Pwnd Blaster: แฮ็กพีซีผ่านลำโพงโดยไม่ต้องแตะลำโพงเลย

 (blog.nns.ee)
2 คะแนน โดย GN⁺ 4 시간 전 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Creative Sound Blaster Katana V2X สามารถถูกผู้โจมตีที่อยู่ในระยะ Bluetooth ราว 15 เมตร สั่งรันคำสั่ง CTP และอัปเดตเฟิร์มแวร์ได้โดยไม่ต้องจับคู่หรือสัมผัสตัวเครื่อง ทำให้มันถูกเปลี่ยนเป็นอุปกรณ์เฝ้าระวังหรือ Rubber Ducky ระยะไกลได้
  • CTP บน USB ต้องใช้การยืนยันตัวตนแบบ challenge-response ที่อิงกับคีย์คงที่ แต่เส้นทาง Bluetooth กลับรับคำสั่ง CTP เดียวกันผ่าน GATT characteristic โดยไม่มีการยืนยันตัวตน ทำให้อ่านข้อมูลและเปลี่ยนการตั้งค่าได้
  • คอนเทนเนอร์เฟิร์มแวร์ประกอบด้วย FBOOT, FMAIN, CHK2 และหากค่า CHK2 ซึ่งเป็นเช็กซัม SHA-256 ตรงกัน ก็จะยอมรับเฟิร์มแวร์ที่ถูกแพตช์แล้วโดยไม่มีการตรวจสอบลายเซ็น
  • PoC อัปโหลดเฟิร์มแวร์แบบกำหนดเองผ่าน BLE ใช้เวลาราว 10 นาที จากนั้นเมื่อลำโพงรีบูต มันจะทำตัวเป็น USB HID keyboard แล้วพิมพ์ echo pwned พร้อมสั่งรัน
  • Creative หลังได้รับการติดต่อผ่าน SingCERT ระบุว่า “ไม่ได้ก่อให้เกิดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์” จึงไม่มองว่าเป็นช่องโหว่ ขณะที่เฟิร์มแวร์ล่าสุดยังคงมีปัญหา และมีเพียงแพตช์ไม่เป็นทางการที่บล็อก CTP-over-Bluetooth

แก่นของช่องโหว่

  • Katana V2X เป็นซาวด์บาร์ที่เชื่อมต่อกับพีซีผ่าน USB และแอป Creative ใช้ CTP เพื่อเปลี่ยนการตั้งค่าอย่าง DSP, การตั้งค่า LED และแหล่งสัญญาณขาออก
  • การส่งคำสั่ง CTP ผ่าน USB ต้องผ่านการยืนยันตัวตนแบบ challenge-response ก่อน โดยคีย์เป็นค่าคงที่ที่สามารถอนุมานได้จากไบนารีที่รวมอยู่ใน Creative App
  • การอัปเดตเฟิร์มแวร์ก็ทำงานอยู่บน CTP เช่นกัน และอิมเมจเฟิร์มแวร์เริ่มต้นถูกดึงออกมาด้วยการดักจับทราฟฟิก USB ผ่าน Wireshark
  • บน Bluetooth Low Energy บางครั้งสามารถเชื่อมต่ออุปกรณ์และอ่านหรือเขียน GATT characteristic ได้โดยไม่ต้องจับคู่ โดยการจับคู่ช่วยสร้างการเข้ารหัส แต่ไม่จำเป็นต่อการเชื่อมต่อเสมอไป
  • ภายในเฟิร์มแวร์ของ Katana V2X ตัวจัดการ CTP ภายในถูกผูกไว้กับทั้ง USB และ Bluetooth ไม่ใช่แค่ USB เท่านั้น และเมื่อเขียน 5a 09 01 02 ไปยัง characteristic 9e9daaec-3a10-4fe8-b69f-7397aff77886 จากโน้ตบุ๊ก ก็สามารถอ่านสตริงเวอร์ชันเฟิร์มแวร์ทั้งหมดได้จาก characteristic 9e9daaeb-3a10-4fe8-b69f-7397aff77886

