1 คะแนน โดย GN⁺ 2025-01-01 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • AT&T, Verizon และ Lumen Technologies ยืนยันว่า แฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน เข้าถึงระบบของตน ทำให้การเจาะของ Salt Typhoon ขยายตัวเป็นประเด็นความมั่นคงแห่งชาติครอบคลุมเครือข่ายโทรคมนาคมสหรัฐฯ
  • ทำเนียบขาวอธิบายว่าการบุกรุกครั้งนี้ทำให้ฝั่งจีนมีความสามารถ ติดตามตำแหน่งของผู้คนนับล้าน และบันทึกการสนทนาทางโทรศัพท์ได้ตามต้องการ และในกรณีหนึ่ง การเจาะบัญชีผู้ดูแลระบบทำให้เข้าถึงเราเตอร์ได้มากกว่า 100,000 เครื่อง
  • AT&T และ Verizon ระบุว่าลูกค้าที่ได้รับผลกระทบมีเพียง ส่วนน้อย ขณะที่ Lumen ระบุว่าไม่พบหลักฐานการเข้าถึงข้อมูลลูกค้า และบริษัทยังได้รับการยืนยันจากบริษัทนิติวิทยาศาสตร์ดิจิทัลอิสระว่าผู้โจมตีถูกกำจัดออกไปแล้ว
  • ผู้ที่ได้รับผลกระทบด้านข้อมูลตำแหน่งและเมทาดาทาการโทรมีจำนวนมาก แต่ผู้ที่ตกเป็นเป้าหมายการเก็บรวบรวมการโทรและข้อความจริงมีน้อยกว่า และอาจมี ไม่ถึง 100 คน
  • FCC กำลังผลักดันร่างกฎที่กำหนดให้ผู้ให้บริการโทรคมนาคมต้องปฏิบัติตามแนวทางพื้นฐานด้านความมั่นคงไซเบอร์ และวุฒิสมาชิก Ron Wyden ก็เสนอร่างกฎหมายที่เรียกร้องให้ FCC ออกกฎความปลอดภัยด้านการสื่อสารที่มีผลผูกพัน

การยืนยันการถูกเจาะของผู้ให้บริการเครือข่ายสหรัฐฯ ขยายวง

  • AT&T, Verizon และ Lumen Technologies ยืนยันว่า สายลับที่ได้รับการสนับสนุนจากรัฐบาลจีนได้เข้าถึงบางส่วนของระบบบริษัทเมื่อต้นปีนี้
  • ทำเนียบขาวระบุว่าจำนวนผู้ให้บริการโทรคมนาคมที่ได้รับผลกระทบจากการเจาะของ Salt Typhoon เพิ่มจาก 8 เป็น 9 ราย
  • ก่อนหน้านี้ T-Mobile เคยกล่าวถึงความพยายามสอดแนมของ Salt Typhoon และกิจกรรมจารกรรมที่ “สม่ำเสมอ” แต่ย้ำว่าไม่ใช่หนึ่งในผู้ให้บริการ 9 รายที่รัฐบาลกล่าวถึง

รายละเอียดความเสียหายที่ AT&T, Verizon และ Lumen ยืนยัน

  • AT&T ระบุว่าสายลับต่างชาติได้เจาะลูกค้า เพียงไม่กี่ราย ในแคมเปญข่าวกรอง และกลุ่มดังกล่าวถูกนำออกจากเครือข่ายแล้ว
    • ขณะนี้ไม่ตรวจพบกิจกรรมของผู้กระทำการระดับรัฐในเครือข่ายอีก
    • บริษัทมองว่าจีนมุ่งเป้าไปที่บุคคลจำนวนน้อยที่เป็นเป้าหมายด้านข่าวกรองจากต่างประเทศ
    • ในกรณีที่มีผลกระทบต่อข้อมูลส่วนบุคคลซึ่งมีจำนวนค่อนข้างน้อย บริษัทได้ร่วมมือกับหน่วยงานบังคับใช้กฎหมายเพื่อปฏิบัติตามข้อกำหนดการแจ้งเตือน
    • บริษัทยังดำเนินการสืบสวนต่อร่วมกับเจ้าหน้าที่รัฐ ผู้ให้บริการรายอื่น และผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์
  • Verizon ยืนยันว่าผู้บุกรุกจากจีนได้เข้าถึงลูกค้าระดับสูงของภาครัฐและการเมือง เพียงไม่กี่ราย
    • บริษัทได้แจ้งลูกค้าเหล่านั้นแล้ว และระบุว่าได้สกัดกั้นเหตุการณ์ไซเบอร์ที่เกิดจากภัยคุกคามระดับรัฐ
    • บริษัทความมั่นคงไซเบอร์ที่ไม่ได้เปิดเผยชื่อซึ่งได้รับการยกย่องว่า “มีชื่อเสียงสูง” ก็ยืนยันการสกัดกั้นดังกล่าว
    • Verizon ทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายของรัฐบาลกลาง หน่วยงานความมั่นคงแห่งชาติ พันธมิตรด้านโทรคมนาคมรายอื่น และบริษัทด้านความปลอดภัย
    • Vandana Venkatesh ประธานเจ้าหน้าที่ฝ่ายกฎหมายของ Verizon ระบุว่าไม่ได้ตรวจพบกิจกรรมของผู้คุกคามในเครือข่าย Verizon มาระยะหนึ่งแล้ว
  • Lumen Technologies ระบุว่าได้กำจัดผู้โจมตีจากจีนออกจากระบบ และไม่พบ หลักฐานการเข้าถึงข้อมูลลูกค้า
    • บริษัทนิติวิทยาศาสตร์ดิจิทัลอิสระยืนยันว่า Salt Typhoon ไม่ได้อยู่ในเครือข่ายอีกต่อไป
    • บริษัทยังระบุว่าพันธมิตรระดับรัฐบาลกลางไม่ได้แบ่งปันข้อมูลใดที่ขัดแย้งกับข้อสรุปนี้

