ลิงก์ดาวเทียมภาคพื้นดิน: ลิงก์ภายในที่มีความอ่อนไหวถูกส่งแบบข้อความล้วนบนดาวเทียม GEO

 (satcom.sysnet.ucsd.edu)
1 คะแนน โดย GN⁺ 2025-10-15 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • IP traffic ที่ส่งผ่าน ลิงก์ดาวเทียม GEO กว่า 50% อยู่ในสภาพ ไม่เข้ารหัส
  • มีการรับส่งข้อมูลแบบข้อความล้วนใน กองทัพ โทรคมนาคม เชิงพาณิชย์ และโครงสร้างพื้นฐานสาธารณะ ก่อให้เกิด ความเสี่ยงด้านความปลอดภัย อย่างร้ายแรง
  • งานวิจัยพิสูจน์ว่าเพียงใช้ อุปกรณ์เชิงพาณิชย์ราคาถูก ก็สามารถดักจับทราฟฟิกดังกล่าวได้เพียงพอ
  • เครือข่ายภายใน ของภาคอุตสาหกรรมและผู้ให้บริการสื่อสารถูกเปิดเผย ช่องโหว่ร้ายแรง อย่างต่อเนื่อง เพราะยังใช้การเข้ารหัสไม่เพียงพอ
  • คณะวิจัยได้ดำเนินการ เปิดเผยช่องโหว่อย่างรับผิดชอบและหารือการรับมือ กับองค์กรที่เกี่ยวข้อง ผู้ให้บริการ และหน่วยงานรัฐ

สรุปและภูมิหลัง

  • ลิงก์ดาวเทียม GEO (Geostationary Earth Orbit) เป็น แกนหลักของโครงสร้างพื้นฐานระยะไกลและการสื่อสารเครือข่าย และถูกใช้ในหลายอุตสาหกรรม เช่น ไฟฟ้า โทรคมนาคม การทหาร ภาครัฐ และภาคธุรกิจ
  • งานวิจัยก่อนหน้านี้มุ่งเน้นเพียงดาวเทียมบางดวงและกรณีศึกษาแบบจำกัด แต่การศึกษาครั้งนี้ทดลองในวงกว้างครอบคลุม ดาวเทียม 39 ดวง, ทรานสปอนเดอร์ 411 ตัว, และ 25 ตำแหน่งลองจิจูด โดยใช้อุปกรณ์ระดับผู้บริโภค

สิ่งที่ค้นพบสำคัญ

  • ในลิงก์ GEO ทั้งหมด พบทราฟฟิก IP แบบข้อความล้วน ราว 50% ที่ ไม่มีการเข้ารหัส ทั้งในชั้นเครือข่ายหรือชั้นลิงก์

  • แม้ดาวเทียมทีวีจะใช้การเข้ารหัสระดับลิงก์เป็นเรื่องปกติมานานหลายสิบปี แต่ใน ลิงก์ IP backhaul กลับแทบไม่มีการเข้ารหัส

  • ใครก็ตามสามารถเปิดดูทราฟฟิกดาวเทียมได้ด้วย อุปกรณ์พลเรือน ราคาเพียงไม่กี่ร้อยดอลลาร์ ทำให้เกิดภัยคุกคามการ ดักฟังวงกว้าง อย่างรุนแรง

  • พบข้อมูลอ่อนไหวแบบข้อความล้วนจริงในหลายภาคส่วน เช่น ผู้ให้บริการโทรคมนาคม, ระบบควบคุมอุตสาหกรรม, การติดตามทรัพย์สินทางทหาร, เครือข่ายกระจายสินค้าทั่วโลก, การบิน, การเงิน เป็นต้น

    • ทราฟฟิก cellular backhaul (เสียง, SMS, คีย์ยืนยันตัวตน ฯลฯ)
    • การสื่อสารภาคอุตสาหกรรมและสาธารณะ (การจัดตาราง, ระบบควบคุม)
    • ด้านทหาร (การติดตามทรัพย์สิน, เมทาดาทาการโทร)
    • ค้าปลีก (การจัดการสต็อกและเครือข่ายภายใน)
    • การบิน (WiFi บนเครื่อง, ข้อมูลอากาศยาน)
    • การเงิน (ทราฟฟิก ATM, LDAP)

