SMARTHOME

ตั้ง Smart Home อย่างไรไม่ให้กลายเป็นช่องโหว่ของทั้งบ้าน

Smart Home ช่วยให้บ้านสะดวกขึ้น แต่ถ้าตั้งค่าแบบไม่ระวัง อุปกรณ์เล็ก ๆ อย่างกล้อง ลำโพง ปลั๊ก หรือทีวีอาจกลายเป็นทางเข้าของความเสี่ยงทั้งบ้าน บทความนี้สรุป checklist ที่ทำได้จริงสำหรับบ้านทั่วไปและ homelab

Nattapon Chatprechakul

2 min read
Share
ภาพประกอบบ้านอัจฉริยะที่มีเราเตอร์ กล้อง ลำโพง ทีวี และ NAS เชื่อมต่อกันโดยมีขอบเขตป้องกันเครือข่าย

ช่วงหลังบ้านหลายหลังเริ่มมีอุปกรณ์ Smart Home มากกว่าที่คิดครับ ไม่ใช่แค่หลอดไฟหรือปลั๊กอัจฉริยะ แต่รวมถึงกล้องวงจรปิด, video doorbell, smart TV, ลำโพง, robot vacuum, แอร์, เครื่องฟอกอากาศ, NAS, Home Assistant และอุปกรณ์ homelab เล็ก ๆ ที่เปิดทิ้งไว้ในบ้าน

ปัญหาคืออุปกรณ์เหล่านี้มักถูกมองว่าเป็นของใช้ในบ้าน ไม่ใช่ระบบ IT ทั้งที่ในทางปฏิบัติมันคือคอมพิวเตอร์ขนาดเล็กที่ต่อ internet ได้ มี account มี firmware มี permission และบางตัวเห็นหรือได้ยินสิ่งที่เกิดขึ้นในบ้านเราโดยตรง

ถ้าตั้งค่าดี Smart Home จะช่วยให้ชีวิตสะดวกขึ้นมาก แต่ถ้าตั้งค่าแบบปล่อยผ่าน อุปกรณ์เล็ก ๆ หนึ่งตัวอาจกลายเป็นจุดอ่อนของทั้ง network ได้ ไม่ว่าจะเป็นรหัสผ่าน default, firmware ที่ไม่เคย update, cloud account ที่ไม่มี MFA, กล้องที่อยู่ network เดียวกับเครื่องทำงาน หรืออุปกรณ์ราคาถูกที่ไม่มี support หลังซื้อไม่นาน

เริ่มจาก router ก่อน เพราะมันคือประตูหน้าบ้าน

ถ้าจะเลือกทำอย่างเดียวก่อน ผมจะเริ่มจาก router เพราะอุปกรณ์ Smart Home ส่วนใหญ่ต้องผ่าน router เพื่อออก internet และคุยกับ device อื่นในบ้าน แนวทางของ FTC เองก็เริ่มจาก router เช่นกัน โดยแนะนำให้เปลี่ยนค่า default, เปิด encryption และตรวจ update ของ router

Checklist พื้นฐานที่ควรทำคือ:

  1. เปลี่ยน router admin password ให้ไม่ซ้ำกับรหัส Wi-Fi
  2. เปลี่ยนชื่อ Wi-Fi ไม่ให้บอกยี่ห้อ router หรือข้อมูลบ้าน
  3. ใช้ WPA3 Personal ถ้ามี หรืออย่างน้อย WPA2 Personal
  4. ปิด WEP และ WPA รุ่นเก่า ถ้า router ยังมีให้เลือก
  5. ตรวจว่า router firmware update ได้หรือไม่ และตั้ง auto update ถ้ารองรับ
  6. เปิด firewall ของ router ถ้ามี option ให้เปิด
  7. ปิด remote management ถ้าไม่ได้ต้องบริหาร router จากนอกบ้านจริง ๆ
  8. ปิด WPS และ UPnP ถ้าไม่ได้จำเป็น เพราะความสะดวกเหล่านี้เพิ่มพื้นที่เสี่ยงได้