ขอบเขตและวิธีการบุกรุกตามมุมมองของทำเนียบขาว

  • Anne Neuberger รองที่ปรึกษาความมั่นคงแห่งชาติด้านไซเบอร์และเทคโนโลยีเกิดใหม่ของทำเนียบขาว ระบุว่าการบุกรุกครั้งนี้ถูกเรียกว่าเป็น “การแฮ็กโทรคมนาคมที่เลวร้ายที่สุดในประวัติศาสตร์สหรัฐฯ”
  • ฝั่งจีนเข้าถึงเครือข่ายและได้รับ “การเข้าถึงอย่างกว้างขวางและสมบูรณ์” ส่งผลให้มีความสามารถ ติดตามตำแหน่งของผู้คนนับล้าน และบันทึกการสนทนาทางโทรศัพท์ได้ตามต้องการ
  • ในกรณีหนึ่ง สายลับได้เจาะบัญชีผู้ดูแลระบบ และด้วยบัญชีนั้นสามารถเข้าถึง เราเตอร์มากกว่า 100,000 เครื่อง
    • Neuberger อธิบายว่าการเจาะบัญชีดังกล่าวทำให้จีนได้รับสิทธิ์เข้าถึงวงกว้างทั่วทั้งเครือข่าย
    • เธอประเมินว่าสภาพเช่นนี้ต่ำกว่าระดับความมั่นคงไซเบอร์ที่จำเป็นต่อการป้องกันผู้กระทำการระดับรัฐ

จำนวนผู้ได้รับผลกระทบและขอบเขตของข้อมูล

  • ทำเนียบขาวยังไม่สามารถระบุจำนวนผู้เสียหายทั้งหมดได้
  • บุคคลที่ได้รับผลกระทบด้านข้อมูลตำแหน่งและเมทาดาทาการโทรมี จำนวนมาก
  • ผู้ที่ตกเป็นเป้าหมายการเก็บรวบรวมการสนทนาทางโทรศัพท์และข้อความจริงมีน้อยกว่า และจำนวนบุคคลจริงอาจมี ไม่ถึง 100 คน

การตอบสนองด้านความปลอดภัยโทรคมนาคมที่กำลังขยับไปสู่กฎระเบียบ

  • หลังการบุกรุกครั้งนี้ ทำเนียบขาวเน้นย้ำว่าการใช้ มาตรการความมั่นคงไซเบอร์แบบสมัครใจ เพียงอย่างเดียวไม่เพียงพอต่อการรับมือภัยคุกคามระดับรัฐ
  • FCC ได้เริ่ม ข้อเสนอ กฎสาธารณะที่กำหนดให้ผู้ให้บริการโทรคมนาคมต้องมีแนวปฏิบัติพื้นฐานด้านความมั่นคงไซเบอร์
    • คณะกรรมาธิการมีกำหนดลงมติเรื่องกฎดังกล่าวภายในวันที่ 15 มกราคม
  • วุฒิสมาชิก Ron Wyden เสนอ ร่างกฎหมาย ที่กำหนดให้ FCC ต้องออกกฎที่มีผลผูกพันสำหรับระบบโทรคมนาคม
  • CEO ของผู้ให้บริการโทรคมนาคมทั้ง 9 รายที่ถูกเจาะ ต่างเข้าร่วม Enduring Security Framework ระยะเวลา 60 วันของรัฐบาล
    • ความร่วมมือระหว่างภาครัฐและเอกชนนี้มีเป้าหมายเพื่อกำหนดแนวปฏิบัติขั้นต่ำด้านความมั่นคงไซเบอร์ที่หน่วยข่าวกรอง CISA, FBI และผู้เชี่ยวชาญด้านความปลอดภัยโทรคมนาคมเห็นพ้องกัน

1 ความคิดเห็น

 
GN⁺ 2025-01-01
ความคิดเห็นบน Hacker News
  • หากบริษัทต่าง ๆ ปฏิบัติตามหลัก การเก็บข้อมูลให้น้อยที่สุด และใช้ การเข้ารหัสแบบปลายทางถึงปลายทาง กับข้อมูลลูกค้าที่ไม่จำเป็นต้องดู การละเมิดลักษณะนี้ก็คงลดลง
    เพราะแรงจูงใจในการบุกรุกจะหายไป แต่หน่วยข่าวกรองยังยืนกรานว่าต้องสามารถเข้าถึงบทสนทนาของประชาชนผู้บริสุทธิ์ได้