การตรวจสอบเฟิร์มแวร์และห่วงโซ่การโจมตีแบบ OTA

  • คอนเทนเนอร์เฟิร์มแวร์มี FBOOT ที่เกี่ยวข้องกับโหมดกู้คืน, FMAIN ซึ่งเป็นเฟิร์มแวร์หลักที่รันในโหมดบูตปกติ และ CHK2 ซึ่งเป็นเช็กซัม SHA-256 ของคอนเทนเนอร์ทั้งหมด
  • FBOOT และ FMAIN เป็นโค้ดบนพื้นฐาน FreeRTOS ตามสตริง /home/jieyi/mcuos2.5/kernel/freertos-8.2.3/ และ FMAIN มีขนาดใหญ่กว่า FBOOT ราว 6.5 เท่า
  • อุปกรณ์จะยอมรับเฟิร์มแวร์ที่ถูกแพตช์หาก CHK2 ถูกต้อง และเมื่อลองแฟลชเฟิร์มแวร์ที่เปลี่ยนสตริง WELCOME เป็น PATCHED หน้าจอ segment ตอนบูตก็แสดง PATCHED
  • สคริปต์ Python ที่ทำขั้นตอนอัปเดตเฟิร์มแวร์เดียวกันซ้ำบน BLE สามารถอัปโหลดเฟิร์มแวร์แบบกำหนดเองได้โดยไม่ต้องจับคู่หรือยืนยันตัวตน และใช้เวลาประมาณ 10 นาทีเพราะความเร็วของ BLE
  • ลำโพงมีไมโครโฟน ทำให้ในทางทฤษฎีเฟิร์มแวร์แบบกำหนดเองสามารถฟังบทสนทนาและส่งต่อผ่าน Bluetooth ไปยังผู้รับ ปฏิบัติตัวเป็นอุปกรณ์เฝ้าระวังแบบลับได้

วิธีฉีดคีย์บอร์ดผ่าน USB

  • Katana V2X ทำงานเป็นอุปกรณ์ที่พีซีเชื่อถือได้ซึ่งเชื่อมต่อผ่าน USB ในการใช้งานปกติ
  • แม้อุปกรณ์จะยังไม่ใช่คีย์บอร์ดเต็มรูปแบบ แต่ตั้งค่าตัวเองเป็นอุปกรณ์ HID Consumer Control สำหรับคำสั่งสื่ออย่างปรับเสียงและเล่น/หยุดชั่วคราว
  • สามารถเพิ่มรายการ report descriptor ตัวที่สองลงใน USB report descriptor ของเฟิร์มแวร์ เพื่อให้อุปกรณ์ถูกรายงานเป็นคีย์บอร์ดได้ด้วย
  • ในเฟิร์มแวร์มีรูทีนสำหรับส่งข้อมูล HID อยู่แล้ว และสามารถส่งคีย์อินพุตได้โดยเรียกใช้พร้อมส่งข้อมูลปุ่มกดและปุ่มปล่อย
  • แทนที่จะอ้อมกระบวนการทำงานที่ซับซ้อน ผู้วิจัยเลือกเขียนทับ FreeRTOS task ชื่อ diagnostic ซึ่งดูเหมือนไม่ได้ทำอะไรสำคัญระหว่างการใช้งานปกติ เพื่อให้โค้ดแบบกำหนดเองถูกรันตอนบูต
  • task นี้จะรอราว 20 วินาทีให้ระบบย่อย USB พร้อม จากนั้นพิมพ์ echo pwned ทุก ๆ ประมาณ 20ms แล้วกด Enter ก่อนจบการทำงาน
  • แพตช์สุดท้ายประกอบด้วย USB report ขนาด 83 ไบต์, ARM/Thumb assembly สำหรับตัวฉีดคีย์อินพุตขนาด 102 ไบต์ และข้อมูล 2 ไบต์ต่อคีย์ที่จะส่ง
  • ในการโจมตีจริง สามารถเปิดโปรแกรมอย่าง powershell.exe แล้ววางคำสั่งบรรทัดเดียวที่เป็นอันตรายได้ และหากผู้โจมตีปิดการทำงานของรูทีนอัปเดตเฟิร์มแวร์ทั้งในโหมดปกติและโหมดกู้คืน ก็อาจทำให้ลบเฟิร์มแวร์อันตรายหรือแพตช์ในอนาคตไม่ได้
  • Bluetooth ของลำโพงเปิดอยู่ตลอดเวลาแม้ในโหมดประหยัดพลังงาน และไม่เห็นวิธีปิดมัน

