66

NSA’s Own Hardware Backdoors May Still Be a “Problem from Hell”

(NSA หน่วยงานความมั่นคงแห่งชาติประเทศสหรัฐอเมริกา เป็นเจ้าของ Hareware ที่ยังคงเป็นปัญหาอันใหญ่หลวง)
โดย Tom Simonite on October 8, 2013

มีการเปิดเผยว่า NSA มี Hardware ที่ใช้สำหรับในการตรวจสอบความไม่มั่นคงของระบบคอมพิวเตอร์ที่อาจทำให้เกิดการล่วงล้ำ

ในปี 2011 นายพล Michael Hayden ผู้ซึ่งเคยเป็นผู้อำนวยทั้ง NSA และ CIA (หน่วยข่าวกรองกลาง) ได้อธิบายเกี่ยวกับระบบ Hardware ของคอมพิวเตอร์ที่อาจนำไปสู่ปัญหาจากการล่วงล้ำของศัตรู โดยข่าวรายงานว่าจากการรั่วไหลของเอกสารนั้น NSA เองก็ได้ใช้กลยุทธ์ในการทำงานร่วมกับบริษัทอเมริกาในแอบใส่ Hardware ดังกล่าวเข้าสู่ชิปและ Hardware อื่นๆ เพื่อเฝ้าระวังความปลอดภัย

101013_Shutterstock_burglar.large.jpg?1381425957&1381425956

การเปิดเผยดังกล่าวมีส่วนทำให้ผู้เชี่ยวชาญด้านความปลอดภัยกังวลเพราะการประเมินของ Hayden ค่อนข้างจะเป็นจริงอย่างมาก Hardware ที่ใช้นั้นมีความยากและเป็นไปได้น้อยในการตรวจจับ ซึ่ง Hardware นั้นสามารถทำได้หลายอย่างเช่น การเข้าถึงข้อมูลอย่างลับๆ ใน Software ของคอมพิวเตอร์ รวมทั้ง Software ที่เกี่ยวกับความมั่นคง นอกจากนี้มีความเป็นไปได้ที่ Hardware คอมพิวเตอร์ที่ใช้ในทั่วโลกอาจกลายเป็นข้อมูลขยะที่ NSA สามารถเข้าถึงได้ รวมทั้งหน่วยงานของรัฐในประเทศต่างๆ หรือกลุ่มอื่นๆ ก็สามารถทำแบบ NSA ได้เช่นกัน นักวิจารณ์ของ NSA กล่าวว่า โดยธรรมชาติข้อบกพร่อง Hardware นั้นไม่สามารถติดตามร่องรอยต่างๆได้ และมีแนวโน้มในการนำ Hardware นี้เข้าไปใช้ในอีกหลายๆระบบ ซึ่งจะทำให้ความเสี่ยงที่ผิดต่อกฎหมายนั้นมากขึ้น

“Hardware เป็นเหมือนกับที่สินค้าทั่วไปที่ทุกคนสามารถไว้วางใจ และถ้าเกิดระบบ Hardware นั้นนำมาใช้ได้ คุณก็จะเสียความเป็นส่วนตัวในทางพื้นฐานไป” Simha Sethumadhavan (รองศาสตราจารย์ที่มหาวิทยาลัยโคลัมเบียผู้ซึ่งทำการวิจัยแนวทางในการตรวจติดตามชิปในคอมพิวเตอร์) กล่าวไว้

แม้ว่าจะมีข้อกล่าวหาต่อรัฐบาลต่างๆ แต่ก็ยังไม่มีกลุ่มสาธารณะใดยืนยันว่ามีการนำ Hardware ดังกล่าวนี้ไปใช้ แต่อย่างไรก็ตาม ในปีที่ผ่านมานี้ นักวิจัยด้านความปลอดภัย ได้แสดงซ้ำแล้วซ้ำเล่าถึงพลังและการลักลอบของ Hardware ดังกล่าว โดยส่วนใหญ่ทำการฝัง Hardware นี้ใน firmware ของส่วนประกอบคอมพิวเตอร์ โดยหนึ่งในการแสดงในที่ประชุมด้านความปลอดภัยของ Black Hat แสดงให้เห็นถึงวิธีการฝังลงในคอมพิวเตอร์ใหม่ โดยถึงแม้จะเปลี่ยน hard disk ก็ไม่สามารถแก้ไขจุดอ่อนนี้ได้

