Physical Intrusions เมื่อการแฮกไม่ได้เริ่มแค่บนหน้าจอ
(Image source: https://www.pinterest.com/pin/34832597115735795/)
วันนี้เราจะพาไปดูอีกด้านหนึ่งของการเจาะระบบที่ไม่ได้เป็นเรื่องแปลกใหม่อะไร แต่หลายคนอาจจะลืมนึกถึง นั่นคือ “การบุกรุกทางกายภาพ” (Physical Intrusions) หรือพูดง่าย ๆ คือ การบุกองค์กรแบบเดินดุ่ยเข้าไปเฉย ๆ เพื่อจะเข้าถึงอะไรบางอย่างในองค์กรที่เป็นเป้าหมายนั้น เพราะแม้เราจะคุ้นภาพแฮกเกอร์ที่นั่งหน้าจอทั้งวัน แต่ในหลายกรณีภัยไซเบอร์ที่ลามไปถึงระดับเครือข่าย ไม่ได้เริ่มจาก Payload ไม่ได้เริ่มจากโค้ดหรือช่องโหว่ใด ๆ เลย แต่เริ่มจากคนแปลกหน้าคนเดียวที่เดินผ่านประตูมาได้แบบเนียน ๆ
หลายองค์กรกำลังทุ่มงบประมาณมหาศาลไปกับระบบตรวจจับผู้บุกรุกทางดิจิตัล แต่ลืมไปว่าในความเป็นจริง ข้อมูลหรือความลับขององค์กรจำนวนมากยังคงถูกเก็บอยู่ในห้องเซิร์ฟเวอร์บนอาคาร ในลิ้นชักเอกสาร ตู้เอกสารหลังออฟฟิศ หรือกระทั่งในสมุดโน้ตบนโต๊ะทำงาน สิ่งเหล่านี้แหละที่อาจจะส่งผลให้เกิดภัยคุกคาม ที่ไม่ได้เริ่มจากช่องโหว่ในแอปพลิเคชันต่าง ๆ หรือบนออนไลน์เสมอไป
ในโลกของความมั่นคงปลอดภัย ไม่ว่าจะเป็นด้านไซเบอร์หรือด้าน Physical หลักคิดสำคัญที่อยู่เบื้องหลังระบบป้องกันทุกแบบคือ “การควบคุมการเข้าถึง” เรามักนึกถึงรหัสผ่าน การพิสูจน์ตัวตนหลายขั้น หรือไฟร์วอลล์ที่คอยกันทราฟฟิกไม่พึงประสงค์ แต่ความจริงแล้วแนวคิดเดียวกันนี้ครอบคลุมไปถึงประตูหน้าบริษัท ล็อกเกอร์เก็บอุปกรณ์ ห้องเซิร์ฟเวอร์ และแม้แต่โถงทางเดินในอาคาร
ในหลักสูตรด้านความปลอดภัยที่ใช้สอนกันก็คือเรื่อง Access Control Model ซึ่งเป็นพื้นฐานที่สุดและเรียบง่ายที่สุดมีแค่สามตัวเท่านั้น คือ Subject, Object และ Rule
สามตัวนี้ดูเหมือนน้อยแต่เป็นรากของทุกระบบป้องกันที่เราใช้ในชีวิตประจำวัน ตั้งแต่การล็อกอินเข้าแอป ไปจนถึงการสแกนบัตรเดินเข้าประตูตึกองค์กร
ถ้ามองในมุม Physical ก็ยิ่งจำง่ายขึ้นไปอีก ใคร > จะไปไหน > มีสิทธิ์ไหม
Subject (ใคร) คือใครก็ตามที่อยากเข้าถึงอะไรบางอย่าง จะเป็นผู้ใช้, แอป, โปรเซส หรือคนที่เดินถือแฟ้มเข้ามาก็ไม่ต่างกัน
Object (จะไปไหน) คือของที่ต้องปกป้อง จะเป็นไฟล์, เซิร์ฟเวอร์, ห้องเอกสาร หรือพื้นที่ห้ามเข้าก็เข้าข่ายหมด
Rule (มีสิทธิ์ไหม) คือกติกาที่บอกว่า Subject ทำอะไรกับ Object ได้บ้าง เข้ามาตอนไหน ใช้วิธีไหน ใครอนุญาตหรือไม่อนุญาต