การบรรเทาและลำดับการเปิดเผย

  • Creative ไม่มีช่องทางติดต่อด้านความปลอดภัยสาธารณะ และช่องทางติดต่อทั่วไปก็ดูเหมือนจะมีเพียงแบบฟอร์มซัพพอร์ตบนเว็บไซต์
  • หลังพยายามติดต่อผ่านแบบฟอร์มซัพพอร์ตสองครั้ง SingCERT จึงเข้ามาเป็นตัวกลาง
  • Creative ตอบ SingCERT หลังจากนั้นเกือบสองเดือน โดยระบุว่า “ไม่ได้ก่อให้เกิดความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์ จึงไม่ถือเป็นช่องโหว่”
  • ไม่มีแพตช์จาก Creative และเฟิร์มแวร์ล่าสุดก็ยังมีช่องโหว่
  • วิธีบรรเทาแบบไม่เป็นทางการคือบล็อก CTP-over-Bluetooth ในเฟิร์มแวร์ ซึ่งมีโอกาสสูงที่จะทำให้แอปมือถือ Creative ใช้งานไม่ได้
  • v2x-patcher จะดาวน์โหลดเฟิร์มแวร์ทางการจากเซิร์ฟเวอร์ของ Creative แพตช์มันในหน่วยความจำ แล้วอัปโหลดไปยัง Katana V2X ที่เชื่อมต่อผ่าน USB
  • การทดสอบและการทำ reverse engineering ทั้งหมดทำบนเฟิร์มแวร์เวอร์ชัน 1.3.230619.1820

รายละเอียดการทำ reverse engineering

  • FMAIN.bin ไม่ใช่อิมเมจเดี่ยว แต่เป็นโครงสร้างแบบ scatter-loaded ซึ่ง file offset ต่างกันจะถูกโหลดไปยังแอดเดรสต่างกัน
  • การวิเคราะห์อัตโนมัติของ Ghidra ต้องใช้ base address และ memory map ที่ถูกต้อง และหลังจากอนุมานแล้วนำเลย์เอาต์ที่ตรวจสอบด้วยการอ่านหน่วยความจำของอุปกรณ์มาใช้ ก็ได้ผลการวิเคราะห์ที่ใช้งานได้
  • pointer ของสตริงไม่ได้ถูกโหลดโดยตรง แต่ใช้คู่คำสั่ง movw และ movt แทน และสคริปต์ที่ค้นหาคู่ซึ่งโหลดเข้ารีจิสเตอร์เดียวกันแล้วสร้าง DATA reference เมื่อชี้ไปยังหน่วยความจำที่ถูกต้อง ได้สร้าง reference ราว 13,000 รายการ
  • เพื่อทดสอบโดยไม่ต้องแฟลชเฟิร์มแวร์ใหม่ทุกครั้ง ผู้วิจัยเขียนทับ echo handler ของ CTP opcode 0x54 ให้จัดการคำสั่งอ่าน, เขียน และรันได้
  • custom handler สุดท้ายมีขนาด 96 ไบต์ และยังอยู่ภายในขนาดของ handler เดิมที่ราว 106 ไบต์
  • เมื่อรันคีย์อินพุตหลายชุดด้วย mem-exec ในบริบทของ USB processing task แล้วมีการสะสมดีเลย์จาก vTaskDelay อุปกรณ์จะรีบูตเพราะ watchdog ของแต่ละ task
  • เมื่อนำโค้ดคีย์อินพุตไปฉีดเข้าที่ service task diagnostic แทนการเรียกตรงจาก USB task ปัญหา watchdog ก็หายไป