โมเดลภัยคุกคามและวิธีการทดลอง

  • ผู้โจมตีสามารถ ดักฟังแบบพาสซีฟ ลิงก์หลายร้อยเส้นได้ โดยใช้อุปกรณ์รับสัญญาณดาวเทียมเชิงพาณิชย์ราคาถูกและซอฟต์แวร์โอเพนซอร์สเท่านั้น
  • แม้โปรโตคอลอุตสาหกรรมทั้งหมดจะไม่ได้เปิดเผยต่อสาธารณะ แต่ทีมวิจัยได้พัฒนา ตัวแยกวิเคราะห์แบบทั่วไปที่รองรับหลายโปรโตคอล และทำการสแกนขนาดใหญ่ตลอด 7 เดือน เพื่อเก็บสัญญาณจาก ทรานสปอนเดอร์ 411 ตัว แต่ละตัว
  • ผลงานทางเทคนิคสำคัญ
    • การปรับคุณภาพสัญญาณและการจัดแนวให้เหมาะสมด้วยจานรับสัญญาณติดมอเตอร์ ที่เล็งอัตโนมัติ
    • การพัฒนา traffic parser แบบทั่วไปที่ใช้ได้กับ โปรโตคอลสแตก 7 ชนิด (ในจำนวนนี้ 5 ชนิดเป็นการรายงานครั้งแรก)
    • ทำให้ประสิทธิภาพมีเสถียรภาพ: จับข้อมูลทุกเส้นทางได้เส้นทางละ 3 นาทีภายใน 24 ชั่วโมง
    • ค้นพบ เครือข่ายแบบข้อความล้วน จำนวนมากในภาคอุตสาหกรรมและภาครัฐ

สภาพการเข้ารหัสและปัญหาเชิงโครงสร้าง

  • แม้ TLS จะเป็นมาตรฐานในเครือข่าย IP แต่ แนวปฏิบัติการเข้ารหัสในเครือข่ายดาวเทียมภายในยังไม่เกิดขึ้นจริงอย่างแพร่หลาย
  • สิ่งนี้พิสูจน์ว่าองค์กรจำนวนมากปฏิบัติต่อลิงก์ดาวเทียมเหมือนเครือข่ายภายในทั่วไป และมี การเฝ้าระวังด้านความปลอดภัยไม่เพียงพอ
  • การไม่ใช้การเข้ารหัสชี้ให้เห็นว่า นอกจากความยากทางเทคนิคแล้ว ยังมีปัญหาเชิงโครงสร้างเรื่องแรงจูงใจที่ไม่เพียงพอด้วย

ข้อพิจารณาด้านจริยธรรมและการแจ้งเตือนแบบเปิดเผยรับผิดชอบ

  • โครงการนี้ได้รับ คำปรึกษาด้านกฎหมาย และรายงานต่อ IRB (คณะกรรมการจริยธรรมการวิจัยในมนุษย์ของสถาบัน) โดยให้ความสำคัญสูงสุดกับจริยธรรมการวิจัยและประเด็นทางกฎหมาย
  • เมื่อพบข้อมูลเสียง/SMS ที่มีความอ่อนไหว จะหยุดเก็บข้อมูลทันที พร้อมเข้ารหัสเพิ่มเติมและลบข้อมูลนั้น
  • มีความพยายามแจ้งเตือนในวงกว้างต่อผู้เกี่ยวข้องหลักและหน่วยงานรัฐ/องค์กร เช่น T-Mobile, กองทัพสหรัฐฯ, Walmart-Mexico, AT&T, TelMex, Grupo Santander, Intelsat, Panasonic Avionics, WiBo, KPU เป็นต้น
    • ยังยืนยันด้วยว่าบริการใหม่บางรายการ (เช่น T-Mobile Starlink) ไม่ได้รับผลจากช่องโหว่นี้
    • มีการประสานงานอย่างใกล้ชิดกับหลายบริษัทและ CERT ของรัฐบาลหลายประเทศ รวมถึงติดต่อผู้รับผิดชอบเพื่อช่วยสนับสนุนการแก้ไข