ถ้าระบบไหนตั้งสามอย่างนี้ไม่ครบ ไม่ชัด หรือบังคับใช้ไม่จริง ช่องโหว่ก็เริ่มก่อตัวตั้งแต่หน้าประตูแล้ว ซึ่งหลายองค์กรออกแบบกฎ Access Control Model พวกนี้ไว้ดีมาก แต่มักจะใช้เฉพาะกับระบบ ITเท่านั้น พอเป็นพื้นที่จริงกลับกลายเป็นอีกเรื่อง เช่น คนนอกองค์กรเดินเข้ามาแบบไม่ต้องแสดงบัตร พนักงานกดประตูให้คนข้างหลังเพราะเกรงใจ หรือบัตร visitor ที่เดินทั่วตึกทั้งวันด้วยสิทธิ์เกือบเท่าพนักงานจริง นี่แหละ Subject ผิดคน ที่หลุดเข้ามาแบบไม่มี Rule รองรับ
ระบบที่ดีจะต้องบังคับใช้กฎเหล่านี้อย่างจริงจัง ตั้งแต่ประตูแม่เหล็ก กล้องวงจรปิด ไปจนถึงตู้เซิร์ฟเวอร์ที่จำกัดการเข้าถึงอย่างรัดกุม เพราะถ้าป้องกันพลาดเพียงจุดเดียว แค่ก้าวแรกที่ผู้ไม่หวังดีเดินผ่านประตูเข้ามา ก็อาจสร้างความเสียหายระดับเครือข่ายได้ทันที
ภัยคุกคามที่เริ่มขึ้นหลังก้าวเข้าประตู
เมื่อภัยคุกคามที่ไม่ได้เริ่มบนหน้าจอ มันเริ่มตั้งแต่เท้าที่ก้าวเข้าประตู หน้าเคาน์เตอร์ต้อนรับ
และถ้าลองนึกถึงระบบ IT ในองค์กรที่แน่นปึ้ก แต่เปลี่ยนมาใช้การโจมตีแบบ Physical แทน อาจจะทำให้เข้าถึง Object ได้ง่ายกว่าการยิง Payload จากนอกองค์กรซะอีก มายกตัวอย่างให้เห็นภาพ
- พนักงานวางบัตรไว้จองโต๊ะอาหาร
- พอร์ต LAN ใต้โต๊ะประชุมที่ยังเปิดให้ใช้งานได้อยู่
- เครื่องพนักงานที่ปล่อยล็อกอินค้างไว้ในช่วงพัก
- ห้องเซิร์ฟเวอร์ที่ไม่ได้ล็อก
ถ้าเข้ามาได้ครั้งเดียวแล้วระบบมีช่องโหว่ ผู้โจมตีก็สามารถวางของ ปล่อย Implant ไว้ในระบบ, ยกระดับสิทธิ์, เปิดช่องทางเข้าถาวร และทำทุกอย่างได้ โดยที่กล้องจับภาพแค่คนเดินผ่านไปเฉย ๆ
การบุกรุกที่เริ่มจากการสังเกต ไม่ใช่โค้ด
โดยปกติเมื่อพูดถึง Physical Intrusions สำหรับทีมผู้ทดสอบเราจะเรียกมันว่า Physical Pentest ซึ่งเป็นกระบวนการประเมินความปลอดภัยเชิงกายภาพที่ทำโดยได้รับอนุญาตจากองค์กร และจำลองพฤติกรรมของผู้โจมตีจริงให้มากที่สุด
และก่อนเริ่มภารกิจ สิ่งแรกที่ผู้ทดสอบต้องทำเหมือนกับแฮกเกอร์ตัวจริงคือ สำรวจพื้นที่หน้างาน หรือที่เรามักเรียกกันสั้น ๆ ว่า Reconnaissance จะเรียกว่าการลาดตระเวนก็ได้ อย่างในเอกสาร NIST SP 800–115 ได้ระบุถึงการใช้เทคนิคที่ไม่ใช่ทางเทคนิค (non-technical techniques) เพื่อช่วยระบุทรัพย์สินที่ควรประเมิน เช่นกรณีที่เขายกตัวอย่างไว้ว่า “…another example is assessors performing a walkthrough of a facility to identify assets that were not found by technical techniques…”