ทางเจ้าหน้าที่สหรัฐฯ และผู้กำหนดนโยบาย ได้กล่าวมั่นใจเกี่ยวกับความเป็นไปได้ว่ากลยุทธ์ดังกล่าวอาจใช้อยู่ในประเทศจีน จากทัศนคติของรัฐบาลที่มีต่อสหรัฐฯ และความจริงที่ว่าชิ้นส่วนของคอมพิวเตอร์ทั้งหมดนั้นผลิตในประเทศจีน อย่างไรก็ตาม รายงานเพิ่งออกมานี้ รวมทั้งส่วนสำคัญใน New York Times เดือนก่อนหน้านี้ ไม่เคยมีการเรียกร้องของประชาชนว่ารัฐบาลได้ใส่ระบบดังกล่าวลงใน Hardware ของคอมพิวเตอร์

The Times รายงานว่า อย่างไรก็ตามที่ NSA ได้ใส่ระบบนี้ลงไปในชิปเข้ารหัสที่ธุรกิจต่างๆ และรัฐบาลใช้ในการรักษาความปลอดภัยของข้อมูลของพวกเขา และหน่วยงานที่ทำงานร่วมกับผู้ผลิตในสหรัฐฯ ในการใส่ระบบนี้ลงไปใน Hardware ของคอมพิวเตอร์และก็จะถูกส่งไปยังกลุ่มเป้าหมายในต่างประเทศ

“มันมีการเก็งกำไรมากมายและการพูดทางอ้อมอยู่ตลอดเกี่ยวกับ Hardware ดังกล่าว” Steve Weis (CTO และผู้ร่วมก่อตั้ง PrivateCore) กล่าวไว้ โดย Steve Weis นั้นเป็นผู้เริ่มระบบ Software ที่เป็น cloud servers โดยระบบนี้สามารถป้องกัน Hardware บางชนิดที่เป็นอันตรายได้ “จากกรณีนี้ทำให้รักษาสิทธิ์ได้” Weis เชื่อว่าบริษัทหลายบริษัทในในสหรัฐฯ และที่อื่นๆ ไม่ได้คิดถึงว่า Hardware นั้นมาจากที่ไหน และมีใครเข้าถึงได้บ้าง แต่การกำหนดขอบเขตของปัญหาที่อาจเกิดขึ้นไม่ได้เป็นตรงไปตรงมาสำหรับหลายๆบริษัท เช่นการใส่ข้อมูล, Software และ Hardware จาก third-party ที่ดำเนินการโดยผู้ให้บริการ cloud server

บริษัท PrivateCore มีการนำระบบ cloud server เข้ามาใช้ใน Software โดยสามารถป้องกันอันตรายที่อาจเกิดขึ้นกับ Hardware ซึ่งจะทำการเข้ารหัสข้อมูลในระบบ RAM หรือหน่วยความจำระยะสั้น โดยข้อมูลที่มีอยู่ปกติแล้วจะไม่ได้เข้ารหัสไว้ ทำให้ RAM เป็นที่ที่สำหรับรับมือกับ Hardware ที่ไม่ดีที่ติดอยู่กับระบบ แอบคัดลอกข้อมูลและส่งกลับไปยังผู้ที่ไม่ประสงค์ดี

มีการทดสอบถึงเทคโนโลยีที่ใช้ตรวจจับ Hardware ดังกล่าวที่พยายามจะเข้ามาล้วงข้อมูลแล้วส่งออกไปผ่านอินเตอร์เน็ต และนั่นเองทำให้เกิดการตรวจสอบอย่างเข้มงวด แต่อย่างไรก็ตามการป้องกันนั้นก็มีข้อจำกัด และในปัจจุบันนี้ก็มีส่วนประกอบของคอมพิวเตอร์ยี่ห้อที่เราไว้ใจก็คือ Intel processor ที่เราต้องไว้ใจก็เพราะพวกเราไม่มีทางเลือกนั่นเอง

การฝังชิปใน Hardware นั้นมีการใช้มากที่สุด ซึ่งมันเป็นวิธีที่ผู้ซื้อนั้นไม่สามารถตรวจสอบได้เลยว่ามีชิปฝังอยู่หรือไม่ และก็มีอีกหลายวิธีในการออกแบบโดยไม่ให้จับได้เช่นกัน

การผลิตชิปนั้นเป็นกระบวนการที่ยุ่งยากและซับซ้อนมีขั้นตอนมากมาย และมีบริษัทหลายบริษัทที่เข้ามาเกี่ยวข้อง และในแต่ละขั้นตอนก็สามารถทำให้ชิปนั้นสามารถนำไปล้วงข้อมูลได้

ผู้ผลิตชิปส่วนใหญ่จะซื้อ Block IP จาก third-party เพื่อมารวมกับในขั้นสุดท้ายของการออกแบบ การออกแบบวงจรที่มีความลื่นไหลเป็นพิเศษนั้นเป็นการออกแบบภายนอกที่สามารถฝังชิปลงไปได้ เพราะไม่มีเครื่องมือที่จะตรวจจับมัน และในปัจจุบันก็มีการตรวจสอบความปลอดภัยที่น้อยมาก ส่วนใหญ่จะเชื่อถือผู้ที่ขาย IP ให้เรา และมีประเมินว่าการปรับเปลี่ยนการออกแบบ block ที่รวมถึงการฝังชิปนั้น จะมีต้นทุนประมาณแค่ สิบจากหลายพันดอลลาร์

