ก่อนอื่นต้องขอบอกว่า ผมเขียนข้อความต่อไปนี้ด้วยความรู้สึกที่อธิบายได้ยาก จะบอกว่า Surprise ก็ไม่ค่อยเท่าไหร่ จะบอกว่าวิตกที่ Privacy และ Data security กำลังถูกคุกคามก็ไม่เชิง จริงๆ แล้วคำว่า "กำลัง" นี้มันผิด Tense ไปสักหน่อย เพราะเรื่องนี้เกิดขึ้นไม่ต่ำกว่า 4-5 ปีมาแล้ว แต่เพิ่งจะถูกเปิดเผยเมื่อเร็วๆ นี้นี่เอง จากจอมแฉเจ้าเก่า นาย Edward Snowden ที่เป็นที่ทราบกันดีว่า กุมความลับของ "องค์กรนั้น" เอาไว้อย่างมากมายราวกับหลุดออกมาจากหนังฮอลลิวู้ด ซึ่งในปัจจุบันนี้ข้อมูลจำนวนไม่น้อย (แต่เชื่อว่าเป็นส่วนน้อยของที่ Snowden มีอยู่เท่านั้น) ถูกปล่อยออกมาให้เราได้ตกใจกันหลายครั้งว่าประเทศมหาอำนาจกำลังเล่นอะไรที่เราคาดไม่ถึงอยู่ (เรียกว่าหนังสายลับต่างๆ อายม้วนกันไปเลยทีเดียว) จนตอนนี้กลายเป็นว่า อะไรจะเกิดขึ้นก็ไม่ตกใจอีกแล้ว
การเข้ารหัสลับ (Encryption: อย่าสับสนกับ Encoding ซึ่งจะแปลว่า "การเข้ารหัส" เฉยๆ นะครับ) เป็นอุปสรรค์สำคัญของ "องค์กรนั้น" ในการทำงาน แน่นอนว่าการเข้ารหัสลับเป็นประโยชน์ในการปกป้องข้อมูลของคนดีๆ จากคนชั่ว เช่นในกรณีของ Internet Banking transactions ที่ควรจะถูกปกป้องจากการเข้าถึงของคนนอก หรือ Online identity ที่แทบจะเป็นทุกสิ่งทุกอย่างของคนคนหนึ่งเลยก็ว่าได้ในปัจจุบัน ก็ควรจะถูกปกป้องด้วยเช่นกัน (ลองไปอ่านเรื่องวิบากกรรมของนาย Mat Honan ดูก็ได้ครับ) ถ้าข้อมูลถูกเข้ารหัส เช่นใช้ SSL ซึ่งจะป้องกันคนนอกไม่ให้อ่านข้อมูลที่รับส่งกันได้ (On-transit data encryption) และถ้า "องค์กรนั้น" คิดจะดักข้อมูล ต่อให้เดินก๋าเข้าไปใน ISP พร้อมหมาย ก็ไม่สามารถอ่านข้อมูลออกมาได้ หรือแม้จะเดินเข้าไปใน Facebook, google หรือ twitter เพื่อขอข้อมูล ก็ไม่แน่ว่าจะได้ข้อมูลออกมา เคยมีกรณีที่สู้กันถึงศาล ซึ่งในสุดท้ายแม้ว่า "องค์กรนั้น" จะได้ข้อมูลที่ต้องการไปจากการตัดสินของศาล แต่ก็ใช้เวลามากเกินไป หรือในผู้ให้บริการ Cloud storage บางราย ใช้การเข้ารหัสลับทั้ง On-transit และ At-rest (Data ที่เก็บในผู้ให้บริการถูกเข้ารหัสลับด้วย Key ของผู้ใช้งาน) ทำให้ต่อให้ผู้ให้บริการอยากจะช่วยเหลือ "องค์กรนั้น" ในการเข้าถึงข้อมูล ก็ไม่สามารถทำได้เพราะไม่รู้ Key ของผู้ใช้งาน (หลักการนี้บางครั้งเรียกว่า Zero-knowlege privacy policy) ดังนั้นทางเลือกก็ย่อมเหลือแต่สายมืดเท่านั้น รายละเอียดตรงนี้ผมขอข้ามไป เพราะไม่ใช่สาระสำคัญ และมันจะยาวเกินไปครับ