    • ปัญหาไม่ได้อยู่ที่หน่วยข่าวกรองเท่านั้น บริษัทเองก็ไม่อยากจ่ายเงินเพื่อทำมาตรการแบบนั้นเช่นกัน
      ในความเป็นจริงแทบไม่มีบทลงโทษหรือค่าปรับเชิงลงโทษ และการปกป้องกำไรระยะสั้นถูกให้ความสำคัญมากกว่าการปกป้องข้อมูลผู้ใช้ จนกว่าการละเมิดจะนำไปสู่ ความเสียหายทางการเงิน อย่างร้ายแรงต่อบริษัท เรื่องนี้ก็จะถูกผลักภาระไปให้ผู้ใช้ในทำนองว่า “ขออภัย เราจะให้บริการเฝ้าระวังเครดิตแก่คุณ” แม้แต่ในวงการพัฒนาซอฟต์แวร์และวิศวกรรม ก็มีไม่กี่คนที่จริงจังกับความปลอดภัยของข้อมูล พูดกันเยอะ แต่ในการนำไปใช้จริงทางธุรกิจกลับมีแนวปฏิบัติที่แย่มากมาย
    • Apple โต้แย้งมาหลายปีว่า แบ็กดอร์เลี่ยงการเข้ารหัสสำหรับรัฐบาล ก็สามารถถูกผู้ไม่หวังดีนำไปใช้ได้เช่นกัน แต่รัฐบาลก็เอาแต่บอกว่าไม่เป็นไร
      ตอนนี้แบ็กดอร์สำหรับเลี่ยงความเป็นส่วนตัวที่ถูกบังคับใช้นั้นกำลังถูกผู้ไม่หวังดีใช้ และ FBI ก็กำลังแนะนำให้ทุกคนใช้แอปที่เข้ารหัสแบบปลายทางถึงปลายทาง เพราะสถานการณ์ที่พวกเขาเองก่อขึ้น แต่เมื่อภัยพิบัตินี้ผ่านไป พวกเขาก็คงกลับไปอ้างอีกว่า “การเข้ารหัสไม่ดี ความปลอดภัยไม่ดี ขอวิธีเอาข้อมูลไปได้ง่าย ๆ”
    • ไม่ได้ถูกต้องทั้งหมด FCC911 และกฎหมายหลายฉบับกำหนดให้ผู้ให้บริการโทรคมนาคมต้องเข้าถึงข้อมูลตำแหน่ง และบันทึกการโทรกับข้อความเพื่อการบังคับใช้หมายศาล
      ปัญหาคือทั้งกฎระเบียบและผลประโยชน์ทางการค้าต่างพันกันอยู่ การคาดหวังว่าสาธารณชนหรือรัฐบาลจะยอมรับความเป็นส่วนตัวที่แท้จริงสำหรับโทรศัพท์มือถือจึงไม่สมจริง ผู้คนต้องการให้ตำรวจหรือเจ้าหน้าที่ดับเพลิงออกปฏิบัติการเมื่อโทรหา 911 และต้องการให้อาชญากรรมองค์กรหรืออาชญากรรมร้ายแรงถูกจับและฟ้องร้อง
    • แทบยังไม่มีข้อมูลสาธารณะพอจะตัดสินได้ว่าเหตุการณ์นี้เกี่ยวข้องกับ ข้อมูลระบุตัวบุคคล ที่ถูกจัดเก็บไว้ หรือการดักฟังโดยชอบด้วยกฎหมายหรือไม่ สิ่งที่รู้มีเพียงว่ามีการระบุตำแหน่งของสมาชิกได้
      โปรโตคอล SS7 ช่วยให้รู้ได้ว่าโทรศัพท์เชื่อมต่อกับ RNC/MMC ใด ณ เวลาหนึ่ง ซึ่งเป็นส่วนสำคัญโดยธรรมชาติของการทำงานของเครือข่าย หากผู้โจมตีที่มีความซับซ้อนเพียงพอมีสิทธิ์เข้าถึงอุปกรณ์โทรคมนาคมมากพอ ก็สามารถส่งคำสั่งของโปรโตคอลดังกล่าวโดยตรงเพื่อหาตำแหน่งได้
    • ออกนอกประเด็นเล็กน้อย แต่มีแหล่งข้อมูลเกี่ยวกับการออกแบบและใช้งาน การเข้ารหัสแบบปลายทางถึงปลายทาง ในแอปที่มีข้อมูล “ทีม” ที่ผู้ใช้แชร์กันไหม?
      เข้าใจหลักพื้นฐานตอนมีผู้ใช้คนเดียว แต่สนใจอยากรู้เพิ่มเติมว่าการแชตกลุ่มแบบเข้ารหัสปลายทางถึงปลายทางที่แชร์กันอย่าง Facebook Messenger นั้นทำงานอย่างไร
  • แปลกที่ธนาคารในสหรัฐฯ, Venmo, PayPal และอื่น ๆ ยังต้องการหมายเลขโทรศัพท์ “จริง” สำหรับการยืนยันตัวตน
    Venmo ไม่ให้ใช้หมายเลข VoIP แต่พอสมัคร Tello แล้วเปิดใช้งาน eSIM จากต่างประเทศ ก็รับ SMS และสมัครได้ทันที อุปสรรคมีแค่ 5 ดอลลาร์ ช่างเป็นความปลอดภัยที่ยอดเยี่ยมจริง ๆ

