ผู้ให้บริการเครือข่ายเพิ่มขึ้นยืนยันการถูกเจาะโดย Salt Typhoon ทำเนียบขาวพิจารณาแทรกแซง
(theregister.com)- AT&T, Verizon และ Lumen Technologies ยืนยันว่า แฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน เข้าถึงระบบของตน ทำให้การเจาะของ Salt Typhoon ขยายตัวเป็นประเด็นความมั่นคงแห่งชาติครอบคลุมเครือข่ายโทรคมนาคมสหรัฐฯ
- ทำเนียบขาวอธิบายว่าการบุกรุกครั้งนี้ทำให้ฝั่งจีนมีความสามารถ ติดตามตำแหน่งของผู้คนนับล้าน และบันทึกการสนทนาทางโทรศัพท์ได้ตามต้องการ และในกรณีหนึ่ง การเจาะบัญชีผู้ดูแลระบบทำให้เข้าถึงเราเตอร์ได้มากกว่า 100,000 เครื่อง
- AT&T และ Verizon ระบุว่าลูกค้าที่ได้รับผลกระทบมีเพียง ส่วนน้อย ขณะที่ Lumen ระบุว่าไม่พบหลักฐานการเข้าถึงข้อมูลลูกค้า และบริษัทยังได้รับการยืนยันจากบริษัทนิติวิทยาศาสตร์ดิจิทัลอิสระว่าผู้โจมตีถูกกำจัดออกไปแล้ว
- ผู้ที่ได้รับผลกระทบด้านข้อมูลตำแหน่งและเมทาดาทาการโทรมีจำนวนมาก แต่ผู้ที่ตกเป็นเป้าหมายการเก็บรวบรวมการโทรและข้อความจริงมีน้อยกว่า และอาจมี ไม่ถึง 100 คน
- FCC กำลังผลักดันร่างกฎที่กำหนดให้ผู้ให้บริการโทรคมนาคมต้องปฏิบัติตามแนวทางพื้นฐานด้านความมั่นคงไซเบอร์ และวุฒิสมาชิก Ron Wyden ก็เสนอร่างกฎหมายที่เรียกร้องให้ FCC ออกกฎความปลอดภัยด้านการสื่อสารที่มีผลผูกพัน
การยืนยันการถูกเจาะของผู้ให้บริการเครือข่ายสหรัฐฯ ขยายวง
- AT&T, Verizon และ Lumen Technologies ยืนยันว่า สายลับที่ได้รับการสนับสนุนจากรัฐบาลจีนได้เข้าถึงบางส่วนของระบบบริษัทเมื่อต้นปีนี้
- ทำเนียบขาวระบุว่าจำนวนผู้ให้บริการโทรคมนาคมที่ได้รับผลกระทบจากการเจาะของ Salt Typhoon เพิ่มจาก 8 เป็น 9 ราย
- ก่อนหน้านี้ T-Mobile เคยกล่าวถึงความพยายามสอดแนมของ Salt Typhoon และกิจกรรมจารกรรมที่ “สม่ำเสมอ” แต่ย้ำว่าไม่ใช่หนึ่งในผู้ให้บริการ 9 รายที่รัฐบาลกล่าวถึง
รายละเอียดความเสียหายที่ AT&T, Verizon และ Lumen ยืนยัน
- AT&T ระบุว่าสายลับต่างชาติได้เจาะลูกค้า เพียงไม่กี่ราย ในแคมเปญข่าวกรอง และกลุ่มดังกล่าวถูกนำออกจากเครือข่ายแล้ว
- ขณะนี้ไม่ตรวจพบกิจกรรมของผู้กระทำการระดับรัฐในเครือข่ายอีก
- บริษัทมองว่าจีนมุ่งเป้าไปที่บุคคลจำนวนน้อยที่เป็นเป้าหมายด้านข่าวกรองจากต่างประเทศ
- ในกรณีที่มีผลกระทบต่อข้อมูลส่วนบุคคลซึ่งมีจำนวนค่อนข้างน้อย บริษัทได้ร่วมมือกับหน่วยงานบังคับใช้กฎหมายเพื่อปฏิบัติตามข้อกำหนดการแจ้งเตือน