ไม่ใช่แค่ Website ที่มีการเข้ารหัสลับแบบ On-transit แต่ระบบโทรศัพท์มือถือที่เราใช้อยู่ก็มีเช่นกัน ตั้งแต่สมัย GSM (2G) เป็นต้นมาแล้วครับ โดยอาศัยกลไกของ SIM เป็นตัวเก็บ key ในการเข้ารหัสเอาไว้ หลักการคือ Mobile operator จะ Identify ผู้ใช้งานด้วย IMSI (จะ Unique ในแต่ละ SIM คล้ายๆ กับเลขประจำตัวของ SIM นั้นๆ) จึงสามารถรู้ได้ว่า จะต้องใช้ key อะไรในการคุยกับผู้ใช้งานคนนั้นๆ ส่วนคนที่ดักฟังอยู่ในอากาศ ก็ไม่สามารถถอดรหัสได้เพราะไม่มี key (จริงๆ มีผู้พบช่องโหว่แล้วในระบบ GSM แต่ในระบบ UMTS ยังไม่ถือว่าเป็นช่องโหว่ที่ใช้งานได้จริงครับ)
เดิมที่การดักฟังโทรศัพท์มือถือระบบ 2G เป็นต้นมานั้น มักจะใช้วิธีดักฟังที่ Mobile operator ซึ่งจะใช้วิธีแบบตำรวจหรือสายมืดก็แล้วแต่กรณี หรือยุคนี้อาจมี Malware ที่ฝังตัวในโทรศัพท์ของเป้าหมายเข้ามาเกี่ยวข้อง ก็ยังไม่ได้แตกต่างจากเดิมเท่าใดนักในแง่ของการดำเนินการ แต่การเข้ารหัสลับของโทรศัพท์มือถือนี้ มันเป็น Symmetric-key encryption ดังนั้นถ้า key ที่ว่านี้รั่วไหลไป ก็สามารถดักฟังได้อย่างง่ายดายเลยทีเดียว แต่จะเอา key ที่ว่านี้มาได้อย่างไรล่ะ จะไปแงะเอาจาก SIM ของเป้าหมายมันก็คงต้องเข้าถึงตัวเป้าหมายให้ได้ก่อน ถ้าเป็นอย่างนั้นแล้วคงทำอะไรได้อีกร้อยแปดอย่าง ไม่ใช่แค่เอา SIM มาแคะ key หรอกครับ
หรือจะไปเอามาจาก Mobile operator มันก็คงวุ่นไม่น้อยเพราะบางครั้งก็อยู่นอกเขตอิทธิพล จะแฮคระบบของเขาก็คงไม่ง่าย แถมเกิดเป้าหมายเปลี่ยน SIM บ่อยๆ ย้ายบริษัทไปมามันก็คงวิ่งตามกันเหนื่อย แต่ถ้ามีแหล่งฐานข้อมูลของ IMSI และ key ของมัน ก็คงไม่ยากอะไร แค่รอดักคลื่นในอากาศ (เอามาหมดไม่ว่าจะของใครหน้าใหน) แล้วเอามาไล่ถอดรหัสลับด้วย key ที่มี จากนั้นก็ค่อยเลือกข้อมูลที่ต้องการอีกทีก็น่าจะง่ายกว่าเยอะ