หลายบ้านเปลี่ยน Wi-Fi password แล้วคิดว่าจบ แต่ลืม router admin password ซึ่งเป็นคนละชุดกัน ถ้ามีคนเข้า admin interface ได้ เขาอาจเปลี่ยน DNS, เปิด port, ดู connected devices หรือแก้ค่าความปลอดภัยอื่นได้ ดังนั้นสองรหัสนี้ควรแยกกันชัดเจน

ภาพประกอบ: โต๊ะทำงานที่มี router laptop phone smart camera และ smart plug สำหรับตรวจ checklist ความปลอดภัยพื้นฐาน

ทำ inventory ก่อน ไม่อย่างนั้นจะไม่รู้ว่าต้องป้องกันอะไร

บ้านที่มี Smart Home มาหลายปีมักมีอุปกรณ์หลงเหลือมากกว่าที่จำได้ บางตัวซื้อมาใช้ช่วงสั้น ๆ แล้วลืมไว้ บางตัวผูก account เก่า บางตัวต่อ Wi-Fi อยู่แต่ไม่มีใครรู้ว่าใช้ทำอะไร

ขั้นตอนที่ practical คือเข้า router แล้วดูรายการ connected devices จากเมนูที่มักเรียกว่า clients, DHCP clients หรือ connected devices จากนั้นจดเป็นรายการง่าย ๆ:

  1. ชื่ออุปกรณ์
  2. เจ้าของหรือคนที่ใช้
  3. อยู่ห้องไหน
  4. ใช้ cloud account อะไร
  5. update ล่าสุดเมื่อไร
  6. จำเป็นต้องอยู่ network หลักหรือไม่

จุดนี้ไม่ได้ต้องทำให้ perfect ตั้งแต่วันแรก แค่รู้ว่ามีอะไรอยู่ในบ้านก็ลดความเสี่ยงได้มากแล้ว เพราะ security ที่ดีเริ่มจาก visibility ถ้าไม่รู้ว่ามีกล้องตัวไหนต่ออยู่ หรือปลั๊กตัวไหนยังใช้ account เก่าอยู่ ก็ไม่มีทางจัดการได้เป็นระบบ

สำหรับคนทำ homelab ยิ่งควรทำ inventory เพราะ NAS, mini PC, VM, container, Home Assistant, MQTT broker หรือ reverse proxy อาจเชื่อมกับ Smart Home โดยตรง ถ้าฐานนี้เริ่มซับซ้อน ลองอ่านพื้นฐานจาก Homelab คืออะไร และควรเริ่มต้นอย่างไรให้ไม่กลายเป็นภาระ ประกอบได้

Password และ MFA อย่าปล่อยให้เป็น default

อุปกรณ์ IoT จำนวนมากเริ่มต้นด้วย account ง่าย ๆ เพื่อให้ setup ได้เร็ว เช่น admin/admin หรือรหัสที่พิมพ์บน sticker ถ้าไม่เปลี่ยน สิ่งนี้คือช่องโหว่ที่ไม่ต้องใช้เทคนิคสูงเลย

แนวทางที่ควรทำคือทุกอุปกรณ์ที่มี account ต้องใช้รหัสผ่าน unique ไม่ซ้ำกับบริการอื่น และควรเก็บใน password manager แทนการจำเอง ถ้าอุปกรณ์หรือ cloud account รองรับ MFA หรือ two-factor authentication ก็ควรเปิด โดยเฉพาะกล้อง, door lock, account ของผู้ผลิต, account ที่ใช้ควบคุม automation และ email ที่ใช้ reset password