- บริษัทยังดำเนินการสืบสวนต่อร่วมกับเจ้าหน้าที่รัฐ ผู้ให้บริการรายอื่น และผู้เชี่ยวชาญด้านความมั่นคงไซเบอร์
- Verizon ยืนยันว่าผู้บุกรุกจากจีนได้เข้าถึงลูกค้าระดับสูงของภาครัฐและการเมือง เพียงไม่กี่ราย
- บริษัทได้แจ้งลูกค้าเหล่านั้นแล้ว และระบุว่าได้สกัดกั้นเหตุการณ์ไซเบอร์ที่เกิดจากภัยคุกคามระดับรัฐ
- บริษัทความมั่นคงไซเบอร์ที่ไม่ได้เปิดเผยชื่อซึ่งได้รับการยกย่องว่า “มีชื่อเสียงสูง” ก็ยืนยันการสกัดกั้นดังกล่าว
- Verizon ทำงานร่วมกับหน่วยงานบังคับใช้กฎหมายของรัฐบาลกลาง หน่วยงานความมั่นคงแห่งชาติ พันธมิตรด้านโทรคมนาคมรายอื่น และบริษัทด้านความปลอดภัย
- Vandana Venkatesh ประธานเจ้าหน้าที่ฝ่ายกฎหมายของ Verizon ระบุว่าไม่ได้ตรวจพบกิจกรรมของผู้คุกคามในเครือข่าย Verizon มาระยะหนึ่งแล้ว
- Lumen Technologies ระบุว่าได้กำจัดผู้โจมตีจากจีนออกจากระบบ และไม่พบ หลักฐานการเข้าถึงข้อมูลลูกค้า
- บริษัทนิติวิทยาศาสตร์ดิจิทัลอิสระยืนยันว่า Salt Typhoon ไม่ได้อยู่ในเครือข่ายอีกต่อไป
- บริษัทยังระบุว่าพันธมิตรระดับรัฐบาลกลางไม่ได้แบ่งปันข้อมูลใดที่ขัดแย้งกับข้อสรุปนี้
ขอบเขตและวิธีการบุกรุกตามมุมมองของทำเนียบขาว
- Anne Neuberger รองที่ปรึกษาความมั่นคงแห่งชาติด้านไซเบอร์และเทคโนโลยีเกิดใหม่ของทำเนียบขาว ระบุว่าการบุกรุกครั้งนี้ถูกเรียกว่าเป็น “การแฮ็กโทรคมนาคมที่เลวร้ายที่สุดในประวัติศาสตร์สหรัฐฯ”
- ฝั่งจีนเข้าถึงเครือข่ายและได้รับ “การเข้าถึงอย่างกว้างขวางและสมบูรณ์” ส่งผลให้มีความสามารถ ติดตามตำแหน่งของผู้คนนับล้าน และบันทึกการสนทนาทางโทรศัพท์ได้ตามต้องการ
- ในกรณีหนึ่ง สายลับได้เจาะบัญชีผู้ดูแลระบบ และด้วยบัญชีนั้นสามารถเข้าถึง เราเตอร์มากกว่า 100,000 เครื่อง
- Neuberger อธิบายว่าการเจาะบัญชีดังกล่าวทำให้จีนได้รับสิทธิ์เข้าถึงวงกว้างทั่วทั้งเครือข่าย
- เธอประเมินว่าสภาพเช่นนี้ต่ำกว่าระดับความมั่นคงไซเบอร์ที่จำเป็นต่อการป้องกันผู้กระทำการระดับรัฐ
จำนวนผู้ได้รับผลกระทบและขอบเขตของข้อมูล
- ทำเนียบขาวยังไม่สามารถระบุจำนวนผู้เสียหายทั้งหมดได้
- บุคคลที่ได้รับผลกระทบด้านข้อมูลตำแหน่งและเมทาดาทาการโทรมี จำนวนมาก
- ผู้ที่ตกเป็นเป้าหมายการเก็บรวบรวมการสนทนาทางโทรศัพท์และข้อความจริงมีน้อยกว่า และจำนวนบุคคลจริงอาจมี ไม่ถึง 100 คน
การตอบสนองด้านความปลอดภัยโทรคมนาคมที่กำลังขยับไปสู่กฎระเบียบ
- หลังการบุกรุกครั้งนี้ ทำเนียบขาวเน้นย้ำว่าการใช้ มาตรการความมั่นคงไซเบอร์แบบสมัครใจ เพียงอย่างเดียวไม่เพียงพอต่อการรับมือภัยคุกคามระดับรัฐ