    • เรื่องนี้มาจากข้อกำหนดที่ต้องระบุตัวผู้ใช้ด้วยวิธีที่ตรวจสอบได้ เป็นข้อกำหนดทางกฎหมายและกฎระเบียบ และเป็นกลไกที่ทำให้บริการทางการเงินยับยั้งอาชญากรรมอย่างการฉ้อโกง การโจรกรรม การฟอกเงิน ตลาดมืด และการระดมทุนให้ก่อการร้ายได้จริง
      สุดท้ายแล้ว วิธีที่มีประสิทธิภาพที่สุดคือการรู้ว่าคู่กรณีในการทำธุรกรรมเป็นใคร บางบริษัทมีมาตรฐาน การรู้จักลูกค้า ต่ำ แต่เมื่อเวลาผ่านไปก็กลายเป็นช่องทางช่วยอาชญากรรมและถูกพันธมิตรด้านกฎระเบียบกับรัฐบาลจับตามอง สหรัฐฯ ค่อนข้างผ่อนปรนเมื่อเทียบกับสิงคโปร์ แคนาดา ญี่ปุ่น และ EU ที่เข้มงวดขึ้นเรื่อย ๆ และในหลายเขตอำนาจศาลต้องมีการยืนยันด้วยชีวมิติ การยืนยันด้วยรูปถ่าย และบางครั้งต้องวิดีโอสัมภาษณ์กับเจ้าหน้าที่เพื่อแสดงเอกสาร
    • หมายเลข Google Voice ของผมมีโอกาสถูกยึดไปน้อยกว่า แต่กลับต้องใช้หมายเลขโทรศัพท์ “จริง” ที่อาจถูกขโมยได้ถ้าแค่ยื่นเงินสดให้พนักงานร้าน
      บริษัทหนึ่งถึงกับมาบล็อก หมายเลข VoIP ย้อนหลังทีหลัง ซึ่งโง่มากจริง ๆ
    • ปัญหาคือการ ปฏิเสธแบบเหมารวม
      ควรมีขั้นตอนตรวจสอบว่าหมายเลขนั้นไม่ได้ถูกใช้ในการฉ้อโกงแล้วอนุญาตให้ใช้ได้ การที่เป็นลูกค้ามาหลายปี ใช้หมายเลขนั้นมาตลอด และทำธุรกรรมหลายพันดอลลาร์บนแพลตฟอร์มโดยไม่มีปัญหา ก็น่าจะใช้เป็นเกณฑ์ประกอบการตัดสินได้ไม่ใช่หรือ
    • Tello ต้องทำ การรู้จักลูกค้า หรือเปล่า? คือสงสัยว่า eSIM ผูกกับตัวตนจริงหรือไม่
      อย่างน้อยในยุโรป ตามมาตรฐาน PSD2 ประเด็นนี้คือหัวใจของการยอมรับหมายเลขโทรศัพท์เป็นวิธีการยืนยันตัวตนสองขั้นตอน
    • บางบริษัทปฏิเสธจะทำธุรกิจกับผมเพียงเพราะบัญชีธุรกิจครอบครัวเป็นชื่อพ่อ ทั้งที่ผมรู้ข้อมูลที่ถูกต้องทั้งหมดที่จำเป็นต่อการแสร้งว่าเป็นพ่อ
      เหตุผลเดียวที่ผมไม่รับสายแล้วพูดว่า “ผมคือ …” ก็เพราะผมซื่อสัตย์ ผู้ใช้ไม่หวังดีที่รู้อยู่แล้วว่าพวกเขาจะถามข้อมูลอะไรทั้งหมด จะถูกกันไว้ไม่ได้เลย และก็แค่โกหกว่าเป็นเจ้าของธุรกิจหรือเจ้าของบัญชีเท่านั้น
  • ผมทำงานด้านความปลอดภัย และเหตุการณ์นี้น่าตกใจมาก ที่น่าตกใจไม่ใช่แค่บริษัทต่าง ๆ ถูกแฮ็ก แต่เป็นขอบเขตการโจมตีที่ดูเหมือนเกิดขึ้น พร้อมกันหลายจุด และมีการประสานงานกัน
    การเจาะหลายบริษัทพร้อมกันบอกอะไรบางอย่างเกี่ยวกับเป้าหมายของฝ่ายจีน วิธีนี้เสี่ยงทำให้เกิด “เสียงรบกวน” มากขึ้น จึงน่าสงสัยว่าทำไมถึงไม่ซื้อใจพนักงานเพื่อดักฟังเป้าหมายระดับสูง แต่กลับไปแตะทุกอย่างจนเรียกการตอบสนองระดับประธานาธิบดีขึ้นมา เรื่องนี้ให้ความรู้สึกเหมือนถูกขับเคลื่อนด้วยภาพลักษณ์และการเมือง และทำให้คิดว่า สงครามเย็น ยุคใหม่คือการโจมตีโครงสร้างพื้นฐาน

