DOGE ในฐานะการโจมตีทางไซเบอร์ระดับรัฐ

 (schneier.com)
2 คะแนน โดย GN⁺ 2025-02-14 | 1 ความคิดเห็น | แชร์ทาง WhatsApp

การโจมตีทางไซเบอร์ระดับรัฐของ DOGE

  • ในช่วงไม่กี่สัปดาห์ที่ผ่านมา รัฐบาลสหรัฐฯ ประสบกับการละเมิดความปลอดภัยที่ร้ายแรงที่สุดครั้งหนึ่งในประวัติศาสตร์ ซึ่งไม่ได้เกิดจากการโจมตีทางไซเบอร์ที่ซับซ้อนหรือการจารกรรมจากต่างชาติ แต่เกิดขึ้นผ่านคำสั่งอย่างเป็นทางการจากมหาเศรษฐีผู้มีบทบาทในรัฐบาลที่ไม่ชัดเจน

  • ผู้ที่เกี่ยวข้องกับ Department of Government Efficiency (DOGE) ซึ่งเพิ่งจัดตั้งขึ้นใหม่ ได้เข้าถึงระบบคอมพิวเตอร์ของกระทรวงการคลังสหรัฐฯ และมีความสามารถในการรวบรวมและควบคุมข้อมูลการจ่ายเงินของรัฐบาลกลางมูลค่าราว 5.45 ล้านล้านดอลลาร์ต่อปี

  • มีความเป็นไปได้ว่าบุคลากรของ DOGE ที่ไม่ได้รับอนุญาตได้เข้าถึงและคัดลอกข้อมูลลับของ USAID และยังมีการละเมิดข้อมูลของ Office of Personnel Management (OPM) รวมถึงบันทึก Medicare และ Medicaid ด้วย

  • รายชื่อพนักงาน CIA ถูกส่งไปยังบัญชีอีเมลที่ไม่เป็นทางการในสภาพที่มีการปิดทับบางส่วน และบุคลากรของ DOGE ได้นำข้อมูลของกระทรวงศึกษาธิการไปป้อนเข้าสู่ซอฟต์แวร์ปัญญาประดิษฐ์ พร้อมทั้งเริ่มดำเนินงานในกระทรวงพลังงานด้วย

  • เมื่อวันที่ 8 กุมภาพันธ์ ผู้พิพากษาศาลรัฐบาลกลางได้สั่งห้ามทีม DOGE เข้าถึงระบบของกระทรวงการคลังเพิ่มเติม แต่ยังไม่ชัดเจนว่าจะแก้ไขได้อย่างไร เพราะอาจมีการคัดลอกข้อมูลและติดตั้งหรือแก้ไขซอฟต์แวร์ไปแล้ว

  • ระบบที่ DOGE เข้าถึงเป็นองค์ประกอบสำคัญของโครงสร้างพื้นฐานระดับชาติ และระบบของกระทรวงการคลังยังมีแบบแปลนทางเทคโนโลยีของการเคลื่อนย้ายเงินทุนของรัฐบาลกลางอยู่ด้วย

  • เหตุการณ์นี้เป็นกรณีที่ไม่เคยเกิดขึ้นมาก่อน เพราะผู้ปฏิบัติงานจากภายนอกทำงานอย่างเปิดเผยภายใต้ประสบการณ์ที่จำกัดและการกำกับดูแลเพียงเล็กน้อย ขณะเดียวกันก็ได้รับสิทธิ์เข้าถึงระดับผู้ดูแลระบบขั้นสูงสุดในเครือข่ายที่อ่อนไหวที่สุดของสหรัฐฯ และกำลังทำการเปลี่ยนแปลงระบบเหล่านั้น

