of_Things_Project

ความคิดเห็น

แสดงความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

วิธีใช้ Google Form ส่งข้อความเข้า LINE Notify

วิธีใช้ Google Form ส่งข้อความเข้า LINE Notify           ขั้นตอนต่อไปนี้จะข้ามส่วนของรายละเอียดบางอย่างไป ซึ่งก่อนจะทำตรงนี้ควรจะรู้แล้วว่า LINE Notify ใช้ทำอะไร และ Access Token จะเอามาจากไหน แต่จะพยายามอธิบายให้ครอบคลุมที่สุดก็แล้วกัน Update: 2019/06/10 ในท้ายบทความได้เพิ่มคำอธิบายเรื่องการส่งข้อมูลหลายกล่องข้อมูล (คอลั่ม) พร้อมกับ code ที่วนลูปข้อมูลทุกกล่อง เพื่อความสะดวกในการส่งข้อมูลในรูปแบบเดิม สร้าง Google Form วิธีสร้างก็ง่ายแสนง่าย เข้าไปที่  https://docs.google.com/forms  จากนั้น คลิกตรงเครื่องหมาย + ตามภาพ จะได้ form หน้าตาแบบนี้มา แก้ไขตามสะดวกเลย ตัวอย่างเอาแบบนี้แล้วกัน จะลองส่งข้อความคลิกที่รูป “ตา” พิมพ์ข้อความอะไรก็ได้ แล้ว กด Submit โลด กลับไปหน้า Form ของเราใน tab แรก มันก็จะมี RESPONSES เข้ามา เมื่อคลิกดูก็จะพบข้อความที่เราเพิ่งพิมพ์ไปเมื่อตะกี้ ใส่ code ใน Script Editor คลิกที่ จุด 3 จุด ด้านขวาบน แล้วเลือก  <> Script Editor จะพบหน้าเปล่าๆ ที่ไม่คุ้นเคย ตรงนี้แหละที่เราจะมาใส่ code ใ...
แสดงความคิดเห็น
อ่านเพิ่มเติม

ทำความเข้าใจ LM, NTLM, NTLMv2

ทำความเข้าใจ LM, NTLM, NTLMv2  วันนี้เราจะมาทำความเข้าใจเกี่ยวกับรูปแบบการเก็บ password ของ Windows โดยแต่ก่อนจนถึงปัจจุบันก็มีพัฒนาการมาเรื่อยๆครับ ซึ่งจะเริ่มจาก LM (Lan Manager) hash โดย LM นั้นเป็นรูปแบบดั้งเดิมในการเก็บ password ของ Windows ตั้งแต่ยุค 1980 ซึ่งในช่วงนั้นยังมีจำนวน charset ที่ยังจำกัดอยู่(16-bits characters) ซึ่งทำให้การ crack password นั้นทำได้ง่ายมากโดยดึงจาก SAM database บน Windows หรือว่า NTDS บน Domain Controller (Active Directory) ได้เลย โดยขั้นตอนการเปลี่ยน password อยู่ในรูปแบบ LM hash คือ เปลี่ยนอักษรทั้งหมดเป็นตัวใหญ่ หากตัวอักษรไม่ครบ 14 ตัวอักษรก็จะเติมตัวอักษรทั้งหมดให้เต็มด้วย NULL characters แบ่งเป็น 2 กลุ่ม กลุ่มละ 7 ตัวอักษร สร้าง DES key จาก character 7 ตัวทั้ง 2 กลุ่ม ก็จะได้ DES key 2 ชุด (ชุดละ 64 bit) นำ DES key ไปเข้ารหัส static string “KGS!@#$%” ด้วย DES (ECB) นำ encrypted strings ทั้ง 2 อันมาต่อกัน ก็จะได้เป็น LM Hash เช่น สมมติ password เป็น password password => password000000 PASSWORD000000 PASSWOR...
แสดงความคิดเห็น
อ่านเพิ่มเติม

OC และเซตค่า RAM ในระบบ Ryzen ได้ง่ายๆ ด้วยโปรแกรม DRAM Calculator for Ryzen

OC และเซตค่า RAM ในระบบ Ryzen ได้ง่ายๆ ด้วยโปรแกรม DRAM Calculator for Ryzen สำหรับใครที่ใช้ซีพียู Ryzen นะครับ ผมเชื่อว่าต้องมีหลายคนที่ปวดหัวกับเรื่องแรม นอกจากจะเป็นเรื่องการเลือกแรมให้ถูกรุ่นแล้ว  ยังมีเรื่องของการตั้งค่าแรมในไบออสอีก แต่วันนี้ผมมีโปรแกรมแนะนำที่ชื่อ  DRAM Calculator for Ryzen  เพื่อใช้ในการปรับตั้งค่าไบออส ให้ระบบสามารถทำงานร่วมกับแรมได้อย่างมีประสิทธิภาพ แถมยังใช้ในการ OC แรมได้ด้วยนะ โปรแกรมที่จำเป็นต้องใช้นะครับ จะมีอยู่ 2 โปรแกรม คือ DRAM Calculator for Ryzen  ( ลิ้งค์ดาวน์โหลด ) Thaiphoon Burner  ( ลิ้งค์ดาวน์โหลด ) แนะนำให้ทุกคนอัปเดตไบออสตัวล่าสุด ก่อนการใช้งานนะครับ จะได้เรียกประสิทธิภาพจากไบออสได้อย่างเต็มที่ เมื่อดาวน์โหลดโปรแกรม และแตกไฟล์เรียบร้อย ขั้นตอนแรกเราต้องเช็คข้อมูลแรมของเราก่อน ด้วย  Thaiphoon Burner  เปิดโปรแกรมขึ้นมาเลยครับ ( คลิกขวาที่โปรแกรม แล้วเลือก Run as Administrator นะครับ ) จากนั้นให้เลือก  Read  และเลือก  Read SPD  อันแรก ข้อมูลของชิปแรมก็จะปรากฏให...
แสดงความคิดเห็น
อ่านเพิ่มเติม