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 4 시간 전
ความคิดเห็นจาก Hacker News

  • ขำดีที่เห็นคอมเมนต์ซึ่งเหมือนอ่านบทความไม่ละเอียดหรือไม่อ่านเลย จริง ๆ แล้วนี่แทบจะเป็นสถานการณ์แบบ public S3 bucket ของบอร์ดอุปกรณ์ Bluetooth
    ถึงอย่างนั้น ตัวงานเองก็เจ๋งมาก ตอนแรกคิดว่าการเปลี่ยนอุปกรณ์ที่ต่อผ่าน USB ให้กลายเป็นเส้นทางโจมตีคงยากกว่านี้มาก แต่กลับทำได้ถึงขั้นเลียนแบบคีย์บอร์ด เปิด local terminal แล้วรันคำสั่งอันตรายได้ ซึ่งก็ตลกดี แม้จะไม่ใช่ terminal ที่มีสิทธิ์ผู้ดูแลระบบ ความเสียหายเลยน่าจะถูกจำกัดอยู่บ้าง แต่บน Windows ผู้ใช้จำนวนมากก็มักกดผ่าน UAC prompt ไปเลย ดังนั้นน่าจะมีพีซีจำนวนไม่น้อยที่ถูกยึดการเข้าถึงทั้งหมดได้

  • ตามอีเมลของ SingCERT ผู้ผลิตบอกว่า “สิ่งนี้ไม่ก่อให้เกิดความเสี่ยงด้านความมั่นคงไซเบอร์ จึงไม่ถือเป็นช่องโหว่” หมายความว่าการเขียน firmware ตามอำเภอใจผ่านไร้สาย ลงในอุปกรณ์ที่เสียบ USB กับคอมพิวเตอร์คนอื่น โดยไม่ต้อง pair ก่อนเลยนั้น ไม่ใช่ช่องโหว่ความปลอดภัยงั้นหรือ