นี่คือการยืนยันว่าการเดินสำรวจ (ซึ่งรวมถึงการสังเกตอาคาร เส้นทางเข้าออก จุดอ่อนของพื้นที่ และพฤติกรรมของผู้ใช้อาคาร) เป็นขั้นตอนสำคัญของกระบวนการเก็บข้อมูลก่อนเริ่มโจมตี (Pre-Attack Reconnaissance) ซึ่งถูกใช้เพื่อค้นหา Object ที่ต้องปกป้องในโลกแห่งความเป็นจริง
พูดให้เห็นภาพง่าย ๆ ก่อนจะแฮกอะไรสักอย่าง ผู้ทดสอบต้องอ่านพื้นที่ให้ขาดเสียก่อน ตั้งแต่ดูว่าใครเดินเข้าออก ใช้ทางไหนเพื่อหลบกล้อง ประตูไหนปิดไม่สนิท ไปจนถึงมุมที่พนักงานชอบวางบัตรทิ้งไว้โดยไม่ทันระวัง ข้อมูลเล็ก ๆ เหล่านี้นี่เองที่กลายเป็นจุดตั้งต้นของการวางแผนแทรกซึมในขั้นตอนถัดไป
ตัวอย่างการสำรวจพื้นที่จริงที่เริ่มจากการใช้ประโยชน์จากอินเทอร์เน็ตเป็นแหล่งข้อมูล เช่น
- OSINT ดูลาดเลาก่อนเข้าเขต หาข้อมูลจากเว็บองค์กร เอกสารจัดซื้อ ข่าวประชาสัมพันธ์ รายชื่อผู้ให้บริการ ทำให้รู้ว่าใครเข้าออกตึกบ่อยที่สุด
- SOCMINT ดูนิสัยคนในก่อนลงมือ รูปพนักงานที่ระบุตำแหน่งภายในองค์กร รูปบัตรพนักงานถ่ายลงโซเชียล ทุกอย่างบนโซเชียลคือเบาะแส
- GEOINT วางเส้นทางเข้า-ออก ภาพจาก Google Maps, Street View ไปจนถึงรูปมุมสูงของอาคาร อาคารรอบข้างที่จะใช้ประโยชน์ได้
ทั้งหมดนี้คือภาพรวมก่อนลงพื้นที่จริง จากนั้นถึงไปสำรวจจริง เดินผ่านอาคารเหมือนเป็นคนใน ทั้งหมดเพื่อหาว่าดูว่าตรงไหนมีช่องและจะเลือกลงมือ ถ้าตามหลักอาชญาวิทยาก็จะบอก คนร้ายจะเลือกลงมือเมื่อความคุ้มค่ามากกว่าโอกาสถูกจับได้ (Rational Choice Theory) และสิ่งที่ลดโอกาสถูกจับได้ก็คือ สภาพแวดล้อมที่องค์กรเผลอ เช่น ประตูเปิดค้าง, กล้องมีจุดบอดจุดอับ, พนักงานแลกบัตรแบบ pro forma (ไม่ตรวจจริง), รปภ. เผลอ
เทคนิคภาคสนามของผู้บุกรุก
พอถึงเวลาลุย ผู้บุกรุกจะไม่ใช้วิธีเดียว แต่อาจจะผสมหลายแนวทางเข้าด้วยกัน เพื่อให้การแทรกซึมมีโอกาสสำเร็จสูงสุด โดยผสมสามแนวทางสำคัญนี้
1. Social Hacking
การหลอกล่อหรืออาศัยความไว้วางใจของมนุษย์ วิธีนี้ได้ผลมากที่สุดเพราะพนักงานเป็นจุดอ่อนที่ควบคุมได้ยาก ไม่ว่าจะทำตัวเป็นช่าง IT มาซ่อมระบบ ปลอมเป็นคนส่งของ หรือแค่พูดยิ้มๆ ว่า “ขอเข้าไปแป๊บนะครับ มีนัดอัปเดตระบบ” พนักงานจำนวนมากไม่กล้าปฏิเสธ
2. Physical Hacking