CISA Secure Our World สรุปเรื่องพื้นฐานไว้ชัดมาก คือ strong passwords, password manager, MFA และ software updates เป็นมาตรการง่าย ๆ ที่ช่วยลดโอกาสตกเป็นเป้าง่าย ในบริบท Smart Home เรื่องนี้ไม่ได้ใช้กับแค่คอมพิวเตอร์หรือมือถือ แต่รวมถึง account ที่ควบคุมอุปกรณ์ในบ้านด้วย

ข้อควรระวังอีกอย่างคือ account sharing เช่น ทุกคนในบ้านใช้ login เดียวกันหมด วิธีนี้สะดวก แต่ทำให้ revoke สิทธิ์ยาก ถ้าเป็นระบบที่รองรับ user แยก ควรแยก account ตามคนใช้งาน และให้สิทธิ์เท่าที่จำเป็น

แยก network สำหรับ IoT เมื่อทำได้

Smart Home ไม่จำเป็นต้องอยู่ network เดียวกับ laptop ทำงาน, NAS ที่เก็บเอกสาร, เครื่องที่ใช้ทำ internet banking หรือ server ใน homelab เสมอไป ถ้า router รองรับ guest network, IoT network หรือ VLAN การแยกอุปกรณ์กลุ่มนี้ออกมาจะช่วยลดผลกระทบเมื่ออุปกรณ์ใดอุปกรณ์หนึ่งมีปัญหา

หลักคิดง่าย ๆ คือ:

  1. เครื่องหลักของคนในบ้านอยู่ network หลัก
  2. แขกใช้ guest Wi-Fi
  3. กล้อง, smart TV, speaker, plug, bulb และ appliance อยู่ IoT network
  4. homelab หรือ NAS อยู่ network ที่คุม access ชัดเจน
  5. เปิดให้คุยข้าม network เฉพาะที่จำเป็น

FTC แนะนำเรื่อง guest network สำหรับลดความเสี่ยงจากอุปกรณ์ของแขก และในบทความเรื่องกล้องยังแนะนำให้พิจารณาแยกกล้องออกจากอุปกรณ์อื่น เช่น computer หรือ printer ด้วย แนวคิดเดียวกันนี้ใช้กับ Smart Home ได้กว้างขึ้น

ภาพประกอบ: แผนผังบ้านที่แยก network เป็นอุปกรณ์หลัก guest Wi-Fi อุปกรณ์ IoT และ homelab NAS

สำหรับบ้านทั่วไปที่ไม่มี VLAN แค่มี guest network สำหรับ IoT ก็ยังดีกว่าเอาทุกอย่างมารวมกัน แต่ต้องทดสอบด้วย เพราะอุปกรณ์บางตัวต้องค้นหากันใน local network เช่น phone app ต้องเห็น TV, speaker หรือ Home Assistant ถ้าแยกแล้วใช้ไม่ได้ อาจต้องเปิดเฉพาะ rule ที่จำเป็น หรือยอมรับ trade-off บางส่วน

เรื่องนี้เชื่อมกับ Zero Trust ในระดับบ้านได้เหมือนกัน ไม่ใช่ว่าทุกอย่างที่อยู่ใน Wi-Fi เดียวกันต้องเชื่อใจกันหมด ถ้าอยากอ่านพื้นฐานต่อ ดู เปลี่ยนผ่านสู่ยุค Zero Trust: แนวคิดพื้นฐานที่ควรเข้าใจ และตัวอย่างการใช้ในชีวิตจริง

Update คือเรื่องใหญ่กว่าที่หลายคนคิด

อุปกรณ์ Smart Home ที่ไม่ได้ update อาจมีช่องโหว่ค้างอยู่นานมาก เพราะหลายคนซื้อมาแล้วแทบไม่เคยเปิด app ของผู้ผลิตอีกเลย CISA อธิบายเรื่อง update software ไว้ตรงไปตรงมา คือผู้ผลิตออก update เพื่อ patch จุดอ่อนด้านความปลอดภัย ถ้าเราไม่ติดตั้ง update นั้นก็ป้องกันเราไม่ได้

