ภัยร้ายที่มากับ Free Wi-Fi
แน่นอนว่าการใช้ Wi-Fi สาธารณะ อาจไม่ได้ปลอดภัย 100% เพราะมิจฉาชีพหรือแฮ็กเกอร์ นำ Wi-Fi มาเป็นเครื่องมือเจาะระบบ ซึ่งไม่นานมานี้ได้เกิดเหตุที่บ่งบอกว่าการโจมตีลักษณะนี้ยกระดับขึ้นแล้ว
โจมตีบนระบบขนส่งสาธารณะ
ที่ลอนดอน ประเทศอังกฤษ เกิดเหตุโจมตีเครือข่ายอินเตอร์เน็ต จนสถานีรถไฟไม่สามารถใช้งานอินเตอร์เน็ตผ่าน Wi-Fi ได้ รายงานระบุว่าการโจมตีกินเวลานาน 1-2 วัน โดยสถานีบางแห่งยังคงประสบปัญหาการเชื่อมต่อ
Manchester Evening News รายงานว่า ผู้โดยสารที่พยายามเชื่อมต่อกับเครือข่ายที่ถูกแฮ็ก ถูกเปลี่ยนเส้นทางไปยังเว็บเพจแปลกๆ ที่แสดงข้อความเช่น “We Love You, Europe” พร้อมกับข้อความที่อ้างอิงถึงการโจมตีของผู้ก่อการร้ายที่เกิดขึ้นในสหราชอาณาจักรและยุโรป
เนื้อหาที่มีการนำเสนอผ่านเว็บแปลกๆ เหล่านี้ บ่งชี้ว่าการโจมตีนี้มีแรงจูงใจสร้างความวุ่นวายและการโฆษณาชวนเชื่อ โดยเฉพาะอย่างยิ่งเมื่อเหตุการณ์เกิดขึ้นหลังจากที่กลุ่มแรนซัมแวร์ CLOP ซึ่งโจมตี กระทรวงคมนาคมอังกฤษ (Transport for London) จนต้องมีการฟื้นฟูระบบครั้งใหญ่
การสืบสวนเพิ่มเติมพบว่าเครือข่ายที่ดูแลโดย Network Rail เจาะจงไปที่ผู้ให้บริการด้านเทคโนโลยี โครงสร้างพื้นฐานดิจิทัลและบริการ Wi-Fi ให้กับสถานีรถไฟต่างๆ ทั่วอังกฤษ อย่าง Telent ซึ่งถูกโจมตีจากแฮ็กเกอร์ที่อาจได้รับการสนับสนุนจากรัฐบาลบางประเทศที่ไม่หวังดีกับอังกฤษ
การโจมตีดังกล่าวส่งผลให้บริการอินเตอร์เน็ต และ Wi-Fi ในสถานีรถไฟในลอนดอนประมาณ 19 แห่ง เป็นอัมพาตจนไม่สามารถใช้บริการอินเตอร์เน็ตได้ สร้างความวุ่นวายให้กับผู้โดยสารและนักเดินทางหลายพันคน ซึ่งต้องพึ่งพาการเข้าถึงอินเทอร์เน็ตที่เชื่อถือได้เพื่อทำงานหรือติดต่อกับครอบครัวระหว่างการเดินทาง
ทั้งนี้ ตำรวจขนส่งของอังกฤษได้ร่วมมือกับศูนย์ความปลอดภัยทางไซเบอร์แห่งชาติของอังกฤษ (NCSC) ซึ่งเป็นหน่วยงานด้านความปลอดภัยทางไซเบอร์ที่อยู่ภายใต้หน่วยข่าวกรองสหราชอาณาจักร เริ่มการสืบสวนหาผู้กระทำผิด พร้อมกับออกมาตรการรักษาความปลอดภัยที่เข้มงวดขึ้น
อันตรายจากการใช้ Wi-Fi ในสนามบิน
ใครจะไปคิดว่าในสนามบินที่มีการให้บริการ Wi-Fi สาธารณะ จะมีกลุ่มแฮ็กเกอร์สร้างเครือข่าย Wi-Fi ปลอมขึ้น กรณีนี้เกิดขึ้นในสนามบินที่ประเทศออสเตรเลียเมื่อมีการจับกุมกลุ่มแฮ็กเกอร์ที่ใช้การโจมตีผ่าน Wi-Fi แบบ Evil Twins ซึ่งเป็นรูปแบบหนึ่งของการโจมตีไซเบอร์แบบ Man in a middle นั่นคือการสร้างเครือข่าย Wi-Fi ปลอม โดยเมื่อมีมือถือหรือคอมพิวเตอร์เครื่องใดเชื่อมต่อ แฮ็กเกอร์ก็จะสามารถขโมยข้อมูลส่วนบุคคลจากอุปกรณ์เหล่านั้นได้
Matt Radolec vice president of incident response and cloud operations at data security ของบริษัท Varonis ให้ความเห็นว่า ผู้คนส่วนใหญ่มักคุ้นเคยกับการใช้ Wi-Fi ฟรี และมักจะไม่ระวัง ไม่ตรวจสอบก่อนจนถูกแฮ็ก โดยสาเหตุหนึ่งที่ทำให้การโจมตีในลักษณะนี้เกิดเพิ่มขึ้น นั่นเพราะสนามบินส่วนใหญ่มักมีการจ้าง บริษัท Outsource มาติดตั้งระบบให้ ซึ่งสนามบินเองก็อาจละเลยในการวางระบบด้านความปลอดภัยด้วยตัวเอง