บทสรุปและเอกสารเผยแพร่

  • งานวิจัยนี้ยืนยันปัญหาสำคัญ ได้แก่ การไม่เข้ารหัสเชิงโครงสร้าง, ความเป็นไปได้ของการดักฟังวงกว้างด้วยต้นทุนต่ำ, และภัยคุกคามต่อภาคอุตสาหกรรม/ความมั่นคงของชาติ
  • เผยแพร่ซอร์สโค้ดทั้งหมด บทความฉบับเต็ม และผลการทดลองที่: https://satcom.sysnet.ucsd.edu

อ้างอิง

  • ชื่อบทความ: Don’t Look Up: There Are Sensitive Internal Links in the Clear on GEO Satellites
  • การนำเสนอที่งาน ACM CCS’25 วันที่ 13 ตุลาคม 2025

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-10-15
ความคิดเห็นจาก Hacker News

  • ทราฟฟิกแบบ plaintext บางส่วนที่พบจากลิงก์มีดังนี้

    • T-Mobile backhaul: SMS ของผู้ใช้ เนื้อหาการโทรด้วยเสียง และทราฟฟิกอินเทอร์เน็ตถูกเปิดเผยโดยไม่มีการเข้ารหัส

    • AT&T Mexico cellular backhaul: ทราฟฟิกอินเทอร์เน็ตดิบของผู้ใช้

    • TelMex VOIP satellite backhaul: การโทรด้วยเสียงแบบ plaintext

    • กองทัพสหรัฐฯ: ทราฟฟิก SIP ที่มีชื่อเรือรบรวมอยู่ด้วย

    • รัฐบาลและกองทัพเม็กซิโก: การสื่อสารภายในของรัฐบาลที่ไม่ได้เข้ารหัส

    • Walmart Mexico: อีเมลองค์กรและข้อมูลรับรองแบบ plaintext ของระบบจัดการสินค้าคงคลัง รวมถึงบันทึกสต็อกที่ส่ง/อัปเดตผ่าน FTP
      ทั้งหมดนี้น่าตกใจมาก
      การรับมือกับภัยคุกคามล้ำสมัยอย่างการถอดรหัสควอนตัม หรือ backdoor ในโปรโตคอลเข้ารหัสมาตรฐานก็สำคัญ แต่การโจมตีจริงส่วนใหญ่มักเกิดจากการตั้งค่าความปลอดภัยพื้นฐานที่หละหลวม
      มันเตือนให้เห็นว่าการไม่ละเลยพื้นฐานนั้นสำคัญจริงๆ

    • ในส่วน 'Has The Issue Been Fixed' ของ https://satcom.sysnet.ucsd.edu/ ระบุว่าได้ยืนยันด้วยการสแกนซ้ำแล้วว่าปัญหาของ T-Mobile, WalMart, KPU ได้รับการแก้ไขเรียบร้อย
      แต่การที่โครงสร้างพื้นฐานสำคัญๆ (เช่น บริษัทสาธารณูปโภคที่ใช้การเชื่อมต่อผ่านดาวเทียมสำหรับ SCADA ควบคุมระยะไกล) เคยเปิดเผยแบบนี้น่ากลัวมากจริงๆ

    • น่าเสียดายที่แผนก IT ทั่วโลกไม่ตระหนักว่าเบราว์เซอร์ปล่อย URI ทั้งหมดให้ผู้ผลิตตามค่าเริ่มต้น
      URI กำลังรั่วความลับของบริษัท โดยคนของ Google ใช้ Edge แล้วส่งข้อมูลให้ Microsoft ส่วนคนของ Microsoft ใช้ Chrome แล้วส่งข้อมูลให้ Google
      ทั้ง Edge และ Chrome ส่ง URI ที่เข้าเยี่ยมชมเพื่อ “ปรับปรุงผลการค้นหา” หรือ “ซิงก์ประวัติข้ามอุปกรณ์”
      ไม่ชัดเจนว่าสิ่งนี้ครอบคลุมโหมดไม่ระบุตัวตนหรือไม่ (ไม่ได้แจ้งไว้)
      ทั้งที่เป็นช่องโหว่ความเป็นส่วนตัวขนาดใหญ่ แต่กลับแทบไม่มีใครรับรู้หรือใส่ใจ