- FCC ได้เริ่ม ข้อเสนอ กฎสาธารณะที่กำหนดให้ผู้ให้บริการโทรคมนาคมต้องมีแนวปฏิบัติพื้นฐานด้านความมั่นคงไซเบอร์
- คณะกรรมาธิการมีกำหนดลงมติเรื่องกฎดังกล่าวภายในวันที่ 15 มกราคม
- วุฒิสมาชิก Ron Wyden เสนอ ร่างกฎหมาย ที่กำหนดให้ FCC ต้องออกกฎที่มีผลผูกพันสำหรับระบบโทรคมนาคม
- CEO ของผู้ให้บริการโทรคมนาคมทั้ง 9 รายที่ถูกเจาะ ต่างเข้าร่วม Enduring Security Framework ระยะเวลา 60 วันของรัฐบาล
- ความร่วมมือระหว่างภาครัฐและเอกชนนี้มีเป้าหมายเพื่อกำหนดแนวปฏิบัติขั้นต่ำด้านความมั่นคงไซเบอร์ที่หน่วยข่าวกรอง CISA, FBI และผู้เชี่ยวชาญด้านความปลอดภัยโทรคมนาคมเห็นพ้องกัน
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
หากบริษัทต่าง ๆ ปฏิบัติตามหลัก การเก็บข้อมูลให้น้อยที่สุด และใช้ การเข้ารหัสแบบปลายทางถึงปลายทาง กับข้อมูลลูกค้าที่ไม่จำเป็นต้องดู การละเมิดลักษณะนี้ก็คงลดลง
เพราะแรงจูงใจในการบุกรุกจะหายไป แต่หน่วยข่าวกรองยังยืนกรานว่าต้องสามารถเข้าถึงบทสนทนาของประชาชนผู้บริสุทธิ์ได้
ในความเป็นจริงแทบไม่มีบทลงโทษหรือค่าปรับเชิงลงโทษ และการปกป้องกำไรระยะสั้นถูกให้ความสำคัญมากกว่าการปกป้องข้อมูลผู้ใช้ จนกว่าการละเมิดจะนำไปสู่ ความเสียหายทางการเงิน อย่างร้ายแรงต่อบริษัท เรื่องนี้ก็จะถูกผลักภาระไปให้ผู้ใช้ในทำนองว่า “ขออภัย เราจะให้บริการเฝ้าระวังเครดิตแก่คุณ” แม้แต่ในวงการพัฒนาซอฟต์แวร์และวิศวกรรม ก็มีไม่กี่คนที่จริงจังกับความปลอดภัยของข้อมูล พูดกันเยอะ แต่ในการนำไปใช้จริงทางธุรกิจกลับมีแนวปฏิบัติที่แย่มากมาย
ตอนนี้แบ็กดอร์สำหรับเลี่ยงความเป็นส่วนตัวที่ถูกบังคับใช้นั้นกำลังถูกผู้ไม่หวังดีใช้ และ FBI ก็กำลังแนะนำให้ทุกคนใช้แอปที่เข้ารหัสแบบปลายทางถึงปลายทาง เพราะสถานการณ์ที่พวกเขาเองก่อขึ้น แต่เมื่อภัยพิบัตินี้ผ่านไป พวกเขาก็คงกลับไปอ้างอีกว่า “การเข้ารหัสไม่ดี ความปลอดภัยไม่ดี ขอวิธีเอาข้อมูลไปได้ง่าย ๆ”
ปัญหาคือทั้งกฎระเบียบและผลประโยชน์ทางการค้าต่างพันกันอยู่ การคาดหวังว่าสาธารณชนหรือรัฐบาลจะยอมรับความเป็นส่วนตัวที่แท้จริงสำหรับโทรศัพท์มือถือจึงไม่สมจริง ผู้คนต้องการให้ตำรวจหรือเจ้าหน้าที่ดับเพลิงออกปฏิบัติการเมื่อโทรหา 911 และต้องการให้อาชญากรรมองค์กรหรืออาชญากรรมร้ายแรงถูกจับและฟ้องร้อง