    • ประมาณว่า “ก็แค่ทำให้มันพิมพ์ตัวอักษรได้ จะมีความเสี่ยงอะไรล่ะ?”
      เลยทำให้นึกสงสัยว่าบริษัทอุปกรณ์ต่อพ่วงอื่น ๆ จะมีอีกกี่แห่งที่ดูเผิน ๆ แล้วเหมือนดำเนินงานแบบ ไม่มีทีมความปลอดภัย ช่องโหว่แบบนี้น่าจะมีอีกเยอะ เพียงแต่ยังไม่ถูกค้นพบ น้องชายผมเคยโดนปลุกตอนตี 2 เพราะเด็กแถวบ้านเชื่อมต่อ Bluetooth speaker แล้วเปิดเสียงผายลมวนซ้ำที่ความดังสูงสุด ซึ่งนั่นก็คงเป็นแค่ปลายยอดภูเขาน้ำแข็งของการใช้ Bluetooth ในทางร้าย
    • ถ้ามีใครไปที่โชว์รูมของ Creative งานขาย หรือ CES แล้ว “แพตช์” อุปกรณ์ทุกชิ้น คำตอบนั้นคงเปลี่ยนเร็วมาก
    • ข้อความที่อ้างเรื่องความเสี่ยงนั้นดูเหมือนจะเข้าใจ แนวคิดของความเสี่ยง ผิดไปทั้งหมด ต้องมีช่องโหว่ก่อน แล้วค่อยเอาผลกระทบกับความเป็นไปได้มาประกอบกันถึงจะกลายเป็นความเสี่ยง
      ตามนิยามแล้ว ช่องโหว่ที่มีความเสี่ยงต่ำเพราะผลกระทบต่ำหรือโอกาสต่ำมีอยู่เสมอ CVE มีคะแนน แต่ความเสี่ยงจริงและการยอมรับความเสี่ยงก่อนหรือหลังการบรรเทาขึ้นอยู่กับกรณีใช้งาน “ไม่มีความเสี่ยง => ไม่มีช่องโหว่” เป็นการอนุมานที่ผิดตั้งแต่ระดับแนวคิด ส่วน “ไม่มีช่องโหว่ => ไม่มีความเสี่ยง” พอจะเห็นด้วยได้
    • จะพูดแบบเดียวกันกับคอมพิวเตอร์เครื่องไหนก็ตามที่รัน macOS หรือ Windows ก็ได้ แค่การที่มันสามารถรันซอฟต์แวร์ของตัวเองได้ ไม่ได้แปลว่าต้องเป็นช่องโหว่เสมอไป
      แต่การเปิดอินเทอร์เฟซสำหรับ reflash ไว้ทาง Bluetooth นั้นแปลก เท่าที่ผมรู้ การจะ pair กับลำโพงได้ต้องมีการเข้าถึงทางกายภาพ
      แก้ไข: ผมเข้าใจผิด นี่เป็น BTLE endpoint ที่ทำงานได้โดยไม่ต้อง pair ถ้าอย่างนั้นนี่ก็เป็นช่องโหว่ไร้สาระสุด ๆ หวังว่าจะแพตช์โดยไม่ไปตัดความสามารถในการรันซอฟต์แวร์ของตัวมันเองทิ้ง
    • จำไม่ได้แล้วว่าเคยเรียนรู้อะไรเกี่ยวกับ Creative Labs ไว้บ้าง แต่พออ่านเรื่องนี้ก็มั่นใจเลยว่า Creative Labs ต้องทำพลาดได้ไม่ทางใดก็ทางหนึ่ง

  • บทความเขียนมาดีและอ่านเข้าใจง่าย คุ้มค่ากับการไล่อ่าน
    สรุปคือ ผู้เขียนพบวิธี เขียนทับ firmware ตามอำเภอใจ ผ่าน Bluetooth บน soundbar รุ่น Creative Sound Blaster Katana V2X ได้ โดยแทบไม่ต้องมีการยืนยันตัวตนหรือการโต้ตอบจากผู้ใช้
    soundbar ตัวนี้เชื่อมต่อกับคอมพิวเตอร์โฮสต์โดยตรงผ่าน USB จึงสามารถเพิ่ม descriptor ใน firmware ให้ถูกมองเป็นคีย์บอร์ดได้ จากนั้นการส่งการกดแป้นไปยังพีซีก็เป็นเรื่องง่าย soundbar ยังมีไมโครโฟนด้วย ดังนั้นผู้โจมตีอาจเปลี่ยนมันให้เป็นอุปกรณ์ดักฟังได้
    มีการแจ้ง Creative และ SingCERT แล้ว แต่บริษัทกลับตอบหลังจากผ่านไป 2 เดือนว่า “สิ่งนี้ไม่ก่อให้เกิดความเสี่ยงด้านความมั่นคงไซเบอร์ จึงไม่ถือเป็นช่องโหว่”
    ผู้เขียนจึงเผยแพร่ firmware patcher ที่ปิดโปรโตคอลรับส่งข้อมูลที่มีข้อบกพร่อง เป็นวิธีที่ค่อนข้างหยาบและอาจทำให้ฟังก์ชันของแอป Bluetooth ทางการพังไปด้วย แต่ก็ดูเหมือนเป็นทางที่ดีที่สุดแล้วหากไม่มีความร่วมมือจากผู้ผลิต