    • เรื่องนี้ไม่ได้น่าประหลาดใจนัก แต่เป็นเรื่องปกติ แค่เพราะเครื่องมือของทีมที่รับผิดชอบเจาะผู้ให้บริการโทรคมนาคมโดยเฉพาะถูกเปิดโปง จึงดูเหมือนมีการประสานงานกัน
      ลองเลือกอุตสาหกรรมแทบใดก็ได้ที่น่าสนใจ หน่วยข่าวกรองของ 50 ประเทศอันดับต้น ๆ ก็จะมีทีมเฉพาะทางที่แฮ็กภาคส่วนนั้น และส่วนใหญ่ทำสำเร็จ น่าเสียดายที่แม้แต่คนในวงการความปลอดภัยเองก็มักไม่เข้าใจขอบเขตและขนาดของปฏิบัติการเหล่านี้อย่างถูกต้อง แม้จะอยู่ในเครือข่ายที่ตนรับผิดชอบก็ตาม “เสียงรบกวน” ในที่นี้ไม่ได้เกิดจากผู้โจมตี และผู้โจมตีก็ไม่ได้อยากถูกจับ แต่ความผิดพลาดย่อมเกิดขึ้นได้
    • น่าจะไม่ใช่การโจมตีพร้อมกัน คงเป็นการแทรกซึมที่กินเวลานาน แล้วฝ่ายป้องกันมาค้นพบพร้อม ๆ กันมากกว่า
      เพราะเมื่อเจออย่างหนึ่งแล้ว ก็จะเริ่มหาอย่างอื่นตามมา การชักชวนพนักงานให้ร่วมมือซับซ้อนและยาก แต่การโจมตี SS7 จากระยะไกลทำได้ง่ายกว่ามาก โดยเฉพาะเมื่อมีเป้าหมายเฝ้าระวังหลายราย
    • เมื่อนึกถึง Huawei หรือประเด็นเครนสอดแนม ก็สงสัยว่า “การโจมตี” ครั้งนี้มุ่งเป้าไปที่อุปกรณ์โทรคมนาคมทั้งหมด หรือเฉพาะอุปกรณ์ที่ผลิตในจีนกันแน่
      การไปยุ่งกับสายโทรคมนาคมและสายไฟฟ้าอย่างเปิดเผยดูเหมือนเป็นสัญญาณถึงนักการเมืองตะวันตก มีข้อกล่าวอ้างด้วยว่าเกาหลีเหนือขโมยคริปโต แต่ก็มีประเด็นว่าไม่มีเหยื่อที่ระบุตัวตนได้ออกมา นักการเมืองตะวันตกกำลังพยายามปรับโครงสร้างเศรษฐกิจโลกทั้งใบ โดยอ้างว่าจะช่วยเราให้พ้นจากสิ่งที่กำลังเกิดขึ้นตอนนี้ จึงรู้สึกว่าเป็นมากกว่าเรื่องบังเอิญ
    • ผมมองว่าช่วงกลางของการถ่ายโอนอำนาจหลังการเลือกตั้งประธานาธิบดีเป็นจังหวะที่สมบูรณ์แบบสำหรับการทำเรื่องแบบนี้
      ไม่ว่าฝ่ายที่กำลังจะพ้นตำแหน่งและฝ่ายที่จะเข้ามาจะมีแนวคิดทางการเมืองอย่างไร สถานการณ์ก็จะยิ่งวุ่นวายกว่าเดิม และแม้จะสะดุดตา แต่ก็มีโอกาสถูกเลื่อนลงไปในรายการเรื่องที่ต้องจัดการ หรือถูกลืมไปได้
    • อาชญากรที่ไร้ความสามารถที่สุดจะถูกจับก่อน
      การโจมตีที่ปรากฏในข่าวมี อคติจากการคัดเลือก ขนาดใหญ่มาก
  • คำอธิบายของการแฮ็กยังไม่ชัดเจนจึงยืนยันไม่ได้ แต่ยิ่งมีผู้ให้บริการโทรคมนาคมที่ถูกแฮ็กเพิ่มขึ้น ก็ยิ่งมีความเป็นไปได้มากขึ้นว่าจีนเจาะเข้ามาด้วยการโจมตี การดักฟังโดยชอบด้วยกฎหมาย
    วิธีการอาจมีได้หลายแบบ เช่น ติดสินบนหรือข่มขู่เจ้าหน้าที่หน่วยงานบังคับใช้กฎหมายที่มีสิทธิ์เข้าถึงระบบจัดการการดักฟังโดยชอบด้วยกฎหมาย, โจมตีซัพพลายเชนของระบบดังกล่าว, หรือแฮ็กการยืนยันตัวตนระหว่างเครือข่ายกับระบบจัดการ หากเป็นการโจมตีการดักฟังโดยชอบด้วยกฎหมายจริง ก็เท่ากับว่าเครือข่ายทั้งหมดที่รองรับการดักฟังโดยชอบด้วยกฎหมายแบบอัตโนมัติถูก compromised ไปแล้ว นี่เป็นการโจมตีที่ร้ายกาจ เพราะระบบถูกออกแบบมาให้ผู้ปฏิบัติงานไม่เห็นเป้าหมายการดักฟังได้ง่าย ทำให้ตรวจจับได้ยาก