โปรโตคอล SS7 ช่วยให้รู้ได้ว่าโทรศัพท์เชื่อมต่อกับ RNC/MMC ใด ณ เวลาหนึ่ง ซึ่งเป็นส่วนสำคัญโดยธรรมชาติของการทำงานของเครือข่าย หากผู้โจมตีที่มีความซับซ้อนเพียงพอมีสิทธิ์เข้าถึงอุปกรณ์โทรคมนาคมมากพอ ก็สามารถส่งคำสั่งของโปรโตคอลดังกล่าวโดยตรงเพื่อหาตำแหน่งได้
เข้าใจหลักพื้นฐานตอนมีผู้ใช้คนเดียว แต่สนใจอยากรู้เพิ่มเติมว่าการแชตกลุ่มแบบเข้ารหัสปลายทางถึงปลายทางที่แชร์กันอย่าง Facebook Messenger นั้นทำงานอย่างไร
แปลกที่ธนาคารในสหรัฐฯ, Venmo, PayPal และอื่น ๆ ยังต้องการหมายเลขโทรศัพท์ “จริง” สำหรับการยืนยันตัวตน
Venmo ไม่ให้ใช้หมายเลข VoIP แต่พอสมัคร Tello แล้วเปิดใช้งาน eSIM จากต่างประเทศ ก็รับ SMS และสมัครได้ทันที อุปสรรคมีแค่ 5 ดอลลาร์ ช่างเป็นความปลอดภัยที่ยอดเยี่ยมจริง ๆ
สุดท้ายแล้ว วิธีที่มีประสิทธิภาพที่สุดคือการรู้ว่าคู่กรณีในการทำธุรกรรมเป็นใคร บางบริษัทมีมาตรฐาน การรู้จักลูกค้า ต่ำ แต่เมื่อเวลาผ่านไปก็กลายเป็นช่องทางช่วยอาชญากรรมและถูกพันธมิตรด้านกฎระเบียบกับรัฐบาลจับตามอง สหรัฐฯ ค่อนข้างผ่อนปรนเมื่อเทียบกับสิงคโปร์ แคนาดา ญี่ปุ่น และ EU ที่เข้มงวดขึ้นเรื่อย ๆ และในหลายเขตอำนาจศาลต้องมีการยืนยันด้วยชีวมิติ การยืนยันด้วยรูปถ่าย และบางครั้งต้องวิดีโอสัมภาษณ์กับเจ้าหน้าที่เพื่อแสดงเอกสาร
บริษัทหนึ่งถึงกับมาบล็อก หมายเลข VoIP ย้อนหลังทีหลัง ซึ่งโง่มากจริง ๆ
ควรมีขั้นตอนตรวจสอบว่าหมายเลขนั้นไม่ได้ถูกใช้ในการฉ้อโกงแล้วอนุญาตให้ใช้ได้ การที่เป็นลูกค้ามาหลายปี ใช้หมายเลขนั้นมาตลอด และทำธุรกรรมหลายพันดอลลาร์บนแพลตฟอร์มโดยไม่มีปัญหา ก็น่าจะใช้เป็นเกณฑ์ประกอบการตัดสินได้ไม่ใช่หรือ
อย่างน้อยในยุโรป ตามมาตรฐาน PSD2 ประเด็นนี้คือหัวใจของการยอมรับหมายเลขโทรศัพท์เป็นวิธีการยืนยันตัวตนสองขั้นตอน
เหตุผลเดียวที่ผมไม่รับสายแล้วพูดว่า “ผมคือ …” ก็เพราะผมซื่อสัตย์ ผู้ใช้ไม่หวังดีที่รู้อยู่แล้วว่าพวกเขาจะถามข้อมูลอะไรทั้งหมด จะถูกกันไว้ไม่ได้เลย และก็แค่โกหกว่าเป็นเจ้าของธุรกิจหรือเจ้าของบัญชีเท่านั้น
ผมทำงานด้านความปลอดภัย และเหตุการณ์นี้น่าตกใจมาก ที่น่าตกใจไม่ใช่แค่บริษัทต่าง ๆ ถูกแฮ็ก แต่เป็นขอบเขตการโจมตีที่ดูเหมือนเกิดขึ้น พร้อมกันหลายจุด และมีการประสานงานกัน
การเจาะหลายบริษัทพร้อมกันบอกอะไรบางอย่างเกี่ยวกับเป้าหมายของฝ่ายจีน วิธีนี้เสี่ยงทำให้เกิด “เสียงรบกวน” มากขึ้น จึงน่าสงสัยว่าทำไมถึงไม่ซื้อใจพนักงานเพื่อดักฟังเป้าหมายระดับสูง แต่กลับไปแตะทุกอย่างจนเรียกการตอบสนองระดับประธานาธิบดีขึ้นมา เรื่องนี้ให้ความรู้สึกเหมือนถูกขับเคลื่อนด้วยภาพลักษณ์และการเมือง และทำให้คิดว่า สงครามเย็น ยุคใหม่คือการโจมตีโครงสร้างพื้นฐาน