    • ทุกครั้งที่ผ่าน Bad Aibling ก็เคยสงสัยว่าทำไม BND (หน่วยข่าวกรองเยอรมนี) ถึงลงทุนกับการดักฟังสื่อสารผ่านดาวเทียมมากขนาดนั้น
      เคยคิดอย่างไร้เดียงสาว่าการสื่อสารแบบนี้น่าจะถูกเข้ารหัสอยู่แล้ว
      อนึ่ง เรื่องที่หน่วยงานนี้เป็นของและดำเนินการโดย BND นั้นเป็นที่รับรู้แบบกึ่งทางการมานาน โดยในทางการกลับถูกอธิบายว่าเป็น 'Bundeswehr Long Distance Communication Office' ที่ดำเนินการโดย 'Federal Office for Telecommunications Statistics'

    • พูดกันตามตรง แค่ได้ยินว่ามีการเปิดเผย telemetry ของเป้าหมายทางทหารแบบเรียลไทม์, ข้อมูลตำแหน่งที่แม่นยำ, ตัวระบุ, telemetry แบบเรียลไทม์ ในรูปแบบ plaintext ก็อึ้งแล้ว

    • เรื่องนี้ช็อกก็จริง แต่ไม่ร้ายแรงเท่าช่วงต้นยุค 2000
      การเข้ารหัสที่ชั้นลิงก์เป็นมาตรฐานของทีวีดาวเทียมมาหลายสิบปีแล้ว แต่ก่อนยุค Snowden ทราฟฟิก TCP ที่เห็นจากดาวเทียม 99% ยังเป็น plaintext แบบไม่แตะต้องเลย (แทบทั้งหมดของเว็บและอีเมล)
      ความเร็วในการส่งสูงมากจนต้องมีดิสก์ SCSI ถึงจะทำ packet capture ได้

  • มีการเล่าประสบการณ์ที่ผู้เชี่ยวชาญซึ่งทำงานด้านดาวเทียมมาทั้งชีวิตมาช่วยติดตั้งตัวรับสัญญาณสำหรับช่องทีวีใหม่
    เขารู้ทันทีว่าต้องใช้ดาวเทียมดวงไหนและสล็อตนั้นคืออะไร จากนั้นก็ใช้มือดันจานเพื่อหาดาวเทียม โดยนับจำนวนดวงที่ต้องเลื่อนจากดาวเทียมอ้างอิงที่คุ้นเคยไปยังดาวเทียมเป้าหมาย
    สัญญาณจากดาวเทียมอ้างอิงไม่ได้เข้ารหัสจึงใช้เป็นหลักได้ ส่วนช่องของเราจริงๆ นั้นเข้ารหัสไว้
    เขาทำมันได้ง่ายมากจนดูเหมือนเวทมนตร์ แต่พออธิบายโครงสร้างสล็อตวงโคจรด้วยภาษาง่ายๆ ความลึกลับก็ลดลง
    เลยเข้าใจว่าทำไมนักมายากลถึงไม่เฉลยกล

    • เรื่องนี้ทำให้รู้สึกมีความหวังขึ้นมาอย่างบอกไม่ถูก ขอบคุณ

    • ถ้าบางอย่างดูเหมือนเวทมนตร์ก่อนจะรู้ความลับ ผมคิดว่าแม้รู้ความลับแล้วมันก็ควรยังให้ความรู้สึกเหมือนเวทมนตร์อยู่ นั่นถึงจะเป็นเวทมนตร์จริงๆ
      ไม่ใช่เพราะมันเป็นไปไม่ได้ แต่เพราะมันเกิดขึ้นด้วยวิธีที่ผมนึกไม่ถึง จึงยังคงความพิศวงไว้ได้

