แค่โทรศัพท์ (ที่ดัดแปลงเฟิร์มแวร์) 11 เครื่องก็ล่มเครือข่าย GSM ทั้งเมืองได้

by terminus
2 September 2013 - 10:23

อย่างที่เราทราบกันดีว่าความปลอดภัยของเครือข่ายโทรศัพท์ไร้สาย GSM นั้นไว้วางใจไม่ได้มาตั้งนานแล้ว แต่นักวิจัยด้านความปลอดภัยชาวเยอรมัน 3 คน ได้แก่ Nico Golde, Kévin Redon และ Jean-Pierre Seifert ค้นพบวิธีแฮ็กที่สามารถล่มระบบเครือข่าย GSM ทั้งเมืองได้อย่างประหยัดด้วยโทรศัพท์มือถือธรรมดาเพียง 11 เครื่อง และรายงานวิธีดังกล่าวในงาน USENIX Security Symposium ครั้งที่ 22

ก่อนที่จะเข้าใจว่าวิธีของพวกเขาทั้งสามทำกันอย่างไร เราต้องทราบก่อนว่าโทรศัพท์มือถือของเราไม่ได้เปิดการเชื่อมต่อแนบชิดกับเครือข่ายตลอดเวลา แต่ส่วนใหญ่มันจะอยู่ในสภาวะ standby รอว่าเครือข่ายจะเรียกหาเมื่อไร ฉะนั้นเมื่อมีคนโทรศัพท์หรือส่งข้อความ sms หาเรา มันจะมีขั้นตอนที่สามารถสรุปคร่าวๆ ได้ดังนี้

1. สถานีฐาน (base station) ส่ง broadcast page ที่มีรหัสระบุเรียกหาโทรศัพท์มือถือของเรา กระจายออกไปทั่วเขตครอบคลุมของสัญญาณ เหมือนกับคนส่งเสียงตะโกนก้องไปทั่วเมืองว่า "เธออยู่ไหน?"
2. โทรศัพท์ของเราได้รับ broadcast page และเห็นว่ามันมีรหัสที่เรียกหาถึงตัวมัน
3. โทรศัพท์ของเราเปิดการทำงานเชื่อมต่อและส่งสัญญาณตอบกลับไปยังสถานีฐาน "ฉันอยู่นี่..."
4. สถานีฐานและโทรศัพท์ของเราคุยจู๋จี๋กันเพื่อเปิดช่องสัญญาณคลื่นวิทยุส่วนตัวสำหรับการโทรศัพท์หรือการรับ-ส่งข้อความ
5. โทรศัพท์ของเราส่งรหัสระบุตัวตนไปยังสถานีฐานเพื่อยืนยันตัวเอง
6. ถ้ายืนยันตัวตนกันเรียบร้อย ริงโทนโทรศัพท์ของเราก็จะดังขึ้นเตือนให้เรารับสายหรือเปิดอ่านข้อความเข้า

ขั้นพื้นฐานซ้อมมือ

จะเห็นว่าขั้นตอนการยืนยันตัวตนของโทรศัพท์เราเพิ่งจะมาทำกันในขั้นตอนที่ 5 ตรงนี้แหละที่เป็นช่องโหว่ความปลอดภัยที่นักวิจัยทั้งสามคนใช้ในการทำ Denial of Service (DoS) หลักการนั้นง่ายมาก นั่นก็คือทำอย่างไรก็ได้ให้โทรศัพท์ของแฮ็กเกอร์วิ่งแข่งไปให้ถึงขั้นตอนที่ 5 แย่งส่งรหัสระบุตัวตนกลับไปยังสถานีฐานให้เร็วกว่าโทรศัพท์เป้าหมาย ซึ่งไม่จำเป็นต้องเป็นรหัสที่ถูกต้องด้วยซ้ำ เพราะเมื่อสถานีฐานเห็นว่ารหัสผิด มันก็จะปิดการเชื่อมต่อทิ้งไป เท่านี้ก็ DoS เรียบร้อยโรงเรียนแฮ็กเกอร์

โทรศัพท์ที่พวกเขาเลือกใช้ในการแฮ็กคือ Motorola C123 และ Motorola C118 เนื่องจากโทรศัพท์สองรุ่นนี้เป็นโทรศัพท์ราคาถูกที่สามารถติดตั้งเฟิร์มแวร์โอเพ่นซอร์ส OsmocomBB ที่ดัดแปลงให้ทำงานเป็น GSM radio transceiver ได้

เมื่อเตรียมทุกอย่างพร้อม นักวิจัยก็ทดลองจับเวลาในการวิ่งแข่งเข้าเส้นชัยของโทรศัพท์ Motorola ดัดแปลงกับโทรศัพท์หลายรุ่นในท้องตลาด เช่น Nokia 3310, iPhone 4S, Samsung Galaxy S2, Nokia N900, Sony Xperia U, Blackberry Curve 9300, Sony Ericsson W800i เป็นต้น