ลองเลือกอุตสาหกรรมแทบใดก็ได้ที่น่าสนใจ หน่วยข่าวกรองของ 50 ประเทศอันดับต้น ๆ ก็จะมีทีมเฉพาะทางที่แฮ็กภาคส่วนนั้น และส่วนใหญ่ทำสำเร็จ น่าเสียดายที่แม้แต่คนในวงการความปลอดภัยเองก็มักไม่เข้าใจขอบเขตและขนาดของปฏิบัติการเหล่านี้อย่างถูกต้อง แม้จะอยู่ในเครือข่ายที่ตนรับผิดชอบก็ตาม “เสียงรบกวน” ในที่นี้ไม่ได้เกิดจากผู้โจมตี และผู้โจมตีก็ไม่ได้อยากถูกจับ แต่ความผิดพลาดย่อมเกิดขึ้นได้
เพราะเมื่อเจออย่างหนึ่งแล้ว ก็จะเริ่มหาอย่างอื่นตามมา การชักชวนพนักงานให้ร่วมมือซับซ้อนและยาก แต่การโจมตี SS7 จากระยะไกลทำได้ง่ายกว่ามาก โดยเฉพาะเมื่อมีเป้าหมายเฝ้าระวังหลายราย
การไปยุ่งกับสายโทรคมนาคมและสายไฟฟ้าอย่างเปิดเผยดูเหมือนเป็นสัญญาณถึงนักการเมืองตะวันตก มีข้อกล่าวอ้างด้วยว่าเกาหลีเหนือขโมยคริปโต แต่ก็มีประเด็นว่าไม่มีเหยื่อที่ระบุตัวตนได้ออกมา นักการเมืองตะวันตกกำลังพยายามปรับโครงสร้างเศรษฐกิจโลกทั้งใบ โดยอ้างว่าจะช่วยเราให้พ้นจากสิ่งที่กำลังเกิดขึ้นตอนนี้ จึงรู้สึกว่าเป็นมากกว่าเรื่องบังเอิญ
ไม่ว่าฝ่ายที่กำลังจะพ้นตำแหน่งและฝ่ายที่จะเข้ามาจะมีแนวคิดทางการเมืองอย่างไร สถานการณ์ก็จะยิ่งวุ่นวายกว่าเดิม และแม้จะสะดุดตา แต่ก็มีโอกาสถูกเลื่อนลงไปในรายการเรื่องที่ต้องจัดการ หรือถูกลืมไปได้
การโจมตีที่ปรากฏในข่าวมี อคติจากการคัดเลือก ขนาดใหญ่มาก
คำอธิบายของการแฮ็กยังไม่ชัดเจนจึงยืนยันไม่ได้ แต่ยิ่งมีผู้ให้บริการโทรคมนาคมที่ถูกแฮ็กเพิ่มขึ้น ก็ยิ่งมีความเป็นไปได้มากขึ้นว่าจีนเจาะเข้ามาด้วยการโจมตี การดักฟังโดยชอบด้วยกฎหมาย
วิธีการอาจมีได้หลายแบบ เช่น ติดสินบนหรือข่มขู่เจ้าหน้าที่หน่วยงานบังคับใช้กฎหมายที่มีสิทธิ์เข้าถึงระบบจัดการการดักฟังโดยชอบด้วยกฎหมาย, โจมตีซัพพลายเชนของระบบดังกล่าว, หรือแฮ็กการยืนยันตัวตนระหว่างเครือข่ายกับระบบจัดการ หากเป็นการโจมตีการดักฟังโดยชอบด้วยกฎหมายจริง ก็เท่ากับว่าเครือข่ายทั้งหมดที่รองรับการดักฟังโดยชอบด้วยกฎหมายแบบอัตโนมัติถูก compromised ไปแล้ว นี่เป็นการโจมตีที่ร้ายกาจ เพราะระบบถูกออกแบบมาให้ผู้ปฏิบัติงานไม่เห็นเป้าหมายการดักฟังได้ง่าย ทำให้ตรวจจับได้ยาก