The Columbia group บริษัท Fab ได้มีการทดสอบ Software เพื่อจะออกแบบการตรวจสอบหาชิปที่ฝังอยู่ ทำเครื่องมือที่เรียกว่า FANCI ซึ่งจะเป็นตัววิเคราะห์ชิป และดูการทำงานก็วงจรต่างๆ จนถึงการเชื่อมต่อของวงจรต่างๆ รวมถึงที่ไม่ได้ใช้งานอีกด้วย

วงจรดังกล่าวเป็นที่สงสัยว่าอาจเป็นส่วนหนึ่งของการสร้างชิปสำหรับล้วงข้อมูล เพราะผู้ออกแบบชิปไม่อยากสูญเสียพื้นที่บนชิป หรือแผงวงจร ตั้งแต่เมื่อชิปนั้นมีราคาแพง

จากเครื่องมือแสดงให้เห็นว่า แม้ Hardware ที่ถูกฝังชิปนี้จะในการค้นหาแต่ก็ยังมีคนที่พยายามตรวจสอบ อย่างไรก็ตามก็ยังมีองค์กรจำนวนมากที่ใช้การล้วงข้อมูล และหาโอกาสด้วยวิธีดังกล่าว

ในการวิจัยล่าสุดในการตรวจสอบชิปดังกล่าว ซึ่งถูกดำเนินการด้วย NFA เอง ซึ่งถือเป็นตัวแทนในการป้องกันระบบของรัฐบาล แต่ก็ไม่ได้มีการเผยแพร่ต่อสาธารณชนแต่อย่างไร ไม่ว่าจะเป็นวิธีการต่างๆ ที่ NFA สร้างขึ้นมา คำสั่งจากหน่วยงานวิจัย DARPA เมื่อปลายปีที่แล้ว ที่จะประกาศถึงโปรแกรมใหม่สำหรับการพัฒนาแนวทางในการตรวจจับการฝังชิปดังกล่าวนั้น ก็ยังเป็นปัญหาต่อเนื่องมาถึงปัจจุบัน

บทวิเคราะห์
บนสมรภูมิสงครามทางเศรษฐกิจที่ดุเดือด ทุกบริษัทต่างเข้าห้ำหั่นกันอย่างสุดชีวิตเพื่อช่วงชิงความได้เปรียบสู่การเป็นผู้นำในโลกธุรกิจ ซึ่งการต่อสู้ในวัฎจักรของธุรกิจมีตั้งแต่การวางแผนต่างๆ มากมายไม่ว่าจะเป็นเรื่องการวางแผนธุรกิจ กลยุทธ์การตลาด ข้อมูลการเงิน ข้อมูลลูกค้า เป็นต้น ซึ่งข้อมูลต่างๆ ที่กล่าวมาถือว่าเป็นความลับที่ต้องรักษาไว้ยิ่งชีพ ไม่ให้รั่วไหลออกไปสู่ภายนอกเด็ดขาด โดยเฉพาะอย่างยิ่งการตกไปอยู่ในมือของคู่แข่ง

backdoor.chipsx299.jpg

การจัดตั้งระบบรักษาความปลอดภัยมีความสำคัญมากสำหรับบริษัท เจ้าหน้าที่รักษาความปลอดภัยนอกจากจะดูแลชีวิตพนักงานหรือผู้บริหารและทรัพย์สินบริษัทแล้ว ยังสมควรต้องดูแลเรื่องการรักษาข้อมูลความลับให้ทางบริษัทด้วย เพราะทุกวันพนักงานทุกคนจะมุ่งมั่นทำหน้าที่ของตนเองตามที่ได้รับมอบหมายให้เสร็จสิ้น เมื่อถึงเวลาเลิกงานทุกคนต่างกลับบ้านไม่มีใครสนใจใครซึ่งในส่วนนี้ถือเป็นจุดอ่อนอย่างหนึ่งของระบบ

เจ้าหน้าที่รักษาความปลอดภัยควรดูแลส่วนนี้เป็นพิเศษด้วยการตรวจสอบว่าพนักงานได้นำเอกสารข้อมูลซึ่งเป็นความลับออกไปด้วยหรือไม่ และต้องสังเกตว่ามีบุคคลภายนอกที่ไม่มีความเกี่ยวข้องกับบริษัทเข้ามาวุ่นวายในสำนักงานหรือไม่ หากมีบุคคลภายนอกเข้ามาติดต่อ ควรให้ติดบัตรแสดงตัวให้เรียบร้อย การติดตั้งกล้องวงจรปิดทั่วสำนักงานสามารถส่วนช่วยยกระดับการรักษาความปลอดภัยได้อย่างมากเช่นกัน