  • แม้แต่ผู้ผลิตรายเก่า ๆ เองก็ยังทำอุปกรณ์ก่อน แล้วค่อย แปะซอฟต์แวร์ทีหลัง ราวกับเป็นงานเก็บตก ซึ่งพบได้บ่อยพอสมควร พวกเขาแทบไม่ใส่ใจกับวงจรชีวิตซอฟต์แวร์ ไม่ว่าจะเป็นเรื่องความปลอดภัย การแพตช์ การอัปเดต หรือ ecosystem ที่เปลี่ยนไป
    ผมเคยเห็นด้วยซ้ำว่าบางแบรนด์จ้างบริษัทพัฒนาภายนอกรายเล็กทำซอฟต์แวร์ให้ แล้วบริษัทนั้นก็ปิดตัว หายไป หรือเลิกกิจการ จนสุดท้ายผู้ผลิตไม่มีแม้แต่ซอร์สโค้ด แบบนั้นก็ไม่มีความสามารถจะปรับปรุงหรือแก้ซอฟต์แวร์ที่ขับเคลื่อนอุปกรณ์ได้อีก และหลังจากนั้นก็จะมี middleware, UI และชั้นเชื่อมต่อเฉพาะกิจซ้อนทับกันเป็นชั้น ๆ

    • เรื่องแบบนี้เกิดขึ้นบ่อยจนน่ากลัว ในยุคนี้ที่อุปกรณ์ต่อพ่วงคอมพิวเตอร์และโทรศัพท์ราคาถูกถูกขายออกไปมหาศาลทุกนาที ก็ไม่มีวิธีที่เป็นจริงได้สำหรับหน่วยงานไหนจะเฝ้าดูและกำกับทุกอย่างนี้ทั้งหมด
      เอาเข้าจริง ผมว่ามีอุปกรณ์ไม่น้อยที่คนเขียน firmware ไม่ใช่ “นักพัฒนารับจ้างรายเล็ก” แต่เป็นพวก แฮ็กเกอร์ในห่วงโซ่อุปทาน มากกว่า

  • ทำไมคิดเล็กแค่นั้น? จะใช้ลำโพงเองเป็นตัวโจมตีก็ได้
    ต่อให้เป็น script kiddie ที่ใช้ LLM ก็น่าจะทำ worm ที่แพร่ผ่านห่วงโซ่อุปทานได้ อาจแฮ็กลำโพงตั้งแต่อยู่บนพื้นโรงงาน แล้วให้มันเปิดเพลง Rickroll อะไรทำนองนั้นก็ยังได้
    ตอนนั้นก็น่าสงสัยว่า Creative จะยังยืนยันไหมว่า “ไม่ก่อให้เกิดความเสี่ยงด้านความมั่นคงไซเบอร์”
    แถมถ้าปิดช่องโหว่ไปพร้อมกับปิดความสามารถแฟลช firmware ตามปกติด้วย ก็ยิ่งได้แต้มเพิ่ม เพราะผู้ผลิตจะต้องเจลเบรกลำโพงเองเวลาจะซ่อม

    • แค่แฟลช worm ลงอุปกรณ์แล้วส่ง RMA กลับไปก็จบ
    • เมื่อก่อนน่าจะทำได้ แต่รุ่นใหม่ ๆ เริ่มใส่ข้อจำกัดที่เข้มงวดขึ้นเรื่อย ๆ และเลิกใช้รุ่นเก่า พร้อมทั้งถึงขั้นขอบัตรประจำตัวที่ออกโดยรัฐด้วย

  • การที่ผู้ผลิตไม่มองว่านี่เป็นช่องโหว่ จนผู้เขียนต้องปล่อย แพตช์จากบุคคลที่สาม ออกมาเองนั้น ดูไม่ค่อยดีเลย