งัดกุญแจ เปิดลิ้นชัก ปิดสัญญาณประตูหนีไฟ หรือใช้เทคนิคง่ายที่สุด tailgating เดินตามพนักงานเข้าไปเหมือนเป็นเพื่อนร่วมงานที่กลับมาจากพักเบรก
3. Digital Hacking หลังเข้ามาได้แล้ว
นี่คือช่วงที่แย่สุดสำหรับองค์กร เพราะจากคนแปลกหน้า กลายเป็นคนในแบบสมบูรณ์ในทันที
ขั้นตอนนี้เกี่ยวกับการใช้การเข้าถึงทาง Physical เพื่อทำการเจาะระบบ เช่น
- โคลนบัตร RFID ด้วยอุปกรณ์ที่ซ่อนในกระเป๋า
- วาง Implant เชื่อมต่อเน็ตเวิร์กภายใน
- ใช้ช่องโหว่ระดับเครื่อง เช่น เครื่องที่ปล่อยทิ้งไว้โดยไม่ล็อก ไม่มีการเข้ารหัสดิสก์ และ BIOS ไม่ได้ตั้งรหัสป้องกัน หรือใช้ BadUSB เสียบเพื่อรันคำสั่งความเร็วสูงภายในไม่กี่วินาที
เมื่อรวมกัน การบุกรุกแบบดิจิทัลหลังเข้ามาในอาคารสามารถยกระดับสิทธิ์และเข้าถึงข้อมูลสำคัญได้รวดเร็วมากภายในไม่กี่นาที Subject ก็กลายเป็น Admin โดยสมบูรณ์
ตัวอย่างภารกิจจริง
เคสแรก ประตูที่เปิดค้างแบบไม่ตั้งใจ
ผู้ทดสอบสามารถเข้าพื้นที่ได้ผ่านที่จอดรถของบริษัท ประตูที่ควรล็อกกลับเปิดค้างอยู่ เขาเดินตรงสู่ห้องดาต้าเซ็นเตอร์โดยไม่มีใครขวาง และมีเวลาเพียงพอในการติดตั้ง Backdoor ก่อนเดินออกไปโดยไม่มีใครสังเกต
เคสสอง เดินตามพนักงานแล้วหายไปในอาคาร
ยืนรอเพียงสิบนาที เดินตามพนักงานเข้าไปได้โดยไม่ต้องโชว์บัตร ฝ่ายต้อนรับไม่สังเกต ค่อยๆ วาง Implant ไว้หลังเครื่องพิมพ์ แล้วกลับออกทางเดิมแบบหน้าตาเฉย กว่าจะรู้ตัว Implant ก็เล่นงานระบบไปหลายวันแล้ว
เคสสาม ปลอมตัวเป็นผู้ให้บริการแล้วเก็บข้อมูลบัตร
ผู้ทดสอบนั่งในมุมอับของกล้อง เข้าใกล้พนักงานทีละคน ใช้อุปกรณ์อ่าน RFID แบบเงียบๆ แล้วนำข้อมูลไปสร้างบัตรปลอมเหมือนของจริง เดินเข้าอาคารทุกชั้นแบบไม่มีใครมอง
ปัจจุบันอุปกรณ์พกพาสำหรับอ่านหรือคัดลอกบัตรมีให้เลือกในตลาดหลายแบบ ตั้งแต่เครื่องมือระดับงานวิจัย ไปจนถึงอุปกรณ์ขนาดพวงกุญแจ เช่น ใช้ Flipper Zero เดินผ่านโต๊ะอาหารที่พนักงานวางบัตรพนักงานทิ้งไว้ตอนกินข้าวเที่ยง ก็ติ๊ด… คัดลอกข้อมูลได้ภายในไม่กี่วินาที เหมือนได้กุญแจผี ที่ผ่านด่านทุกด่าน เดินเข้าอาคารแบบเนียน ๆ เหมือนเจ้าของบัตรจริง
โดยภาพรวมแล้ว Physical Intrusion มีรูปแบบและบริบทที่หลากหลายกว่านี้มาก ทั้งนี้ขึ้นกับอาคาร ระบบควบคุมการเข้าถึง และพฤติกรรมของผู้ใช้อาคารในแต่ละองค์กร ซึ่งนี่เป็นแค่ตัวอย่างเบา ๆ ให้เห็นว่า Physical Intrusion มันเกิดได้ง่ายแค่ไหน
แล้วองค์กรจะป้องกันอย่างไร