Boingo ซึ่งเป็นผู้ให้บริการ WiFi ในสนามบินประมาณ 60 แห่ง ในทวีปอเมริกาเหนือ ระบุว่า บริษัทสามารถบอกจุดเชื่อมต่อ WiFi อันตรายได้ผ่านระบบการจัดการเครือข่าย นอกจากนี้ยังให้คำแนะนำว่าวิธีที่ดีที่สุดในการปกป้องผู้โดยสาร หรือนักท่องเที่ยวที่มาใช้บริการ คือการใช้ Passpoint ซึ่งเป็นโปรโตคอล Wi-Fi Alliance (WFA) ที่ช่วยให้อุปกรณ์ค้นพบและตรวจสอบสิทธิ์กับฮอตสปอต Wi-Fi ที่เข้าถึงอินเทอร์เน็ตได้
อย่างไรก็ตามการป้องกันที่ดีที่สุดคือ การใช้เครือข่ายอินเตอร์เน็ตของตัวเอง หรือ Wi-Fi ของตัวเอง โดยหากต้องใช้จริงก็ไม่ควรเชื่อมต่อเครือข่ายอื่นในสถานที่ที่ไม่คุ้นเคย
Wi-Fi องค์กร ถูกแฮ็กอยู่หรือไม่
เพื่อวางแผนป้องกันรวมถึงรับมือเมื่อเกิดเหตุไม่คาดคิดแก่การใช้งานขององค์กร Security Pitch ขอเสนอโซลูชัน Cybersecurity โมดูล Log Management ที่จะรวบรวม จัดเก็บไฟล์ Log และข้อมูลด้านความปลอดภัยพร้อมหาความสัมพันธ์เกี่ยวกับเหตุภัยคุกคาม ซึ่งได้รับรองคุณภาพผลิตภัณฑ์ OneFence 1.0 ตามมาตรฐานการเก็บรักษาข้อมูลจราจรทางคอมพิวเตอร์ ของศูนย์เทคโนโลยีอิเล็กทรอนิกส์และคอมพิวเตอร์แห่งชาติ (NECTEC) และยังได้ใบรับรองสินค้าที่ผลิตในประเทศไทย Made in Thailand (MiT) จากสภาอุตสาหกรรมแห่งประเทศไทย รวมถึงมีโมดูล SIEM ที่จะวิเคราะห์หาความสัมพันธ์ แจ้งเตือน เพื่อป้องกันและตรวจจับภัยคุกคามทางไซเบอร์ ซึ่งจะทำงานร่วมกับ Log Management ในการตรวจจับความผิดปกติ วิเคราะห์หาความสัมพันธ์ของเหตุภัยคุกคามของระบบหรืออุปกรณ์ เช่น
- Firewall
- IPS/IDS
- Servers
- Windows Server
- Active Directory
- Databases
- Anti-Virus
- Application
- Web Application Firewall
- Mail gateway
สำหรับวิธีการตรวจสอบเริ่มจาก Log Management ทำการเก็บข้อมูลจาก Access Point หรืออุปกรณ์เครือข่ายที่มีการเชื่อมต่อไว้ ในกรณีนี้คือมีการเชื่อม Wi-Fi ไว้ จากนั้นจึงนำข้อมูล Raw Log (ข้อมูล Log จากอุปกรณ์ต่างๆ ที่ไม่ได้ผ่านการประมวลผล) มาคัดแยกข้อมูล โดยการทำ Log Parser (เครื่องมือหรือซอฟต์แวร์ที่ใช้ในการอ่าน วิเคราะห์ และแยกแยะข้อมูลจาก log file) และส่งต่อข้อมูลไปยัง โมดูล SIEM ซึ่งจะต้องมีการตั้ง Detection Rule (กฎหรือชุดของเงื่อนไขที่ใช้ในการตรวจจับกิจกรรมที่น่าสงสัย หรือพฤติกรรมผิดปกติภายในระบบเครือข่ายหรืออุปกรณ์ต่างๆ) หลังจากนั้นเมื่อระบบตรวจพบความผิดปกติตามที่ได้ตั้ง Detection Rule ไว้ ซึ่งอาจเป็นภัยคุกคามทางไซเบอร์แล้ว ระบบจะมีการส่งแจ้งเตือนไปยังอีเมล หรือ Line นอกจากนี้ระบบยังสามารถส่งสรุปผลการดำเนินงาน รายงานต่อผู้ที่เกี่ยวข้อง และจัดทำ Incident Report หรือรายงานบันทึกและสรุปเหตุการณ์ที่เกิดขึ้นในระบบขององค์กร ซึ่งเกี่ยวข้องกับความผิดปกติ ที่เกิดจากการโจมตีทางไซเบอร์ เป็นต้น
ที่มา : CNBC, Cybersecurity Insiders