  • รำลึกถึงช่วงที่เคยแอบฟังการโทรทางไกลด้วยจาน C-band และวิทยุคลื่นสั้น
    ช่องเสียงถูกวางไว้ในช่อง single sideband ช่วง 0~6MHz และชุดสัญญาณนี้ถูกส่งผ่านรีพีตเตอร์ดาวเทียมเหมือนสัญญาณวิดีโอ
    ตัวรับจานไม่สามารถถอดรหัสสัญญาณนี้ได้ แต่มีเอาต์พุต subcarrier สำหรับอุปกรณ์เสริม จึงเอาไปต่อกับวิทยุคลื่นสั้นแล้วไล่หาช่องต่างๆ
    แม้จะได้ยินเพียงฝั่งเดียวของบทสนทนา แต่ก็สนุกมาก
    ได้ยินทั้งบทสนทนาน่าเบื่อ การค้ายา และแม้แต่ผู้หญิงที่ด่าได้รุนแรงที่สุดเท่าที่เคยได้ยินในชีวิต ตอนนั้นอายุ 13 ปีเลยเป็นประสบการณ์ที่ช็อกไม่น้อย
    เป็นความทรงจำจากยุคก่อนมีอินเทอร์เน็ต

  • ในปี 2024 ยังมีผู้ขายที่เสนอส่วนลดก้อนใหญ่หากซื้อวิทยุโดยไม่มีไลเซนส์การเข้ารหัส
    ไม่ใช่แค่ไม่มี WPA หรือ WEP เท่านั้น แต่ข้อมูลทั้งหมดถูกส่งเป็น plaintext ข้ามท้องฟ้าอย่างโจ่งแจ้ง
    โดยพื้นฐานแล้วผมคิดว่าการเข้ารหัสในอวกาศคงเพิ่มความร้อนหรือการใช้พลังงานมาก แต่ถึงอย่างนั้นก็ยังเหลือเชื่อที่มีคนทำเหมือนอวกาศเป็นที่ที่เข้าถึงไม่ได้ หรือเป็นสุดยอดของการซ่อนตัว

    • การเข้ารหัสโดยพื้นฐานในอวกาศไม่ได้แปลว่าจะต้องเกิดความร้อนหรือใช้พลังงานมากเสมอไป
      ข้อมูลมาจากภาคพื้นดิน และก็ควรถูกเข้ารหัสตั้งแต่ขั้นตอน uplink ดังนั้นในทางปฏิบัติการเข้ารหัสควรถูกจัดการในส่วนภาคพื้นดินก่อนจะไปถึงระบบดาวเทียม

    • ต่อให้เกิดข้อมูลรั่วหรือปัญหาอื่น ผู้มีอำนาจตัดสินใจจริงๆ ก็ไม่ต้องรับผิดชอบอะไร จึงไม่มีแรงจูงใจให้เปลี่ยนแปลงเลย
      ที่ความปลอดภัยห่วยขนาดนี้ก็เพราะแม้จะเกิดเหตุรั่วไหลก็ไม่มีใครถูกไล่ออก ทุกอย่างถูกโยนว่าเป็น “ความผิดของแฮ็กเกอร์” แล้วตามด้วยคำพูดพิธีการว่า “เราให้ความสำคัญกับความปลอดภัยอย่างมาก” ก่อนที่ทุกอย่างจะดำเนินต่อเหมือนไม่มีอะไรเกิดขึ้น

    • สงสัยว่าทำไมทราฟฟิกส่วนใหญ่ต้องถูกถอดรหัสในอวกาศด้วย
      ตัวการไหลของทราฟฟิกเองสามารถเป็น dumb pipe ได้พอๆ กับสายใยแก้วใต้น้ำ และในความเป็นจริงมีเพียงงานอย่างการบริหารจัดการหรือการควบคุมเท่านั้นที่จำเป็นต้องถอดรหัสในวงโคจร

    • มีคำถามนี้อยู่ในหน้า Q&A
      สำหรับคำถาม “ทำไม GEO satellite link ทั้งหมดถึงไม่ได้เข้ารหัส?”