ในทางปฏิบัติ ให้แบ่งอุปกรณ์เป็น 3 กลุ่ม:

  1. กลุ่มที่ auto update ได้และผู้ผลิตยัง support
  2. กลุ่มที่ต้อง update ผ่าน app หรือ web interface เอง
  3. กลุ่มที่ไม่รู้ว่า update ได้ไหม หรือผู้ผลิตเลิก support แล้ว

กลุ่มที่สามคือกลุ่มที่ต้องระวังที่สุด โดยเฉพาะกล้อง, doorbell, lock, router, NAS หรืออุปกรณ์ที่เปิดจากนอกบ้านได้ ถ้าอุปกรณ์ยังใช้งานได้แต่ไม่มี security update แล้ว ไม่ได้แปลว่าปลอดภัยพอจะอยู่ใน network เดิมตลอดไป ทางเลือกอาจเป็นแยก network, ปิด internet access, ใช้เฉพาะ local, หรือเปลี่ยนอุปกรณ์ใหม่ถ้าความเสี่ยงสูง

กล้อง ไมค์ และอุปกรณ์ที่เห็นชีวิตส่วนตัวต้องเข้มกว่าอย่างอื่น

Smart bulb กับ smart camera มีระดับความเสี่ยงไม่เท่ากัน กล้อง, ไมค์, door lock, baby monitor, smart speaker และ robot vacuum ที่ทำแผนที่บ้านเกี่ยวข้องกับ privacy โดยตรง เพราะมันอาจเห็นภาพ ได้ยินเสียง หรือรู้ pattern การใช้ชีวิต

สำหรับอุปกรณ์กลุ่มนี้ ผมจะตรวจเพิ่มอีกชุด:

  1. เปิด encryption สำหรับ livestream หรือ recording ถ้ามี
  2. เปิด MFA ใน cloud account
  3. ปิด sharing ที่ไม่จำเป็น
  4. ตรวจว่าใครมีสิทธิ์ดูภาพหรือควบคุมอุปกรณ์
  5. ปิด remote access ถ้าไม่ได้ใช้
  6. ปิด cloud recording ถ้าไม่จำเป็น หรือเลือก retention ให้สั้น
  7. ตั้งกล้องไม่ให้เห็นพื้นที่ส่วนตัวเกินจำเป็น
  8. แยกกล้องไป network คนละส่วนกับเครื่องหลัก

FTC แนะนำให้เลือกกล้องที่มี security built in เช่น encryption และให้รักษาความปลอดภัยของ home network โดยเฉพาะ router, firewall, update และ WPA3/WPA2 เรื่องนี้เป็นตัวอย่างที่ดีว่าความปลอดภัย Smart Home ไม่ได้อยู่ที่อุปกรณ์ตัวเดียว แต่อยู่ที่ทั้ง ecosystem รอบตัวมัน

เลือกของถูกต้องคิดต้นทุนระยะยาว

อุปกรณ์ IoT ราคาถูกไม่ได้ผิดเสมอไป แต่ต้องถามให้ครบกว่าราคา:

  1. ผู้ผลิตมีประวัติ update ไหม
  2. มี MFA หรือไม่
  3. ใช้ได้แบบ local หรือบังคับผ่าน cloud อย่างเดียว
  4. ถ้า cloud service ปิด อุปกรณ์ยังใช้ได้ไหม
  5. มี privacy policy ที่อ่านรู้เรื่องหรือไม่
  6. ขอ permission ในมือถือมากเกินจำเป็นหรือเปล่า
  7. มีมาตรฐานที่เข้ากับ ecosystem หลัก เช่น Matter หรือไม่
  8. ถอดออกจากบ้านได้ง่ายไหมถ้าเลิกใช้
ภาพประกอบ: โต๊ะเปรียบเทียบอุปกรณ์ Smart Home สองแบบ โดยเน้น support update privacy และความเสี่ยงของของราคาถูกที่ไม่ชัดเจน