  • สิ่งที่น่ากังวลที่สุดไม่ใช่เพียงการให้สิทธิ์เข้าถึงเท่านั้น แต่ยังรวมถึงการรื้อถอนมาตรการความปลอดภัยอย่างเป็นระบบด้วย ซึ่งหมายถึงการลบโปรโตคอลตอบสนองต่อเหตุการณ์มาตรฐาน กลไกการตรวจสอบ และระบบติดตามการเปลี่ยนแปลง แล้วแทนที่ด้วยผู้ปฏิบัติงานที่ขาดประสบการณ์

  • ระบบคอมพิวเตอร์ของกระทรวงการคลังถูกออกแบบตามหลักการเดียวกับโปรโตคอลการสั่งปล่อยอาวุธนิวเคลียร์ เพื่อไม่ให้บุคคลเพียงคนเดียวมีอำนาจแบบไร้ขีดจำกัด นี่คือหลักการความปลอดภัยที่เรียกว่า "การแยกหน้าที่" ซึ่งเป็นมาตรการป้องกันที่จำเป็นเพื่อป้องกันการทุจริตและความผิดพลาด

  • บุคคลที่เกี่ยวข้องกับ DOGE ได้รับสิทธิ์ให้แก้ไขโปรแกรมหลักของคอมพิวเตอร์กระทรวงการคลัง เข้าถึงคีย์ที่เข้ารหัสไว้ และสามารถเปลี่ยนแปลง audit log ที่ใช้บันทึกการเปลี่ยนแปลงของระบบได้

  • การดัดแปลงระบบเหล่านี้ไม่เพียงทำลายการดำเนินงานในปัจจุบัน แต่ยังทิ้งช่องโหว่ที่อาจถูกนำไปใช้ในการโจมตีในอนาคตด้วย

  • พื้นที่ความปลอดภัยหลัก 3 ด้านกำลังถูกคุกคาม ได้แก่ การบิดเบือนระบบ การเปิดเผยข้อมูล และการควบคุมระบบ

  • การแก้ไขช่องโหว่เหล่านี้จำเป็นต้องเพิกถอนการเข้าถึงที่ไม่ได้รับอนุญาต ฟื้นฟูโปรโตคอลการยืนยันตัวตนที่เหมาะสม และกลับมาใช้การเฝ้าติดตามระบบกับการจัดการการเปลี่ยนแปลงอย่างครอบคลุมอีกครั้ง

  • นี่ไม่ใช่ประเด็นทางการเมือง แต่เป็นปัญหาด้านความมั่นคงของชาติ และมีความเป็นไปได้ที่หน่วยข่าวกรองต่างชาติจะฉวยโอกาสจากความโกลาหลและความไม่มั่นคงรูปแบบใหม่เพื่อขโมยข้อมูลของสหรัฐฯ และติดตั้ง backdoor