คนที่เคยทำงานด้านเครือข่ายน่าจะเข้าใจว่าหมายถึงอะไร วงการนี้อยู่ในสภาพย่ำแย่อย่างน่าขัน ใช้ SSH แต่ไม่ตรวจสอบ host key, ใช้ agent forwarding และใช้โปรโตคอลอย่าง RADIUS หรือ SNMP ที่ถ้าเจาะอุปกรณ์ได้เพียงตัวเดียว ก็มักจะล้มทั้งระบบด้วย shared secret ระดับทั่วทั้งเครือข่ายแทบทุกครั้ง ยังน่าสงสัยด้วยว่าใช้ secure boot อย่างมีความหมายหรือไม่ และมีการตรวจสอบความถูกต้องของระบบไฟล์หรือเปล่า
เมื่อ 20 ปีก่อน มีคนพบว่าสามารถฉีด TCP reset ปลอมเพื่อทำให้การเชื่อมต่อ BGP หลุดได้ แต่วงการนี้ไม่ได้เอา BGP over TLS มาใช้ สิ่งที่ทำมีเพียงเพิ่ม TCP MD5 hash แบบอิง shared secret ในปี 1999 เท่านั้น: https://datatracker.ietf.org/doc/html/rfc2385 จนถึงทุกวันนี้ บรรยากาศก็ยังเป็นแบบที่นึกภาพการใช้ PKI ไม่ออก และโดยทั่วไปก็แทบไม่ถูกนำไป deploy อยู่ดี
ถ้าอยากเข้าใจวงการนี้ แค่ดูเรื่องนี้ก็พอ แทนที่จะใช้ TLS ธรรมดา กลับสร้างอะไรอย่าง https://datatracker.ietf.org/doc/html/rfc5925 ขึ้นมา และในการ deploy จริงก็ยังใช้โมเดล shared tuple แบบเดิมต่อไป ทำให้แย่พอ ๆ กับ 2385 แม้แต่ในบรรดา vendor ที่บอกว่า “รองรับ” ก็ยังมีบางรายที่ไม่ได้รองรับ RFC ทั้งฉบับ สถานการณ์แบบนี้เป็นที่รู้กันมาหลายสิบปีแล้ว แต่ vendor แทบไม่สนใจปรับปรุงความปลอดภัย นอกจากอุดปัญหาโง่ ๆ ที่ถูกจับได้เป็นรายกรณี และนักวิจัยด้านความปลอดภัยเองก็ไม่ค่อยตรวจสอบอุปกรณ์เครือข่ายสำคัญ ๆ เหล่านี้
ไม่ได้หมายความว่ามีที่ถูกแฮ็กมากขึ้น แต่หมายความว่าพบกรณีที่เกี่ยวข้องกับการแฮ็กเดียวกันมากขึ้น ผู้โจมตีระดับนี้ย่อมติดตามข่าวอยู่ และจะขยับตัวอย่างเหมาะสมเพื่อผลประโยชน์ หรือปิดเครือข่ายก่อนที่ตัวบ่งชี้การบุกรุกจะถูก reverse engineer
มากกว่าจะเป็นการโจมตีผ่านการดักฟังโดยชอบด้วยกฎหมาย สถานการณ์น่าจะเป็นว่าพวกเขายังไม่แน่ใจว่าเข้ามาได้อย่างไร แนวทางของ CISA ส่วนใหญ่เป็น best practice ด้านไซเบอร์ซีเคียวริตีมาตรฐาน เช่น การเฝ้าระวังและเพิ่ม visibility, การลด attack surface การเปลี่ยนแปลงหลักดูเหมือนจะเป็นข้อกำหนดให้เลิกใช้ TFTP และให้ใช้ผู้ผลิตเป็นแหล่งที่มาของ hash อ้างอิง ดูเหมือนมีความเป็นไปได้สูงมากว่าเป็นการโจมตีผ่านเฟิร์มแวร์บนเส้นทางรับส่งข้อมูล
เซิร์ฟเวอร์ TFTP ใช้ส่งการตั้งค่าไปยังอุปกรณ์ปลายทางในเครือข่าย ISP หรือก็คือโมเด็มของลูกค้า และยังรวมถึง image เฟิร์มแวร์ด้วย โดยไม่มีการยืนยันตัวตน การอนุญาต หรือการตรวจสอบย้อนหลัง ฮาร์ดแวร์ที่เกี่ยวข้องถูกออกแบบมาให้ตรวจสอบการเปลี่ยนแปลงได้ยากโดยธรรมชาติ, TR-47 แทบไม่ค่อยถูกใช้อย่างเหมาะสม และการเข้ารหัสที่เกี่ยวข้องก็ถูกกฎหมายบังคับให้ต้องเข้ากันได้ย้อนหลังกับการเข้ารหัสที่ถูกเจาะไปแล้ว มีการบรรยายที่ดีเมื่อไม่กี่ปีก่อนใน Cyphercon 6: https://www.youtube.com/watch?v=_hk2DsCWGXs