นอกจากนี้ควรมีการกำหนดว่าพนักงานแต่ละระดับสามารถเข้าถึงข้อมูลในระดับใดบ้าง การเข้าถึงข้อมูลที่เป็นความลับของบริษัทควรมีการจัดระดับความสำคัญของพนักงานด้วย ว่าพนักงานระดับใดสามารถเข้าถึงข้อมูลได้มากเท่าใด เพื่อป้องกันข้อมูลสำคัญรั่วไหลไปสู่มือคู่แข่ง การกำหนดระดับการเข้าถึงข้อมูลจะช่วยให้ความลับของบริษัทมีความปลอดภัยมากขึ้นเมื่อข้อมูลดังกล่าวอยู่ในความดูแลของเจ้าหน้าที่พนักงานระดับสูงไล่เรียงลดหลั่นลงมาตามระดับความลับและตำแหน่งหน้าที่ของพนักงานผู้รับผิดชอบ นอกจากนี้การจัดระดับการเข้าถึงข้อมูลจะช่วยให้สามารถหาผู้รับผิดชอบได้ในกรณีที่ความลับดังกล่าวหลุดออกไปสู่ภายนอก

วิธีการตั้งรหัสจะใช้เมื่อข้อมูลความลับดังกล่าวอยู่ในระบบสารสนเทศหรือระบบคอมพิวเตอร์นั่งเอง เมื่อเทียบกับวิธีอื่นแล้ว การตั้งรหัสการเข้าถึงข้อมูลสามารถทำได้ง่ายที่สุด โดยอาจตั้งรหัสด้วยตนเองหรือให้เจ้าหน้าที่ฝ่ายไอทีเป็นผู้ตั้งให้ก็ได้ จากนั้นจึงนำรหัสที่ได้ไปให้เฉพาะพนักงานหรือผู้บริหารที่มีส่วนเกี่ยวข้องกับข้อมูลลับดังกล่าว ที่สำคัญควรสร้างระบบซึ่งสามารถป้องกันการถูกเจาะข้อมูลจากภายนอกได้ด้วย

หากข้อมูลดังกล่าวเป็นความลับมากจนไม่สามารถเปิดเผยให้ภายนอกทราบเป็นอันขาด วิธีการดีที่สุดก็คงเป็นการทำลายข้อมูลเอกสารที่เป็นความลับทิ้งไป หากข้อมูลลับอยู่ในรูปของกระดาษควรใช้เครื่องทำลายเอกสารที่มีความละเอียดสูงหรือรวบรวมแล้วนำไปเผาทำลายทิ้ง แต่ไม่ควรใช้วิธีฉีกทิ้งเด็ดขาดเพราะยังไม่ปลอดภัยพอ และหากข้อมูลอยู่ในระบบคอมพิวเตอร์ก็ให้ทำลายทิ้งเช่นเดียวกัน

การขอความร่วมมือจากพนักงานและผู้บริหารที่เกี่ยวข้องทุกคนดูจะเป็นวิธีรักษาความลับดีที่สุด เนื่องจากสามารถป้องกันการรั่วไหลของข้อมูลความลับได้เป็นอย่างดีและเป็นการแก้ไขที่ถูกจุด เพราะหากวิเคราะห์ด้วยหลักเหตุและผลแล้ว การที่ข้อมูลรั่วไหลออกสู่ภายนอกส่วนหนึ่งอาจเป็นเพราะพนักงานคนในเอาไปพูดหรือนำออกไปเองทั้งตั้งใจและไม่ตั้งใจ

นอกจากนี้ยังควรขอความร่วมมือจากบุคลากรของบริษัทให้ช่วยกันสอดส่องดูแล หากพบสิ่งผิดปกติทั้งจากบุคคลภายในและภายนอกให้รีบแจ้งผู้บังคับบัญชาทราบโดยทันที

ในการดูแลรักษาความลับของบริษัท ความรอบคอบและใส่ใจเป็นสิ่งจำเป็นมากที่สุด นอกจากนี้แล้วความร่วมมือของพนักงานในทุกระดับก็ถือเป็นเรื่องสำคัญ เพราะข้อมูลถือเป็นทรัพย์สินมีค่าซึ่งไม่อาจประเมินราคาได้นั่นเอง

- http://www.technologyreview.com/news/519661/nsas-own-hardware-backdoors-may-still-be-a-problem-from-hell/
- http://cacm.acm.org/news/168642-nsas-own-hardware-backdoors-may-still-be-a-problem-from-hell/fulltext

5510211066 R70

Unless otherwise stated, the content of this page is licensed under Creative Commons Attribution-ShareAlike 3.0 License