ข้อมูลล่าสุดที่มีการเปิดเผยเร็วๆ นี้ ยืนยันว่า หน่วยสืบราชการลับของประเทศหนึ่ง (ซึ่งเป็นมิตรของ "องค์กรนั้น") ได้เข้าแทรกแซงการทำงานของบริษัทหนึ่ง ซึ่งมีสำนักงานใหญ่อยู่ใน Netherlands บริษัทนี้เป็นผู้ผลิต SIM รายใหญ่ ให้กับ Mobile operator ในหลายๆ ประเทศทั่วโลก (น่าจะรวมถึงบ้านเรา?) วิธีการแทรกแซงนี้ทำแบบลับๆ ซึ่งในรายงานไม่ปรากฏรายละเอียดแต่อย่างใด แต่มีจุดมุ่งหมายในการเข้าถึงข้อมูล IMSI และ key ของ SIM ที่มีการจัดส่งไปให้ลูกค้า (Mobile operator) เพราะ SIM จะต่างจาก Smart card ตรงที่จะทำ Personalization (สร้าง key และ ID ของ module) จากผู้ผลิตเลยโดยตรง จึงทำให้ผู้ผลิตต้องส่งรายการ IMSI และ key ให้ Mobile operator ด้วย ในรายงานระบุว่า วิธีส่งข้อมูลที่ว่านี้บางครั้งไม่มีการเข้ารหัสลับใดๆ ด้วยซ้ำ และในขณะนี้บริษัทผู้ผลิต SIM ดังกล่าว ได้รับรายงานนี้แล้ว และแสดงความวิตกกังวลต่อสถานการณ์ที่เกิดขึ้นอย่างมาก
ที่น่าสนใจคือ ข้อมูลที่รายงานนี้อ้างถึง ระบุว่า มี Sale manager ของบริษัทผู้ผลิต SIM ดังกล่าว ใน "ประเทศไทย" ตกเป็นเป้าหมายของการสอดแนมด้วย โดยในข้อมูลระบุว่า "ถ้า" มีความต้องการจะดำเนินการอะไรใน "area" นี้ (น่าจะหมายถึงประเทศไทย) คนๆ นี้เป็นจุดเริ่มต้นที่ดี (ในการที่จะดำเนินการ)
จะด้วยวิธีการอะไรก็ตาม เมื่อหน่วยสืบราชการลับที่ว่านี้มี IMSI และ key ของ SIM จำนวนมากๆ อยู่ในมือแล้ว การดักข้อมูลโทรศัพท์ผ่านอากาศ ก็สามารถเป็นไปได้ และมันก็เป็นไปแล้วดังส่วนหนึ่งของรายงาน ที่อ้างข้อมูลว่า มีการทดลองดักฟังในกลุ่มประเทศตะวันออกกลางด้วยวิธีนี้สำเร็จแล้ว
รายละเอียดของรายงานที่ผมพูดถึงนี้ นำมาจาก The Intercept ของ Glenn Greenwald นักข่าวชื่อดังที่ได้รับการไว้วางใจจาก Edward Snowden สามารถเข้าไปอ่านให้สยองกันได้ที่
https://firstlook.org/theintercept/2015/02/19/great-sim-heist/ ครับ
อ้อ พูดถึง Netherlands แล้ว คงจำกันได้ว่าในช่วงปี 2011 มี CA (Certificate Authority: ถือว่าเป็นหัวใจของ SSL) เจ้าหนึ่งของประเทศที่ว่านี้ ถูก Compromise ไปนะครับ ลอง google "Diginotar" ดูได้ครับ
หมายเหตุ: ที่ผมไม่ระบุชื่อ "องค์กรนั้น" หรือประเทศของ "หน่วยสืบราชการลับ" ไม่ใช่จะทำเท่อะไรหรอกครับ ไปอ่านเอาเองใน ref ดีกว่า ผมไม่อยากมีปัญหาอะไรทั้งสิ้นครับ
เมื่อ Mobile network ไม่ปลอดภัยอีกต่อไป! หน่วยสืบราชการลับของมหาอำนาจ ล้วงตับบริษัทผลิต SIM!!