    • สิ่งที่เป็นไปได้มากกว่าคือ หลังจากได้สิทธิ์เข้าถึงแล้ว พวกเขาแอบส่อง โปรโตคอลที่เปราะบาง จำนวนมากซึ่งใช้ในการจัดการอุปกรณ์เครือข่าย
      คนที่เคยทำงานด้านเครือข่ายน่าจะเข้าใจว่าหมายถึงอะไร วงการนี้อยู่ในสภาพย่ำแย่อย่างน่าขัน ใช้ SSH แต่ไม่ตรวจสอบ host key, ใช้ agent forwarding และใช้โปรโตคอลอย่าง RADIUS หรือ SNMP ที่ถ้าเจาะอุปกรณ์ได้เพียงตัวเดียว ก็มักจะล้มทั้งระบบด้วย shared secret ระดับทั่วทั้งเครือข่ายแทบทุกครั้ง ยังน่าสงสัยด้วยว่าใช้ secure boot อย่างมีความหมายหรือไม่ และมีการตรวจสอบความถูกต้องของระบบไฟล์หรือเปล่า
      เมื่อ 20 ปีก่อน มีคนพบว่าสามารถฉีด TCP reset ปลอมเพื่อทำให้การเชื่อมต่อ BGP หลุดได้ แต่วงการนี้ไม่ได้เอา BGP over TLS มาใช้ สิ่งที่ทำมีเพียงเพิ่ม TCP MD5 hash แบบอิง shared secret ในปี 1999 เท่านั้น: https://datatracker.ietf.org/doc/html/rfc2385 จนถึงทุกวันนี้ บรรยากาศก็ยังเป็นแบบที่นึกภาพการใช้ PKI ไม่ออก และโดยทั่วไปก็แทบไม่ถูกนำไป deploy อยู่ดี
      ถ้าอยากเข้าใจวงการนี้ แค่ดูเรื่องนี้ก็พอ แทนที่จะใช้ TLS ธรรมดา กลับสร้างอะไรอย่าง https://datatracker.ietf.org/doc/html/rfc5925 ขึ้นมา และในการ deploy จริงก็ยังใช้โมเดล shared tuple แบบเดิมต่อไป ทำให้แย่พอ ๆ กับ 2385 แม้แต่ในบรรดา vendor ที่บอกว่า “รองรับ” ก็ยังมีบางรายที่ไม่ได้รองรับ RFC ทั้งฉบับ สถานการณ์แบบนี้เป็นที่รู้กันมาหลายสิบปีแล้ว แต่ vendor แทบไม่สนใจปรับปรุงความปลอดภัย นอกจากอุดปัญหาโง่ ๆ ที่ถูกจับได้เป็นรายกรณี และนักวิจัยด้านความปลอดภัยเองก็ไม่ค่อยตรวจสอบอุปกรณ์เครือข่ายสำคัญ ๆ เหล่านี้
    • การอนุมานนั้นดูน่าสงสัย
      ไม่ได้หมายความว่ามีที่ถูกแฮ็กมากขึ้น แต่หมายความว่าพบกรณีที่เกี่ยวข้องกับการแฮ็กเดียวกันมากขึ้น ผู้โจมตีระดับนี้ย่อมติดตามข่าวอยู่ และจะขยับตัวอย่างเหมาะสมเพื่อผลประโยชน์ หรือปิดเครือข่ายก่อนที่ตัวบ่งชี้การบุกรุกจะถูก reverse engineer
      มากกว่าจะเป็นการโจมตีผ่านการดักฟังโดยชอบด้วยกฎหมาย สถานการณ์น่าจะเป็นว่าพวกเขายังไม่แน่ใจว่าเข้ามาได้อย่างไร แนวทางของ CISA ส่วนใหญ่เป็น best practice ด้านไซเบอร์ซีเคียวริตีมาตรฐาน เช่น การเฝ้าระวังและเพิ่ม visibility, การลด attack surface การเปลี่ยนแปลงหลักดูเหมือนจะเป็นข้อกำหนดให้เลิกใช้ TFTP และให้ใช้ผู้ผลิตเป็นแหล่งที่มาของ hash อ้างอิง ดูเหมือนมีความเป็นไปได้สูงมากว่าเป็นการโจมตีผ่านเฟิร์มแวร์บนเส้นทางรับส่งข้อมูล
      เซิร์ฟเวอร์ TFTP ใช้ส่งการตั้งค่าไปยังอุปกรณ์ปลายทางในเครือข่าย ISP หรือก็คือโมเด็มของลูกค้า และยังรวมถึง image เฟิร์มแวร์ด้วย โดยไม่มีการยืนยันตัวตน การอนุญาต หรือการตรวจสอบย้อนหลัง ฮาร์ดแวร์ที่เกี่ยวข้องถูกออกแบบมาให้ตรวจสอบการเปลี่ยนแปลงได้ยากโดยธรรมชาติ, TR-47 แทบไม่ค่อยถูกใช้อย่างเหมาะสม และการเข้ารหัสที่เกี่ยวข้องก็ถูกกฎหมายบังคับให้ต้องเข้ากันได้ย้อนหลังกับการเข้ารหัสที่ถูกเจาะไปแล้ว มีการบรรยายที่ดีเมื่อไม่กี่ปีก่อนใน Cyphercon 6: https://www.youtube.com/watch?v=_hk2DsCWGXs
      การเน้น TLS 1.3 เป็นพิเศษบ่งชี้ว่า connection อาจถูก downgrade อยู่ หรือฮาร์ดแวร์/เฟิร์มแวร์ของ CPE bridge ในเวอร์ชันก่อนหน้าอาจกำลังทำการโจมตีแบบ man-in-the-middle อย่างโปร่งใสต่อเว็บไซต์สาธารณะ การเน้นให้ใช้ DH group เฉพาะก็อาจสื่อว่าอาจมี key exchange group บางกลุ่มที่ยังไม่เป็นที่รู้กันว่าถูกเจาะ แต่ในความเป็นจริงอาจถูกเจาะแล้ว
      หากผู้โจมตีสามารถแทรกโค้ดอันตรายเข้าไปในทราฟฟิกแบบฉับพลันเพื่อโจมตีบุคคลอ่อนไหวที่ตนมีสิทธิ์เข้าถึงอยู่แล้ว ก็สามารถใช้ทราฟฟิกนั้นเจาะเข้าสู่ระบบที่อ่อนไหวมากได้อย่างง่ายดาย สมมติฐานที่ไกลขอบออกไปอีกคือ อาจมีวิธีทำลายโครงสร้าง Feistel เกิดขึ้นแล้ว NSA เคยบอกว่ามีความก้าวหน้าครั้งใหญ่ด้านวิทยาการเข้ารหัส หากสิ่งนั้นเกี่ยวข้องกับการโจมตีโครงสร้างเครือข่าย Feistel ซึ่งเป็นรากฐานของการเข้ารหัสสมัยใหม่ส่วนใหญ่ ก็อาจเป็นคำอธิบายอีกแบบได้
      คอมพิวเตอร์แทบทุกเครื่องมีโปรเซสเซอร์เสริมที่มีลักษณะคล้ายแบ็กดอร์ในรูปแบบอย่าง TrustZone, Management Engine, AMD PSP ฝังอยู่ และได้รับการปกป้องโดยพึ่งพาเพียงการเข้ารหัสโดยไม่มี audit trail ที่เหมาะสม สิ่งนี้ดูเหมือนเป็นผลไม้ห้อยต่ำที่รวมศูนย์อยู่ในแพลตฟอร์มคอมพิวติ้งแทบทั้งหมดบนโลก หากคอมพิวเตอร์ควอนตัมสามารถเจาะคีย์ลายเซ็นเดี่ยวของระบบเหล่านี้ได้ ก็จะกลายเป็นกุญแจทองสำหรับทุกสิ่ง และในระดับรัฐก็ไม่ใช่เรื่องที่เป็นไปไม่ได้โดยสิ้นเชิง หากไม่มี visibility วิธีตรวจพบ ตอบสนอง หรือแยกปัญหาก็จะมีได้เพียงทางอ้อมเท่านั้น
  • การอภิปรายก่อนหน้าที่เกี่ยวข้อง:
    PRC Targeting of Commercial Telecommunications Infrastructure
    https://news.ycombinator.com/item?id=42132014
    AT&T, Verizon reportedly hacked to target US govt wiretapping platform
    https://news.ycombinator.com/item?id=41766610