      • การเข้ารหัสเพิ่ม overhead ให้กับแบนด์วิดท์ที่มีจำกัดอยู่แล้ว และฮาร์ดแวร์ถอดรหัสอาจเกินงบพลังงานของตัวรับระยะไกล
      • ผู้ขายเทอร์มินัลดาวเทียมคิดค่าไลเซนส์เพิ่มสำหรับฟังก์ชันการเข้ารหัสที่ชั้นลิงก์
      • การเข้ารหัสทำให้การแก้ปัญหาเครือข่ายยากขึ้น และอาจลดความน่าเชื่อถือของบริการฉุกเฉิน
        ผลก็คือหลายองค์กรหลีกเลี่ยงการเข้ารหัสด้วยเหตุผลตรงๆ อย่างเรื่องต้นทุน
        ลิงก์ Q&A ที่เกี่ยวข้อง: https://satcom.sysnet.ucsd.edu/#qanda

    • ไม่จำเป็นต้องทำ payload encryption บนตัวดาวเทียมโดยตรง

  • ตอนทำงานในอุตสาหกรรมอวกาศ รู้สึกว่าแนวทางความปลอดภัยของ ECSS ทำให้สตาร์ตอัปสับสนจนพยายามสร้าง TLS ขึ้นใหม่บนวงโคจร
    ระบบราชการหนักมาก
    แนวทางซอฟต์แวร์ของ ECSS ดูเหมือนเขียนโดยคนที่ไม่มีประสบการณ์พัฒนาจริง และพอดูสเปก ECSS Packet Utilisation Service ก็ยิ่งน่าอึ้ง
    เลยโดยส่วนตัวชอบทำงานกับองค์กรที่ได้เงินลงทุนจาก VC มากกว่าองค์กรที่รับเงินอุดหนุน

  • เว็บไซต์ดังกล่าว: https://satcom.sysnet.ucsd.edu/
    บทความของ Wired: https://www.wired.com/story/satellites-are-leaking-the-worlds-secrets-calls-texts-military-and-corporate-data/

  • สงสัยว่าที่บทความนี้มีบริษัทเม็กซิโกเยอะ เป็นเพราะตัวรับสัญญาณอยู่ในมหานครที่มุมตะวันตกเฉียงใต้ของเม็กซิโกหรือไม่

    • ใช่
      งานวิจัยทำใน San Diego และพื้นที่นี้อยู่ในขอบเขต satellite beam coverage ที่จำเป็นสำหรับบริการในเม็กซิโก
      ถ้าอยู่ที่อย่างเช่น Alice Springs ในออสเตรเลีย ก็อาจจับทราฟฟิกของอินโดนีเซีย ฟิลิปปินส์ เอเชียตะวันออกเฉียงใต้ส่วนใหญ่ และขึ้นอยู่กับสถานการณ์ก็อาจรวมถึงจีน เกาหลี ญี่ปุ่นได้ด้วย ถ้าลำคลื่นตรงกัน

    • ผมก็อ่านความหมายแบบนั้นเหมือนกัน

  • อ่านหัวข้อ 6.3.2 ของงานวิจัยแล้วช็อก แต่ 6.4.2~3 หนักกว่าอีก

    • ถ้า reverse engineer การสื่อสาร ATM ที่ไม่ได้เข้ารหัสตามที่งานวิจัยพูดถึง แล้วฉีดแพ็กเก็ตแบบมุ่งร้ายเข้าไป จะสามารถถอนเงินได้ด้วยแค่โน้ตบุ๊กกับจานดาวเทียมหรือเปล่า
      ให้ความรู้สึก cyberpunk มาก

    • ช็อกจริงๆ
      ดูเหมือนบริษัทเหล่านั้นจะไม่มีใครที่เข้าใจปัญหานี้จริงๆ หรือไม่ก็รู้แต่ไม่มีใครสนใจ

  • แม้ในปี 2025 ลิงก์ดาวเทียมก็ยังไม่ได้เข้ารหัสในระดับผู้ใช้ และข้อมูลอ่อนไหวยังคงวิ่งอยู่บนอินเทอร์เน็ตด้วยโปรโตคอลแบบ plaintext นี่น่าขนลุกมาก

  • ถ้าสนใจหัวข้อนี้ มีช่อง YouTube ที่ยอดเยี่ยมซึ่งสาธิตการโจมตีจริงและทำเป็นบทเรียนไว้ด้วย
    วิดีโอเกี่ยวกับดาวเทียม 2 ตัวมีดังนี้

    1. https://www.youtube.com/watch?v=2-mPaUwtqnE
    2. https://www.youtube.com/watch?v=ka-smSSuLjY