การเข้ารหัสลับ (Encryption: อย่าสับสนกับ Encoding ซึ่งจะแปลว่า "การเข้ารหัส" เฉยๆ นะครับ) เป็นอุปสรรค์สำคัญของ "องค์กรนั้น" ในการทำงาน แน่นอนว่าการเข้ารหัสลับเป็นประโยชน์ในการปกป้องข้อมูลของคนดีๆ จากคนชั่ว เช่นในกรณีของ Internet Banking transactions ที่ควรจะถูกปกป้องจากการเข้าถึงของคนนอก หรือ Online identity ที่แทบจะเป็นทุกสิ่งทุกอย่างของคนคนหนึ่งเลยก็ว่าได้ในปัจจุบัน ก็ควรจะถูกปกป้องด้วยเช่นกัน (ลองไปอ่านเรื่องวิบากกรรมของนาย Mat Honan ดูก็ได้ครับ) ถ้าข้อมูลถูกเข้ารหัส เช่นใช้ SSL ซึ่งจะป้องกันคนนอกไม่ให้อ่านข้อมูลที่รับส่งกันได้ (On-transit data encryption) และถ้า "องค์กรนั้น" คิดจะดักข้อมูล ต่อให้เดินก๋าเข้าไปใน ISP พร้อมหมาย ก็ไม่สามารถอ่านข้อมูลออกมาได้ หรือแม้จะเดินเข้าไปใน Facebook, google หรือ twitter เพื่อขอข้อมูล ก็ไม่แน่ว่าจะได้ข้อมูลออกมา เคยมีกรณีที่สู้กันถึงศาล ซึ่งในสุดท้ายแม้ว่า "องค์กรนั้น" จะได้ข้อมูลที่ต้องการไปจากการตัดสินของศาล แต่ก็ใช้เวลามากเกินไป หรือในผู้ให้บริการ Cloud storage บางราย ใช้การเข้ารหัสลับทั้ง On-transit และ At-rest (Data ที่เก็บในผู้ให้บริการถูกเข้ารหัสลับด้วย Key ของผู้ใช้งาน) ทำให้ต่อให้ผู้ให้บริการอยากจะช่วยเหลือ "องค์กรนั้น" ในการเข้าถึงข้อมูล ก็ไม่สามารถทำได้เพราะไม่รู้ Key ของผู้ใช้งาน (หลักการนี้บางครั้งเรียกว่า Zero-knowlege privacy policy) ดังนั้นทางเลือกก็ย่อมเหลือแต่สายมืดเท่านั้น รายละเอียดตรงนี้ผมขอข้ามไป เพราะไม่ใช่สาระสำคัญ และมันจะยาวเกินไปครับ
ไม่ใช่แค่ Website ที่มีการเข้ารหัสลับแบบ On-transit แต่ระบบโทรศัพท์มือถือที่เราใช้อยู่ก็มีเช่นกัน ตั้งแต่สมัย GSM (2G) เป็นต้นมาแล้วครับ โดยอาศัยกลไกของ SIM เป็นตัวเก็บ key ในการเข้ารหัสเอาไว้ หลักการคือ Mobile operator จะ Identify ผู้ใช้งานด้วย IMSI (จะ Unique ในแต่ละ SIM คล้ายๆ กับเลขประจำตัวของ SIM นั้นๆ) จึงสามารถรู้ได้ว่า จะต้องใช้ key อะไรในการคุยกับผู้ใช้งานคนนั้นๆ ส่วนคนที่ดักฟังอยู่ในอากาศ ก็ไม่สามารถถอดรหัสได้เพราะไม่มี key (จริงๆ มีผู้พบช่องโหว่แล้วในระบบ GSM แต่ในระบบ UMTS ยังไม่ถือว่าเป็นช่องโหว่ที่ใช้งานได้จริงครับ)
เดิมที่การดักฟังโทรศัพท์มือถือระบบ 2G เป็นต้นมานั้น มักจะใช้วิธีดักฟังที่ Mobile operator ซึ่งจะใช้วิธีแบบตำรวจหรือสายมืดก็แล้วแต่กรณี หรือยุคนี้อาจมี Malware ที่ฝังตัวในโทรศัพท์ของเป้าหมายเข้ามาเกี่ยวข้อง ก็ยังไม่ได้แตกต่างจากเดิมเท่าใดนักในแง่ของการดำเนินการ แต่การเข้ารหัสลับของโทรศัพท์มือถือนี้ มันเป็น Symmetric-key encryption ดังนั้นถ้า key ที่ว่านี้รั่วไหลไป ก็สามารถดักฟังได้อย่างง่ายดายเลยทีเดียว แต่จะเอา key ที่ว่านี้มาได้อย่างไรล่ะ จะไปแงะเอาจาก SIM ของเป้าหมายมันก็คงต้องเข้าถึงตัวเป้าหมายให้ได้ก่อน ถ้าเป็นอย่างนั้นแล้วคงทำอะไรได้อีกร้อยแปดอย่าง ไม่ใช่แค่เอา SIM มาแคะ key หรอกครับ