  • เมื่อไม่กี่ปีก่อน หน่วยข่าวกรองยังเรียกร้องให้ บังคับมีแบ็กดอร์ อยู่เลย แต่ตอนนี้ FBI กลับแนะนำ Signal สำหรับแชตที่ปลอดภัย ฟังดูเป็นเรื่องตลกร้าย
    หวังว่ารัฐบาลชุดใหม่จะไปส่องอีเมลและข้อความของพวกเขาตลอด 4 ปีที่ผ่านมาด้วย นี่มันแนว “ความเป็นส่วนตัวของฉันได้ แต่ของเธอไม่ได้”

    • คำพูดที่ว่า “บ่งชี้ว่าการโจมตีไม่ได้มุ่งเป้าไปที่ผู้ให้บริการบรอดแบนด์โดยตรง แต่เป็นหนึ่งในบริษัทตัวกลางที่อยู่ระหว่างคำขอ CALEA ของรัฐบาลกับผู้ให้บริการบรอดแบนด์” ดูจะถูกต้อง
      การโจมตีนี้เล่นงาน แบ็กดอร์ CALEA ผ่านบริษัทเอาต์ซอร์สด้านการดักฟัง แล้วเป็นบริษัทไหนกัน?
      NEX-TECH: https://www.nex-tech.com/carrier/calea/
      Substentio: https://www.subsentio.com/solutions/platforms-technologies/
      Sy-Tech: https://www.sytechcorp.com/calea-lawful-intercept
      มีบริษัทไหนอีกที่ทำธุรกิจนี้? บริษัทเอาต์ซอร์สด้านการดักฟังไม่ได้มีมากนัก Verisign ก็เคยทำธุรกิจนี้มาก่อน แต่ตอนนี้ดูเหมือนจะไม่แล้ว
    • ในเชิงปรัชญาแล้วไม่ได้ขัดแย้งกัน หน่วยงานบังคับใช้กฎหมายของสหรัฐฯ เคยบอกว่าควรสามารถเจาะการเข้ารหัสได้เมื่อมีหมายศาล และตอนนี้ก็บอกว่าสายลับจีนไม่ควรทำเช่นนั้น
      แน่นอนว่าในเชิงเทคนิคเป็นไปไม่ได้ แต่จากมุมมองของหน่วยข่าวกรอง สถานะปลายทางที่ต้องการนั้นค่อนข้างเข้าใจได้
    • FBI มีโครงสร้างภารกิจแปลก ๆ ที่รับผิดชอบทั้ง การต่อต้านข่าวกรอง และ การรับมืออาชญากรรม ไปพร้อมกัน และทั้งสองมีเป้าหมายค่อนข้างต่างกัน
      จึงไม่น่าแปลกใจที่ฝั่งต่อต้านข่าวกรองต้องการการเข้ารหัสที่แข็งแกร่ง ส่วนฝั่งรับมืออาชญากรรมต้องการการเข้ารหัสที่ใส่แบ็กดอร์ได้
    • กำลังหวังให้รัฐบาลชุดใหม่ที่ต่อต้านประชาธิปไตยและเป็นเผด็จการไปค้นอีเมลของ FBI แล้วปั้นเรื่องอะไรขึ้นมาหรือ? สงสัยจริง ๆ ว่านั่นฉลาดแล้วหรือ
      แม้ว่า FBI จะไม่ได้เคารพความเป็นส่วนตัวเท่าที่ควรก็ตาม
    • ดูเหมือนว่าทุก ๆ ไม่กี่ปี หน่วยงานบังคับใช้กฎหมายจะออกแถลงการณ์ว่าการเข้ารหัสมีประโยชน์ต่ออาชญากรมากแค่ไหน แล้วพอเกิดเหตุข้อมูลรั่วไหลขึ้นมา ก็ถอยกลับไปอีกครั้ง วนซ้ำแบบนี้
  • นี่คือเหตุผลที่ต้องมี การเข้ารหัสระหว่างอุปกรณ์ เหนือชั้นความปลอดภัยทั้งหมดที่ผู้ให้บริการโทรคมนาคมมี
    ไม่มีเหตุผลใดที่การเชื่อมต่อใด ๆ ที่ฉันสร้างขึ้นจะไม่ถูกเข้ารหัสจนถึงจุดอื่นนอกจากผู้รับ