ผลที่ได้น่าพอใจเป็นอย่างมาก [ดูกราฟเวลาที่ใช้ข้างล่าง] เพราะโทรศัพท์ Motorola ดัดแปลงวิ่งแซงเข้าเส้นชัยก่อนโทรศัพท์ทุกรุ่นที่ใช้ในการทดสอบครั้งนี้ (อย่าลืมว่าพวกเขาใช้โทรศัพท์ตั้งแต่รุ่นพ่ออย่าง Nokia 3310 ยันไปจนถึง iPhone 4S ในการทดสอบ ฉะนั้นเป็นไปได้อย่างสูงว่าโทรศัพท์ทุกรุ่นในท้องตลาดก็คงไม่รอด) นั่นแปลว่าหากแฮ็กเกอร์รู้รหัสเรียกหาโทรศัพท์ของเราที่ระบุมาใน broadcast page แล้วตั้งโปรแกรมให้คอยดักรหัสนี้เอาไว้ ก็จะไม่มีใครโทรหรือส่งข้อความ sms หาเราได้เลยโดยที่เราไม่มีทางรู้ตัวด้วยซ้ำว่าโดนเล่นงานเข้าให้แล้ว

วิธีหารหัสเรียกหาก็ไม่ได้ยากเย็นอะไร แฮ็กเกอร์ก็แค่โทรศัพท์เข้าหาเบอร์ของเรารัวๆ สัก 10-20 ครั้ง ระหว่างนั้นก็ดักจับ (sniff) สัญญาณที่ส่งออกมาจากสถานีฐานไปด้วย แล้วค่อยมาดูจาก log ว่าสถานีฐานส่ง broadcast page เรียกหาโทรศัพท์เครื่องไหนติดกันรัวๆ บ้าง

ถ้าใครอ่านมาถึงตรงนี้ คิดว่ายังไม่เป็นอะไรมาก อารมณ์ประมาณว่า "ทุกวันนี้มีคนโทรหาเยอะอยู่แล้ว โดน DoS บ้างก็ดี จะได้มีช่วงเวลาสงบสุขบ้างอะไรบ้าง" ก็อย่าเพิ่งมองโลกในแง่ดีจนเกินไป เรื่องมันไม่จบแค่นั้น

นักวิจัยทั้งสามพบว่าเครือข่ายโทรศัพท์บางระบบไม่สนใจที่จะตรวจสอบรหัสยืนยันตัวตนในขั้นตอนที่ 5 ด้วยซ้ำ ถ้ามีโทรศัพท์ไหนส่งสัญญาณตอบกลับ broadcast page ตามที่เรียกหาออกไป มันก็จะโอนสายหรือส่งข้อความให้โทรศัพท์เครื่องนั้นทันที เท่านี้คุณแฮ็กเกอร์ผู้ใจดีก็สามารถช่วยเรารับสายเข้าหรืออ่านข้อความ sms แทนเราได้อย่างสบาย เราไม่ต้องเหนื่อยอะไรเลย ดีจริงๆ

ล่มทั้งเมือง

แค่ DoS โทรศัพท์ไม่กี่เครื่อง มันคงยังสนุกไม่พอ นักวิจัยจึงหาทางขยายขอบเขตการทำลายล้างของวิธีนี้ออกไปอีก พวกเขารู้ว่าขณะที่สถานีฐานส่ง broadcast page ออกมาเรียกหาโทรศัพท์เป้าหมาย มันไม่ได้ส่งออกมาจากสถานีฐานเพียงแห่งเดียว แต่สถานีฐานในพื้นที่ภูมิศาสตร์ใกล้เคียงจะกระจาย broadcast page ระหว่างกันไปด้วย ที่ต้องทำเช่นนี้ก็เพื่อให้โทรศัพท์มือถือของเราไม่จำเป็นต้องรายงานตำแหน่งที่แน่ชัดกลับไปยังสถานีฐานตลอดเวลา แค่รายงานตำแหน่งทางภูมิศาสตร์อย่างหยาบๆ ไปเป็นช่วงๆ ก็พอ จะได้ประหยัดพลังงานและปกป้องความเป็นส่วนตัวของผู้ใช้ไปในตัว