NIST SP 1800-15 พูดถึงการใช้ Manufacturer Usage Description หรือ MUD เพื่อจำกัด traffic ของอุปกรณ์ IoT ให้ส่งและรับเฉพาะสิ่งที่จำเป็นต่อการทำงาน แม้ผู้ใช้ทั่วไปอาจไม่ได้ตั้งค่า MUD เองในบ้าน แต่หลักคิดนี้มีประโยชน์มาก คืออุปกรณ์ไม่ควรได้สิทธิ์มากกว่าที่งานของมันต้องใช้

ถ้ากล้องต้องส่งภาพไป cloud ของผู้ผลิต ก็ไม่ควรเห็น NAS ทั้งลูก ถ้าหลอดไฟต้องรับคำสั่งเปิดปิด ก็ไม่ควรคุยกับเครื่องทำงานในบ้านได้ทั้งหมด และถ้า TV ต้องออก internet เพื่อ streaming ก็ไม่ได้แปลว่าต้องเข้าถึงทุก device ใน LAN ได้

Checklist สำหรับบ้านทั่วไป

ถ้าอยากเริ่มแบบไม่ซับซ้อน ผมแนะนำลำดับนี้:

  1. เปลี่ยน router admin password และ Wi-Fi password
  2. ใช้ WPA3 หรือ WPA2 เท่านั้น
  3. ปิด WPS, UPnP และ remote management ถ้าไม่จำเป็น
  4. เปิด update หรือจดรอบตรวจ update ของ router
  5. ดูรายการ connected devices แล้วลบหรือปิดอุปกรณ์ที่ไม่ใช้
  6. เปลี่ยน default password ของอุปกรณ์ Smart Home ทุกตัว
  7. เปิด MFA ใน account ของผู้ผลิตและ email หลัก
  8. ตั้ง guest network หรือ IoT network ถ้า router รองรับ
  9. แยกกล้องและอุปกรณ์ privacy สูงออกจากเครื่องหลักเมื่อทำได้
  10. ตรวจ permission และคนที่มีสิทธิ์เข้าถึงกล้อง ไมค์ และ lock
  11. เลือกซื้ออุปกรณ์ที่มี update และ privacy policy ชัดเจน
  12. จดรายการอุปกรณ์ไว้ เผื่อขาย ย้ายบ้าน หรือเปลี่ยน router

สำหรับคนที่ทำ homelab เพิ่มอีก 3 ข้อคือ อย่าให้ IoT คุยกับ NAS โดยไม่จำเป็น, อย่าเปิด Home Assistant หรือ dashboard ออก internet ตรง ๆ ถ้ายังไม่เข้าใจความเสี่ยง และควรมี backup config ของระบบ automation สำคัญ

สรุป

Smart Home ที่ปลอดภัยขึ้นไม่ได้เริ่มจากการซื้ออุปกรณ์แพงที่สุด แต่เริ่มจากการลดช่องโหว่พื้นฐานให้ได้ก่อน Router ต้องแน่น รหัสผ่านต้องไม่ซ้ำ Account สำคัญต้องมี MFA อุปกรณ์ต้อง update ได้ และ network ควรแยกเท่าที่ทำได้

สิ่งที่ผมคิดว่าสำคัญที่สุดคืออย่ามองอุปกรณ์ Smart Home เป็นของเล็ก ๆ ที่ไม่มีผลอะไร เพราะเมื่อมันต่อ internet และอยู่ในบ้านเรา มันก็มีผลต่อ privacy และ network security ของทั้งบ้านแล้ว

เริ่มจาก checklist สั้น ๆ วันนี้ดีกว่ารอวันที่ network ซับซ้อนเกินกว่าจะไล่ดูได้ครับ

อ่านต่อที่เกี่ยวข้อง

แหล่งอ้างอิง

Cybersecurity · Homelab · Technology — written in Thai & English
LinkedIn · RSS Feed · About · Subscribe