    • ที่บอกว่าต้องมีการเข้ารหัสแบบปลายทางถึงปลายทางนั้นถูกต้อง แต่ครั้งนี้คงช่วยไม่ได้
      สิ่งที่จีนเล็งคือ เมทาดาตา ว่าใครสื่อสารกับใคร ซึ่งเป็นปัญหาคนละเรื่องโดยสิ้นเชิง
    • มีเหตุผลที่ชัดเจนอยู่ ผู้ใช้โดยทั่วไปไม่ต้องการและไม่สามารถจัดการ กุญแจ ได้
      แค่จัดการเบอร์โทรศัพท์ก็ยุ่งยากแล้ว แต่นี่คือการจะเพิ่มกุญแจสาธารณะเข้าไปอีก มันจดไว้ได้ไม่ง่าย และมีแนวโน้มจะผูกกับอุปกรณ์ พอทำโทรศัพท์หายแล้วเปลี่ยนเครื่องใหม่ ก็จะรับสายไม่ได้จนกว่าจะกระจายกุญแจใหม่ไปให้ทุกคนได้ด้วยวิธีใดวิธีหนึ่ง
      ผมมองว่าการเข้ารหัสแบบปลายทางถึงปลายทางพิสูจน์แล้วว่าใช้งานไม่ได้ในทุกบริบทที่มีการลองทำ ทุกวันนี้ไม่มีระบบเข้ารหัสปลายทางถึงปลายทางของจริงที่มีประโยชน์จริง ๆ และอุตสาหกรรมก็เปลี่ยนความหมายของคำนี้ไปเป็น “การเข้ารหัสแบบกึ่ง ๆ” ที่ซอฟต์แวร์ซึ่งฝ่ายตรงข้ามควบคุมเป็นผู้ทำการเข้ารหัส ทำให้คำนี้ไร้ความหมายไปแล้ว อย่างไรก็ดี ในเมื่อแทบไม่มีที่ไหนใช้การเข้ารหัสปลายทางถึงปลายทางของจริงอยู่แล้ว ก็พอเข้าใจวิศวกรที่ตัดสินใจแบบนั้นได้ในระดับหนึ่ง
  • กระทรวงการคลังสหรัฐฯ ก็ประกาศว่าถูกผู้ก่อภัยคุกคามจากจีนบุกรุกเช่นกัน
    ว่ากันว่า กุญแจเข้าถึงระยะไกล ของ “ผู้ให้บริการไซเบอร์ซีเคียวริตี้” ของพวกเขารั่วไหล ทำให้ผู้โจมตีสามารถเข้าถึงเอนด์พอยต์ภายในของกระทรวงการคลังได้

  • เท่าที่ผมรู้ เรื่องนี้ไม่น่าจะเป็นข่าวใหม่สำหรับผู้ให้บริการโทรคมนาคมใน EU เพราะบริษัทจีนเป็นผู้ดำเนินการอยู่ จึงมีสิทธิ์เข้าถึงแทบทุกอย่างแบบถาวร
    https://berthub.eu/articles/posts/5g-elephant-in-the-room/
    ผู้ให้บริการโทรคมนาคมของสหรัฐฯ ไม่เป็นแบบนั้นหรือ?

    • อย่างน้อยผู้ให้บริการโทรคมนาคมของสหรัฐฯ ก็กำลังสู้กับจีนอยู่ แนวทางแบบยุโรปคือไม่เพียงปล่อยให้ตัวเองถูกพิชิต แต่ยังจ่ายเงินให้จีนเพื่อให้ทำเช่นนั้นด้วย
      โชคดีที่บริการออนไลน์ของสหรัฐฯ ยืนอยู่ข้างยุโรปและทำงานหนักกว่าใครเพื่อปกป้องการสื่อสาร แถมไม่ได้รับเงินจากยุโรปด้วยซ้ำ แต่ยุโรปตอบแทนด้วยการปรับเงินหลายพันล้านดอลลาร์ ยุโรปทำให้เว็บไซต์เสื่อมคุณภาพเพื่อเก็บภาษีจากเศรษฐกิจแห่งความสนใจ และยังยกเลิกการคุ้มครองทางกฎหมายสำหรับนักพัฒนาโอเพนซอร์สด้วย
  • ถ้าพูดถึง “ความสามารถในการระบุตำแหน่งของผู้คนนับล้าน” แล้ว Starlink ก็น่าจะระบุตำแหน่ง IMEI ของโทรศัพท์ 4G/5G ทั้งหมดได้ง่าย ๆ ด้วย เสาอากาศ direct-to-cell ขนาดมหึมา

    • โปรโตคอลโทรศัพท์มือถือสมัยใหม่ไม่เปิดเผย IMEI ในรูปแบบที่ไม่เข้ารหัส
      มีขั้นตอนหลายชั้นที่ใช้ตัวระบุชั่วคราวเมื่อระบุอุปกรณ์กับเครือข่ายส่วนใหญ่ ดังนั้นจึงไม่จำเป็นต้องเป็นเช่นนั้น
    • https://www.he360.com/ ทำเรื่องแบบนี้มาค่อนข้างนานแล้ว