แต่ในกรณีนี้ การกระจาย broadcast page ไปทั่วทุกสถานีฐานในบริเวณนั่นแหละที่เปิดหนทางให้แฮ๊กเกอร์สามารถล่มเครือข่ายทั้งบริเวณได้อย่างสะดวก แฮ็กเกอร์ไม่จำเป็นต้องไปวุ่นวายกระจายวางโทรศัพท์ Motorola ดัดแปลงไว้คอยดัก broadcast page ตามแต่ละสถานีฐานให้ประเจิดประเจ้อ หากแฮ็กเกอร์อยากจะล่มระบบเครือข่าย GSM สักเครือข่ายหนึ่ง ก็แค่ดัก broadcast page ทุกๆ อันที่สถานีฐานอันใดอันหนึ่งของเครือข่ายนั้นส่งออกมาก็พอ ผลกระทบจะกินอาณาเขตไปตามสถานีฐานที่กระจาย broadcast page ร่วมกันโดยอัตโนมัติ ซึ่งอาจจะมากเป็นหลักสิบหรือหลักร้อยตารางกิโลเมตร

คราวนี้ก็เหลือแค่ข้อจำกัดด้านความเร็วในการดัก broadcast page เนื่องจากว่า ตามที่นักวิจัยได้ทดลอง การดัก broadcast page และแซงส่งรหัสยืนยันกลับไปยังสถานีฐานแต่ละครั้งนั้นจะต้องใช้เวลาประมาณ 1 วินาที (ถ้าให้เป๊ะๆ ก็คือ 0.925 วินาทีโดยเฉลี่ย) ดังนั้นใน 1 นาที โทรศัพท์ Motorola ดัดแปลง 1 เครื่องก็จะล่มการเชื่อมต่อได้ประมาณ 60 ครั้งเท่านั้น ซึ่งไม่พอสำหรับจะดัก broadcast page ทุกอัน (ในชั่วโมงที่มีการใช้งานสูงสุด เครือข่ายผู้ให้บริการหลักๆ ของเยอรมนีมีการส่ง broadcast page ออกมา 300-1,200 อัน/นาที)

ดังนั้นพวกเขาจึงใช้โทรศัพท์ Motorola ดัดแปลงหลายๆ เครื่องมาช่วยกันดัก broadcast page พร้อมกัน เช่น หากจะล่มเครือข่าย GSM ของ E-Plus ทั้งกรุงเบอร์ลินซึ่งมีการส่ง broadcast page สูงสุดประมาณ 600 อัน/นาที ในทางทฤษฎีแฮ็กเกอร์ต้องการโทรศัพท์ Motorola เพียง 11 เครื่องเท่านั้น เครือข่ายค่ายไหนคนใช้เยอะ ก็ต้องวางดักไว้เยอะหน่อย เครือข่ายไหนคนใช้น้อย ก็ดักน้อย ...ช่างเป็นการแฮ็กที่สอดคล้องกับปรัชญาเศรษฐกิจพอเพียงมากๆ

ทางแก้ไข

สำหรับลูกค้าและผู้ใช้บริการโทรศัพท์ทั่วไปนั้น ไม่ต้องกังวลไปเลย เพราะเราๆ ท่านๆ ป้องกันอะไรไม่ได้นอกจากทำใจ มีแต่เครือข่ายผู้ให้บริการเท่านั้นที่สามารถแก้ไขช่องโหว่นี้

เครือข่าย GSM นั้นพัฒนาขึ้นมาเมื่อหลายสิบปีก่อน มันถูกออกแบบมาโดยความไว้วางใจว่าคนทั่วไปไม่สามารถหาเครื่องมืออุปกรณ์มาดัดแปลงดักรับ-ส่ง GSM radio ได้ตามใจชอบ ฉะนั้นมันจึงไม่ได้ตรวจสอบยืนยันตัวตนไว้ในขั้นตอนแรกๆ ของการเชื่อมต่อเรียกหาคู่สาย ทางแก้คือผู้ให้บริการต้องเปลี่ยนขั้นตอนการเข้ารหัสยืนยันตัวตนใหม่ให้รัดกุมกว่านี้

เปเปอร์งานวิจัยตัวเต็มเผยแพร่แบบ Open Access สามารถดาวน์โหลดได้จาก www.usenix.org/system/files/conference/usenixsecurity13/sec13-paper_golde.pdf
(เป็นเปเปอร์ที่เขียนได้อ่านง่ายจนน่ากลัว ขนาดผมที่ไม่มีความรู้เรื่อง GSM เลยยังพอเข้าใจความน่ากลัวของมันได้)

ที่มา - Naked Security

แต่สำหรับเครือข่ายดีๆของบ้านเรา เรื่องนี้คงไม่ใช่เรื่องใหญ่ ถ้าแฮ็กเกอร์ได้มาเจอระบบล่มตัวเองอัตโนมัติแล้ว อาจจะถึงกับเสียกำลังใจร้องไห้ขี้มูกโป่งหนีกลับบ้านด้วยความเซ็งไปเองก็ได้ ล่มแค่เมืองเดียวจะมาสู้ล่มทั้งประเทศได้ยังไง แถมล่มวันละหลายรอบอีกต่างหาก

Blognone Jobs Premium