    • น่าแปลกใจไหมล่ะ? การแฮ็กของผู้เขียนยอดเยี่ยมมาก และถ้าตกเป็นเป้าผลกระทบก็อาจใหญ่ แต่ถ้ามองภาพรวมแล้วผลกระทบเล็กมาก ผู้ผลิตเลยแทบไม่มีเหตุผลต้องใส่ใจ
      ถ้าจะตกเป็นเหยื่อ คุณต้องมีอุปกรณ์นี้ก่อน ผู้โจมตีก็ต้องรู้ด้วยว่าคุณมี และยังต้องอยู่ในระยะใกล้ ให้นึกถึงบทพูดจาก Fight Club
      A = จำนวนลำโพงที่ติดตั้งอยู่ภาคสนาม
      B = สัดส่วนที่มีโอกาสถูกแฮ็ก
      C = มูลค่าเฉลี่ยของการยอมความนอกศาล
      ข้อสรุป: ถ้าค่าใช้จ่ายของการไม่เรียกคืนหรือไม่ซ่อม สูงกว่าค่าใช้จ่ายในการเรียกคืน ก็เริ่มเรียกคืน ปัจจัยต้นทุนที่ใหญ่ที่สุดคือคนจะหยุดซื้อลำโพงของพวกเขาในอนาคตหรือไม่ ซึ่งดูแล้วไม่น่าเกิดขึ้น

  • ถ้าคุณดูแลองค์กรแบบ Mossad ก็น่าจะทุ่มงบก้อนใหญ่ไปกว้านซื้ออุปกรณ์ Bluetooth ตามท้องตลาดทั้งหมด แล้วจ้างบัณฑิตวิทยาการคอมพิวเตอร์อิสราเอลที่ยังว่างงานมาหาช่องโหว่พวกนี้ จากนั้นทำเป็นชุดเครื่องมือที่แจกใช้งานได้ง่าย
    ตัวอย่างเช่น ถ้าคุณมีทรัพยากรที่เข้าถึงสำนักงานรัฐบาลอิหร่านได้ ก็คงอยากให้คนถือโทรศัพท์เดินเข้าไปในอาคารแล้วเข้ายึดคอมพิวเตอร์ให้ได้มากที่สุด พอคิดดูแล้วก็น่าจะต้องถือว่าพวกเขาทำแบบนั้นอยู่จริงด้วยซ้ำ