การเน้น TLS 1.3 เป็นพิเศษบ่งชี้ว่า connection อาจถูก downgrade อยู่ หรือฮาร์ดแวร์/เฟิร์มแวร์ของ CPE bridge ในเวอร์ชันก่อนหน้าอาจกำลังทำการโจมตีแบบ man-in-the-middle อย่างโปร่งใสต่อเว็บไซต์สาธารณะ การเน้นให้ใช้ DH group เฉพาะก็อาจสื่อว่าอาจมี key exchange group บางกลุ่มที่ยังไม่เป็นที่รู้กันว่าถูกเจาะ แต่ในความเป็นจริงอาจถูกเจาะแล้ว
หากผู้โจมตีสามารถแทรกโค้ดอันตรายเข้าไปในทราฟฟิกแบบฉับพลันเพื่อโจมตีบุคคลอ่อนไหวที่ตนมีสิทธิ์เข้าถึงอยู่แล้ว ก็สามารถใช้ทราฟฟิกนั้นเจาะเข้าสู่ระบบที่อ่อนไหวมากได้อย่างง่ายดาย สมมติฐานที่ไกลขอบออกไปอีกคือ อาจมีวิธีทำลายโครงสร้าง Feistel เกิดขึ้นแล้ว NSA เคยบอกว่ามีความก้าวหน้าครั้งใหญ่ด้านวิทยาการเข้ารหัส หากสิ่งนั้นเกี่ยวข้องกับการโจมตีโครงสร้างเครือข่าย Feistel ซึ่งเป็นรากฐานของการเข้ารหัสสมัยใหม่ส่วนใหญ่ ก็อาจเป็นคำอธิบายอีกแบบได้
คอมพิวเตอร์แทบทุกเครื่องมีโปรเซสเซอร์เสริมที่มีลักษณะคล้ายแบ็กดอร์ในรูปแบบอย่าง TrustZone, Management Engine, AMD PSP ฝังอยู่ และได้รับการปกป้องโดยพึ่งพาเพียงการเข้ารหัสโดยไม่มี audit trail ที่เหมาะสม สิ่งนี้ดูเหมือนเป็นผลไม้ห้อยต่ำที่รวมศูนย์อยู่ในแพลตฟอร์มคอมพิวติ้งแทบทั้งหมดบนโลก หากคอมพิวเตอร์ควอนตัมสามารถเจาะคีย์ลายเซ็นเดี่ยวของระบบเหล่านี้ได้ ก็จะกลายเป็นกุญแจทองสำหรับทุกสิ่ง และในระดับรัฐก็ไม่ใช่เรื่องที่เป็นไปไม่ได้โดยสิ้นเชิง หากไม่มี visibility วิธีตรวจพบ ตอบสนอง หรือแยกปัญหาก็จะมีได้เพียงทางอ้อมเท่านั้น
การอภิปรายก่อนหน้าที่เกี่ยวข้อง:
PRC Targeting of Commercial Telecommunications Infrastructure
https://news.ycombinator.com/item?id=42132014
AT&T, Verizon reportedly hacked to target US govt wiretapping platform
https://news.ycombinator.com/item?id=41766610
เมื่อไม่กี่ปีก่อน หน่วยข่าวกรองยังเรียกร้องให้ บังคับมีแบ็กดอร์ อยู่เลย แต่ตอนนี้ FBI กลับแนะนำ Signal สำหรับแชตที่ปลอดภัย ฟังดูเป็นเรื่องตลกร้าย
หวังว่ารัฐบาลชุดใหม่จะไปส่องอีเมลและข้อความของพวกเขาตลอด 4 ปีที่ผ่านมาด้วย นี่มันแนว “ความเป็นส่วนตัวของฉันได้ แต่ของเธอไม่ได้”
การโจมตีนี้เล่นงาน แบ็กดอร์ CALEA ผ่านบริษัทเอาต์ซอร์สด้านการดักฟัง แล้วเป็นบริษัทไหนกัน?