ก่อนจะพูดถึงวิธีป้องกัน องค์กรต้องเริ่มจากการมองเห็นตัวเองแบบผู้โจมตีเสียก่อน ซึ่งคำถามชุดนี้คือกระจกที่สะท้อนให้เห็นว่าความเสี่ยงจริงอยู่ตรงไหน
- คนที่ไม่ควรอยู่ในตึก สามารถเดินเข้ามาได้ไหม
- ถ้าเข้ามาแล้ว เขาจะแตะถึงระบบอะไรได้บ้าง
- ข้อมูลลับอะไรที่อาจถูกหยิบไปแบบไม่ต้องใช้เครื่องมือใด ๆ
- ถ้าเซิร์ฟเวอร์ล่มเพราะการแตะต้องทาง Physical จะเกิดอะไรขึ้นบ้าง
- ความเสียหายปลายน้ำจะกระทบธุรกิจนานแค่ไหน
เป็นคำถามที่ไว้ชี้ว่าองค์กรควรเสริมความปลอดภัยตรงไหนก่อน–หลัง
หลังจากรู้รูรั่วของตัวเองแล้ว การป้องกันจริง ๆ จะชัดขึ้นทันทีว่าไม่ได้มีแค่การล็อกหรือต้องเฝ้าประตูเพิ่ม แต่ต้องผสาน 4 ส่วนสำคัญเข้าด้วยกัน
1. Physical Controls (มาตรการด้านอาคารที่ต้องทำให้ได้จริง)
- ประตูทุกบานต้องบังคับใช้กฎควบคุมการเข้าถึงจริง ไม่ใช่แค่มีอยู่ตามนโยบาย
- จุดอ่อนอย่างประตูหลัง ทางขนส่ง ลิฟต์ขนของ ต้องมีการควบคุมเข้มเท่าประตูหน้า
- กล้องและระบบแจ้งเตือนต้องตรวจสอบใช้งานได้ ดูย้อนหลังได้ ไม่ใช่เปิดไว้เฉย ๆ รวมถึงต้องอัปเดตให้มีความปลอดภัยอยู่สม่ำเสมอ
2. Procedural Controls (ขั้นตอนปฏิบัติที่ลดโอกาสพลาดของมนุษย์)
- นโยบายผู้มาติดต่อที่ชัดเจน และปฏิบัติได้จริงในชั่วโมงเร่งด่วน
- ห้ามพนักงานเปิดประตูส่งต่อให้ผู้อื่นโดยไม่ตรวจสอบ
- การเข้าถึงพื้นที่สำคัญต้องยืนยันตัวตนซ้ำ ไม่อาศัยแค่มีบัตรอย่างเดียว
3. Awareness & Culture (วัฒนธรรมความระวังของพนักงาน)
- พนักงานต้องรู้ว่าตัวเองคือ “subject” ที่มีบทบาทในความปลอดภัย
- เข้าใจว่าสิ่งเล็ก ๆ เช่นการเปิดประตูทิ้งไว้ไม่กี่วินาที อาจเป็นจุดเริ่มต้นของเหตุใหญ่
- ฝึกแยกความต่างระหว่างคนใน กับ คนที่ดูเหมือนเป็นคนใน
4. Network Protections (ลดผลกระทบถ้าผู้โจมตีเข้ามาได้จริง)
- ปิดพอร์ต LAN ที่ไม่ได้ใช้
- เปิด NAC/802.1X ให้ครบ
- ใช้แนวคิด Zero Trust ภายในอาคาร ไม่ใช่เฉพาะระบบ IT (หลายองค์กรคิดว่าคนที่เดินเข้ามาในอาคารน่าจะเป็นพนักงาน แต่ Zero Trust ไม่อนุญาตให้คิดแบบนั้น เพราะ Zero Trust ตัวจริงคือ ไม่เชื่ออะไรโดยอัตโนมัติ แม้อยู่ในเขตที่คิดว่าปลอดภัย)
จะเห็นว่าการป้องกัน Physical Intrusion เป็นการผสมผสานระหว่างมาตรการด้านอาคาร การเฝ้าระวัง ขั้นตอนปฏิบัติ และความตระหนักรู้ของพนักงานกับผู้ให้บริการ ประตูทุกบานต้อง Enforce Rule พนักงานทุกคนต้องรู้ว่าตัวเองเป็น Subject และทุก Object ต้องรู้ว่าตัวไหนสำคัญที่สุด