    • ทิศทางมันกลับกันนิดหน่อย ที่อิสราเอลไม่ได้มีบัณฑิตวิทยาการคอมพิวเตอร์เยอะขนาดนั้นตั้งแต่แรก เพราะคนเก่งที่สุดจะผ่าน หน่วย 8200 มาก่อนอยู่แล้ว
      มันแทบจะเหมือนหลักสูตรปริญญาโทวิศวกรรมคอมพิวเตอร์ที่ถูกทำให้เป็นของรัฐทั้งหมด และเพราะเป็นองค์กรข่าวกรองสัญญาณ จึงได้เรียนเรื่องพวกนี้ พอจบการรับใช้ 2~3 ปี ก็ไม่มีหนี้กู้เรียน รัฐบาลก็ให้เงินทุนตั้งต้นสำหรับสตาร์ตอัปจำนวนมาก และ ecosystem ของ TLV ก็ขับเคลื่อนคล้าย Bay Area ขนาดย่อม
      การอยู่กับพ่อแม่ก็เป็นเรื่องที่สังคมยอมรับมากกว่า ทำให้คนวัย 20 จำนวนมากไม่มีหนี้ ค่าใช้จ่ายรายเดือนต่ำ มีทักษะทางเทคนิคแข็งแกร่งจากการรับราชการทหาร อยู่ในศูนย์กลางการก่อตั้งบริษัท และเข้าถึงเงินทุนได้ดี ผลก็คือมียูนิคอร์นจำนวนมาก โดยเฉพาะด้าน cybersecurity(https://www.techaviv.com/unicorns)
      ถ้าเทียบกับสหรัฐฯ ก็ต้องทุ่มกับปริญญาตรี 4 ปี แบกหนี้ก้อนโต จ่ายค่าเช่า และดิ้นรนหาเงินทุนตั้งต้น แนวคิดแบบ "ก็แค่เอาเศษซากของระบบที่พังแล้วมาใช้หน่อย" ทำให้มองข้ามมุมมองที่ว่าควรมีระบบที่ประสบความสำเร็จตั้งแต่ต้น
    • การฝึกแบบนี้น่าจะมีต้นทุนแค่ระดับเศษที่ปัดทิ้งได้ในงบของหน่วยความมั่นคงหรือข่าวกรองของประเทศไหนก็ได้ ตอนนี้ยังน่าจะใช้ AI ช่วยสแกนอุปกรณ์เบื้องต้นและคัดตัวที่น่าคุ้มสำหรับการวิเคราะห์แบบแมนนวลได้อัตโนมัติด้วย
      ถ้านี่ไม่ใช่แนวปฏิบัติมาตรฐานก็คงน่าแปลกพอสมควร เพียงแต่อาจจะให้ผลิตภาพต่ำกว่าที่คิดจนไม่คุ้มแรงก็ได้ แต่ดูจากกรณีนี้แล้วเหมือนจะมีผลลัพธ์พอตัว และคงต้องเทียบกับวิธีอื่นของหน่วยข่าวกรองที่เราไม่รู้
    • ควบคู่กับข้อเสนอนั้น การทำอุปกรณ์ที่มีบั๊ก หรือก็คือฝัง backdoor มาเลย แล้วเอาไปขายเอง อาจง่ายกว่า
      อะไรง่ายกว่ากัน ระหว่างทำการตลาดกับหาบั๊ก :-)
    • เป็นไปไม่ได้หรอกที่หน่วยข่าวกรองทั่วโลกจะไม่ได้ทำแบบนี้
    • NSO Group(https://en.wikipedia.org/wiki/NSO_Group) น่าจะเป็นอะไรทำนองนั้น หน่วยข่าวกรองอิสราเอลอาจฝังช่องโหว่ไว้ในอุปกรณ์กากราคาถูก หรืออุปกรณ์กากราคาแพงแบบนี้ แล้วให้องค์กรอิสราเอลอย่าง NSO หรือที่คล้าย NSO เอาไปใช้ เราก็รู้อยู่แล้วว่าพวกเขาขายเพจเจอร์ด้วย

  • ผมเขียนเฟิร์มแวร์อยู่ และโดยเฉพาะทำกับ เฟิร์มแวร์ของอุปกรณ์ที่รองรับ Bluetooth แต่บริษัทกลับบล็อกเว็บไซต์นี้ไว้

  • คนที่รักเทคโนโลยีจะซื้อ smart speaker สุดฉลาดที่เชื่อมกับคอมพิวเตอร์ทุกเครื่องในบ้าน และควบคุมไปถึงเครื่องชงกาแฟอัจฉริยะสุดล้ำให้ชงกาแฟสดเมื่อ Miles Davis เริ่มเล่น
    คนที่เข้าใจเทคโนโลยีจะ วางขวานไว้ข้างเครื่องปิ้งขนมปัง

    • นั่นแหละคือความหมายดั้งเดิมของคำว่าแฮ็กเกอร์

  • ผมรอดูอยู่เลยว่าอีกประมาณ 4 วันทำการ ช่องทำคอนเทนต์ลวก ๆ จะปล่อยวิดีโอพูดถึงเรื่องนี้ขึ้นมาอยู่หน้าแรก YouTube ของผม

    • รู้ไหมว่าถ้าปิดการบันทึกประวัติการรับชมของ YouTube หน้าแรกอาจหายไปเลยก็ได้?
    • แต่ถึงอย่างนั้น LinkedIn ก็คงเอาไปลงก่อนแล้วกวาดชื่อเสียงไปหมดอยู่ดี