หรือจะไปเอามาจาก Mobile operator มันก็คงวุ่นไม่น้อยเพราะบางครั้งก็อยู่นอกเขตอิทธิพล จะแฮคระบบของเขาก็คงไม่ง่าย แถมเกิดเป้าหมายเปลี่ยน SIM บ่อยๆ ย้ายบริษัทไปมามันก็คงวิ่งตามกันเหนื่อย แต่ถ้ามีแหล่งฐานข้อมูลของ IMSI และ key ของมัน ก็คงไม่ยากอะไร แค่รอดักคลื่นในอากาศ (เอามาหมดไม่ว่าจะของใครหน้าใหน) แล้วเอามาไล่ถอดรหัสลับด้วย key ที่มี จากนั้นก็ค่อยเลือกข้อมูลที่ต้องการอีกทีก็น่าจะง่ายกว่าเยอะ
ข้อมูลล่าสุดที่มีการเปิดเผยเร็วๆ นี้ ยืนยันว่า หน่วยสืบราชการลับของประเทศหนึ่ง (ซึ่งเป็นมิตรของ "องค์กรนั้น") ได้เข้าแทรกแซงการทำงานของบริษัทหนึ่ง ซึ่งมีสำนักงานใหญ่อยู่ใน Netherlands บริษัทนี้เป็นผู้ผลิต SIM รายใหญ่ ให้กับ Mobile operator ในหลายๆ ประเทศทั่วโลก (น่าจะรวมถึงบ้านเรา?) วิธีการแทรกแซงนี้ทำแบบลับๆ ซึ่งในรายงานไม่ปรากฏรายละเอียดแต่อย่างใด แต่มีจุดมุ่งหมายในการเข้าถึงข้อมูล IMSI และ key ของ SIM ที่มีการจัดส่งไปให้ลูกค้า (Mobile operator) เพราะ SIM จะต่างจาก Smart card ตรงที่จะทำ Personalization (สร้าง key และ ID ของ module) จากผู้ผลิตเลยโดยตรง จึงทำให้ผู้ผลิตต้องส่งรายการ IMSI และ key ให้ Mobile operator ด้วย ในรายงานระบุว่า วิธีส่งข้อมูลที่ว่านี้บางครั้งไม่มีการเข้ารหัสลับใดๆ ด้วยซ้ำ และในขณะนี้บริษัทผู้ผลิต SIM ดังกล่าว ได้รับรายงานนี้แล้ว และแสดงความวิตกกังวลต่อสถานการณ์ที่เกิดขึ้นอย่างมาก
ที่น่าสนใจคือ ข้อมูลที่รายงานนี้อ้างถึง ระบุว่า มี Sale manager ของบริษัทผู้ผลิต SIM ดังกล่าว ใน "ประเทศไทย" ตกเป็นเป้าหมายของการสอดแนมด้วย โดยในข้อมูลระบุว่า "ถ้า" มีความต้องการจะดำเนินการอะไรใน "area" นี้ (น่าจะหมายถึงประเทศไทย) คนๆ นี้เป็นจุดเริ่มต้นที่ดี (ในการที่จะดำเนินการ)
จะด้วยวิธีการอะไรก็ตาม เมื่อหน่วยสืบราชการลับที่ว่านี้มี IMSI และ key ของ SIM จำนวนมากๆ อยู่ในมือแล้ว การดักข้อมูลโทรศัพท์ผ่านอากาศ ก็สามารถเป็นไปได้ และมันก็เป็นไปแล้วดังส่วนหนึ่งของรายงาน ที่อ้างข้อมูลว่า มีการทดลองดักฟังในกลุ่มประเทศตะวันออกกลางด้วยวิธีนี้สำเร็จแล้ว
รายละเอียดของรายงานที่ผมพูดถึงนี้ นำมาจาก The Intercept ของ Glenn Greenwald นักข่าวชื่อดังที่ได้รับการไว้วางใจจาก Edward Snowden สามารถเข้าไปอ่านให้สยองกันได้ที่ https://firstlook.org/theintercept/2015/02/19/great-sim-heist/ ครับ
อ้อ พูดถึง Netherlands แล้ว คงจำกันได้ว่าในช่วงปี 2011 มี CA (Certificate Authority: ถือว่าเป็นหัวใจของ SSL) เจ้าหนึ่งของประเทศที่ว่านี้ ถูก Compromise ไปนะครับ ลอง google "Diginotar" ดูได้ครับ
หมายเหตุ: ที่ผมไม่ระบุชื่อ "องค์กรนั้น" หรือประเทศของ "หน่วยสืบราชการลับ" ไม่ใช่จะทำเท่อะไรหรอกครับ ไปอ่านเอาเองใน ref ดีกว่า ผมไม่อยากมีปัญหาอะไรทั้งสิ้นครับ