ปิดท้าย
เจตนาที่แท้จริงของการศึกษาวิธีการบุกรุก ไม่ใช่เพื่อชี้โพรงให้กระรอก แต่เพื่อสร้างเกราะป้องกันที่ไร้รอยต่อให้กับองค์กร แม้ภาพเบื้องหน้าจะดูเหมือนพฤติกรรมของผู้ไม่หวังดี แต่จริง ๆ แล้ว นี่คือกระบวนการ Physical Pentest ที่ถูกออกแบบมาเพื่อพิสูจน์ความจริงข้อหนึ่งว่าองค์กรของเราแกร่งพอที่จะหยุดยั้งผู้บุกรุก ก่อนที่เขาจะเอื้อมมือไปแตะต้องระบบสารสนเทศได้หรือไม่?
ในมุมมองของผู้ป้องกัน ข้อมูลเหล่านี้คือกระจกสะท้อนความจริง ที่ช่วยให้เราตอบคำถามได้ชัดเจนขึ้นว่า
รอยรั่วนี้เกิดจาก ความหละหลวมของระบบ หรือ ความเผลอเรอของคน?
มาตรการที่เรามั่นใจว่าเข้มงวด เราคิดว่าเข้มพอแล้วจริงไหม?
จุดเข้า-ออกที่ดูแน่นหนา แท้จริงแล้วเปิดช่องโหว่ทิ้งไว้ตรงไหน?
และหากภัยมาถึงตัวจริงๆ เรามีใครที่ตาไวพอจะเห็น และ มือไวพอจะระงับเหตุได้ทันท่วงที?
การวิเคราะห์วิธีการบุกมีไว้เพื่อให้ทีมป้องกันรู้ วิธีคิดของคนร้าย หากมีคนหลุดเข้ามาได้หนึ่งครั้ง เขาสามารถไปทำอะไรได้มากแค่ไหน ตั้งแต่เข้าถึงเครือข่ายภายใน ยกระดับสิทธิ์ ไปจนถึงเข้าถึงข้อมูลสำคัญระดับผู้บริหาร เพื่อนำไปเสริมมาตรการป้องกันให้ลึกและกว้างขึ้น ตั้งแต่การออกแบบพื้นที่อาคาร การวางกล้อง การคุมจุดแลกบัตร การฝึกพนักงาน ไปจนถึงการผนวก Zero Trust เข้าไปในชีวิตประจำวันของพนักงานทุกคน
นี่จึงเป็นบทสรุปที่ย้ำเตือนองค์กรว่าการป้องกันทางกายภาพ (Physical Security) ไม่ใช่เพียงแค่เรื่องของการล็อกประตู แต่มันคือป้อมปราการด่านแรกที่ทำหน้าที่ปกป้องระบบสารสนเทศทั้งหมดตั้งแต่ต้นทาง
References:
https://www.orangecyberdefense.com/global/blog/ethical-hacking/ethical-hacking-all-about-physical-intrusions Physical Intrusions
https://www.infosectrain.com/blog/isc2-cc-domain-3-access-control-concepts/ Subject Object Rule
https://www.cdse.edu/Portals/124/Documents/student-guides/PY011-guide.pdf Introduction to Physical Security
https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-115.pdf Physical Reconnaissance
https://en.wikipedia.org/wiki/List_of_intelligence_gathering_disciplines Intelligence Disciplines
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf Zero Trust
https://docs.flipper.net/zero/rfid Flipper Zero