NEX-TECH: https://www.nex-tech.com/carrier/calea/
Substentio: https://www.subsentio.com/solutions/platforms-technologies/
Sy-Tech: https://www.sytechcorp.com/calea-lawful-intercept
มีบริษัทไหนอีกที่ทำธุรกิจนี้? บริษัทเอาต์ซอร์สด้านการดักฟังไม่ได้มีมากนัก Verisign ก็เคยทำธุรกิจนี้มาก่อน แต่ตอนนี้ดูเหมือนจะไม่แล้ว
แน่นอนว่าในเชิงเทคนิคเป็นไปไม่ได้ แต่จากมุมมองของหน่วยข่าวกรอง สถานะปลายทางที่ต้องการนั้นค่อนข้างเข้าใจได้
จึงไม่น่าแปลกใจที่ฝั่งต่อต้านข่าวกรองต้องการการเข้ารหัสที่แข็งแกร่ง ส่วนฝั่งรับมืออาชญากรรมต้องการการเข้ารหัสที่ใส่แบ็กดอร์ได้
แม้ว่า FBI จะไม่ได้เคารพความเป็นส่วนตัวเท่าที่ควรก็ตาม
นี่คือเหตุผลที่ต้องมี การเข้ารหัสระหว่างอุปกรณ์ เหนือชั้นความปลอดภัยทั้งหมดที่ผู้ให้บริการโทรคมนาคมมี
ไม่มีเหตุผลใดที่การเชื่อมต่อใด ๆ ที่ฉันสร้างขึ้นจะไม่ถูกเข้ารหัสจนถึงจุดอื่นนอกจากผู้รับ
สิ่งที่จีนเล็งคือ เมทาดาตา ว่าใครสื่อสารกับใคร ซึ่งเป็นปัญหาคนละเรื่องโดยสิ้นเชิง
แค่จัดการเบอร์โทรศัพท์ก็ยุ่งยากแล้ว แต่นี่คือการจะเพิ่มกุญแจสาธารณะเข้าไปอีก มันจดไว้ได้ไม่ง่าย และมีแนวโน้มจะผูกกับอุปกรณ์ พอทำโทรศัพท์หายแล้วเปลี่ยนเครื่องใหม่ ก็จะรับสายไม่ได้จนกว่าจะกระจายกุญแจใหม่ไปให้ทุกคนได้ด้วยวิธีใดวิธีหนึ่ง
ผมมองว่าการเข้ารหัสแบบปลายทางถึงปลายทางพิสูจน์แล้วว่าใช้งานไม่ได้ในทุกบริบทที่มีการลองทำ ทุกวันนี้ไม่มีระบบเข้ารหัสปลายทางถึงปลายทางของจริงที่มีประโยชน์จริง ๆ และอุตสาหกรรมก็เปลี่ยนความหมายของคำนี้ไปเป็น “การเข้ารหัสแบบกึ่ง ๆ” ที่ซอฟต์แวร์ซึ่งฝ่ายตรงข้ามควบคุมเป็นผู้ทำการเข้ารหัส ทำให้คำนี้ไร้ความหมายไปแล้ว อย่างไรก็ดี ในเมื่อแทบไม่มีที่ไหนใช้การเข้ารหัสปลายทางถึงปลายทางของจริงอยู่แล้ว ก็พอเข้าใจวิศวกรที่ตัดสินใจแบบนั้นได้ในระดับหนึ่ง
กระทรวงการคลังสหรัฐฯ ก็ประกาศว่าถูกผู้ก่อภัยคุกคามจากจีนบุกรุกเช่นกัน
ว่ากันว่า กุญแจเข้าถึงระยะไกล ของ “ผู้ให้บริการไซเบอร์ซีเคียวริตี้” ของพวกเขารั่วไหล ทำให้ผู้โจมตีสามารถเข้าถึงเอนด์พอยต์ภายในของกระทรวงการคลังได้
เท่าที่ผมรู้ เรื่องนี้ไม่น่าจะเป็นข่าวใหม่สำหรับผู้ให้บริการโทรคมนาคมใน EU เพราะบริษัทจีนเป็นผู้ดำเนินการอยู่ จึงมีสิทธิ์เข้าถึงแทบทุกอย่างแบบถาวร
https://berthub.eu/articles/posts/5g-elephant-in-the-room/
ผู้ให้บริการโทรคมนาคมของสหรัฐฯ ไม่เป็นแบบนั้นหรือ?
โชคดีที่บริการออนไลน์ของสหรัฐฯ ยืนอยู่ข้างยุโรปและทำงานหนักกว่าใครเพื่อปกป้องการสื่อสาร แถมไม่ได้รับเงินจากยุโรปด้วยซ้ำ แต่ยุโรปตอบแทนด้วยการปรับเงินหลายพันล้านดอลลาร์ ยุโรปทำให้เว็บไซต์เสื่อมคุณภาพเพื่อเก็บภาษีจากเศรษฐกิจแห่งความสนใจ และยังยกเลิกการคุ้มครองทางกฎหมายสำหรับนักพัฒนาโอเพนซอร์สด้วย
ถ้าพูดถึง “ความสามารถในการระบุตำแหน่งของผู้คนนับล้าน” แล้ว Starlink ก็น่าจะระบุตำแหน่ง IMEI ของโทรศัพท์ 4G/5G ทั้งหมดได้ง่าย ๆ ด้วย เสาอากาศ direct-to-cell ขนาดมหึมา
มีขั้นตอนหลายชั้นที่ใช้ตัวระบุชั่วคราวเมื่อระบุอุปกรณ์กับเครือข่ายส่วนใหญ่ ดังนั้นจึงไม่จำเป็นต้องเป็นเช่นนั้น