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-02-14
ความเห็นจาก Hacker News
  • ความกังวลที่ว่าฝ่ายที่เป็นปฏิปักษ์หรือประเทศศัตรูอาจได้โอกาสรวบรวมข้อมูลและทำความเข้าใจวิธีโจมตีประเทศนั้นเป็นเรื่องสมเหตุสมผล
    • มีความแตกต่างระหว่างเจ้าหน้าที่ที่มาจากการเลือกตั้งทำสิ่งที่โง่เขลาหรือไม่ปลอดภัย กับคนที่ไม่ได้มาจากการเลือกตั้งทำสิ่งเดียวกันนี้โดยไม่มีการตรวจสอบถ่วงดุลใด ๆ
    • เคารพความเห็นของ Bruce Schneier และแนะนำโพสต์นี้เพื่อป้องกันไม่ให้ทุกโพสต์ในหัวข้อนี้ถูกปักธง
  • อาจมีข้อผิดพลาดในตรรกะของ Schneier
    • มีรายงานว่า "พวกเขากำลังฝึกซอฟต์แวร์ AI บนข้อมูลอ่อนไหวนี้"
    • การรัน inference ไม่เหมือนกับการฝึก
    • โพสต์นี้ไม่ควรถูกปักธง และการทำเช่นนั้นขัดต่อเสรีภาพในการแสดงออก
    • มีคนจำนวนมากใน HN ที่เห็นว่าข้อสังเกตของเขามีคุณค่า
    • ความเห็นต่างควรแสดงออกผ่านคอมเมนต์ มากกว่าพยายามทำให้มันหายไป
  • หากประเทศนี้ทนผ่านความโกลาหลนี้ไปได้ ซอฟต์แวร์ก็ควรถูกเขียนใหม่ทั้งหมดตั้งแต่ต้น
    • มิฉะนั้นจะไม่อาจรู้ได้ว่ามีผู้กระทำการใดบ้าง ทั้งจากต่างประเทศและในประเทศ ที่มีความรู้เกี่ยวกับระบบนี้
  • Schneier ไม่ควรถูกปักธง
    • รอคอยการประเมินความเสี่ยงด้านไซเบอร์ซีเคียวริตี้ที่สุขุมและครอบคลุมมาหลายวันแล้ว
    • นี่คือสิ่งที่ใกล้เคียงที่สุดกับการประเมินแบบนั้นที่เราจะหาได้
  • ควรตระหนักถึงหลักการรั้วของ Chesterton
    • "รั้วของ Chesterton" คือหลักการที่ว่าการปฏิรูปไม่ควรเกิดขึ้นจนกว่าจะเข้าใจเหตุผลของสภาพที่เป็นอยู่เดิมเสียก่อน
  • การกระทำนี้จะดำเนินต่อไปจนกว่าจะมีผลลัพธ์ตามมา
    • ผลลัพธ์นั้นควรมาในรูปแบบนิติบัญญัติหรือกฎหมาย
  • หากเป็นไปตามพระประสงค์ของพระเจ้า รัฐบริหารจะถูกบีบให้คุกเข่าโดยเจ้าหน้าที่ที่มาจากการเลือกตั้งซึ่งถูกเลือกมาเพื่อทำหน้าที่ถ่วงดุล
  • บริษัทต่าง ๆ คือหน่วยงานที่สี่ของรัฐบาลอย่างไม่เป็นทางการ
    • หากตลาดหุ้นดิ่งลง พวกเขาก็จะหายไป
    • เงินบริจาคหาเสียงและก๊อกเงินของล็อบบี้ยิสต์สำหรับนักการเมืองก็จะถูกปิด
    • ความตื่นตระหนกและภาวะผู้นำจะเปลี่ยนไป
    • Citizens United อาจทำให้เงินมืดจากที่ใดก็ได้สามารถสนับสนุนแคมเปญได้อย่างไม่มีกำหนด แต่ก็ไม่เพียงพอที่จะชดเชยการดิ่งลงของตลาดหุ้นที่เกิดจากการขาดความเชื่อมั่นต่อดอลลาร์สหรัฐและตลาด
  • บทความที่เกี่ยวข้อง: "กระทรวงการคลังได้รับคำเตือนว่าการเข้าถึงของ DOGE ถูกระบุว่าเป็น 'ภัยคุกคามจากภายใน'"
    • การประเมินที่ดำเนินการโดย Booz Allen Hamilton เกิดขึ้นก่อนที่พันธมิตรของ Elon Musk จะถูกแต่งตั้งให้กำกับดูแลระบบการชำระเงินที่อ่อนไหว
  • Booz Allen Hamilton ซึ่งเป็นผู้รับเหมาของรัฐบาล ระบุว่าได้ไล่ผู้รับเหมาช่วงที่จัดทำรายงานดังกล่าวในคืนวันศุกร์ออกแล้ว
    • เป็นร่างรายงานที่อ้างว่าการที่หน่วยงานประสิทธิภาพรัฐบาลของ Elon Musk เข้าถึงระบบการชำระเงินของกระทรวงการคลัง ก่อให้เกิด "ความเสี่ยงจากภัยคุกคามภายในที่ไม่เคยมีมาก่อน" และควรถูกหยุดทันที