臺灣科技大學資工系副教授鄭欣明

企業評估建置5G專網,除了如何利用5G的高速、低延遲、大規模連結,優化現有的工作環境之外,也不能輕視5G專網的資安風險,若駭客以惡意基地臺偽裝為合法基地臺,對企業專網內的IoT裝置發動DoS攻擊,影響企業日常營運。

目前的5G網路大多採用NSA非獨立組網架構,也就是在現有的4G網路之外,布建5G基地臺提供服務,在5G NSA的網路架構中,資料層(data plane)是透過gNB傳輸,而控制層(control plane)則是透過eNB傳輸。

臺灣科技大學資工系副教授鄭欣明指出,5G NSA的網路架構依附在現有的4G核網,因此對4G LTE可行的攻擊,特別是在控制面,基本上,對5G NSA架構也同樣有用。

在2G時代,惡意基地臺攻擊盛行,自從3G開始採用AKA(Authentication and Key Agreement),要求基地臺和手機間做雙向認證,讓擁有SIM卡的手機確認基地臺是合法的,基地臺也確認擁有SIM卡的手機為合法用戶,兩邊互相確認,杜絕偽造基地臺攻擊。

而進入5G時代,採用更安全的做法,例如要求SIM卡的IMSI或SUPI用Public Key加密,還採用更新型態的AKA做法,確保5G網路與用戶的安全。

MEC(Mobile Edge Computing)也在5G專網安全中扮演重要角色。例如在本地端,利用MEC作為存取控管,監控惡意UE(User Equitment)的流量。

鄭欣明指出,如果認證都在核網端執行,MEC就無法發揮低延遲的功能,因此本地端身分認證很重要,需要設計出一個機制,讓MEC能授權IoT裝制的存取控管,並紀錄IoT裝置做了什麼。

另外,利用開源的Inspector軟體,讓介於基地臺和核網中間的MEC化身為中介者,觀察所有封包內容,例如傳送封包通過MEC,經過變化後再送到MME,得以觀察核網的反應,相反地,當封包從MME經過MEC送到基地臺,通過MEC觀察兩邊的反應是否有異常。

隨著軟體定義網路、白牌設備成本降低,鄭欣明表示,MEC也能當作中介者,檢視白牌設備是否存在安全疑慮。

例如在MEC導入以機器學習技術為基礎,用以偵測IoT的惡意軟體,許多企業使用攝影機,從遠端監視工廠內狀況,攝影機如使用公開IP可能成為駭客攻擊的目標,企業可利用MEC監控惡意酬載,發現異常時就將其阻擋下來。MEC也能看到控制層、資料層流量,如同更深層次的防火牆,能夠看到封包層的方向流,檢查是否有異常,去判斷是否為惡意的用戶裝置。

鄭欣明表示,針對5G專網的攻擊相當廣泛,例如針對5G的低延遲應用,只要讓系統延遲時間拉長就能造成影響,使產線的機械手臂作業大亂,或是自駕車反應不及導致交通事故等等。

惡意基地臺攻擊成本大降

自3G開始採用AKA,惡意基地臺攻擊手法已減少,但最近幾年,由於開源軟體、軟體定義網路降低了5G網路的成本,相較以往,更容易實現惡意基地臺攻擊。因此,全球有許多團隊研究惡意基地臺攻擊,包括美國、歐洲、韓國。

鄭欣明指出,Software Define Radio等開源軟體興起,只要花費5萬元就能做出一個軟體定義的基地臺,整個4G網路,可能只要花20萬左右,和投資數百萬元相比,成本低了許多。這也使得惡意基地臺攻擊的成本下降。

由於5G NSA的控制層都是走LTE,理論上,鎖定LTE的攻擊,也能用在5G NSA網路。

目前惡意基地臺攻擊手法有幾種,其中之一是區隔型(isolated)手法,它的原理是,一般手機會自動偵測附近的基地臺訊號強弱,從而判斷是否連接到訊號較強的新基地臺,這中間的訊號傳送為明文。駭客調整惡意基地臺的參數,使其和一般基地臺相同,再以較大的功率吸引被害者的手機,讓手機誤以為附近有個訊號較強的基地臺,從原有的電信商管理的基地臺,轉向駭客偽造的惡意基地臺。

鄭欣明表示,因惡意基地臺不會連接電信商的核心網路,避開了的AKA雙向認證(before AKA),避免偽造身分被識破的風險,同時也取得手機和基地臺間的明文通訊內容。

另一種則是中間人攻擊(Man-in-the-middle),當惡意基地臺取得被害者的手機資料後,再將資料拆解,偽造為合法用戶的手機(UE)向電信商的基地臺通訊,由於中間接替的時間要短,否則和電信商基地臺間的通訊可能中斷,且後續的通訊都經過加密,因此這個攻擊手法難度較高。

還有一種手法是覆寫合法訊號,駭客經過精密的計算,掌握電信商基地臺和被害手機間原有的通訊行為,訊號、角度、時間等等,再調整惡意基地臺參數,以較高的功率發射訊號,強行蓋過被害手機和電信商基地臺間的通訊。

臺科大研究團隊以第一種區隔型攻擊手法為主,即惡意基地臺偽裝為電信商的合法基地臺,以較大的功率吸引被害者的手機,當手機從合法基地臺轉至惡意基地臺,就會和基地臺間進行TAU(Tracking area update)更新。事實上,惡意基地臺不會連接電信商核網,避免被識破偽造的身分,因此無法進行TAU更新,惡意基地臺直接回傳拒絕TAU更新,並要求手機Attach程序,要求手機提供身分識別,手機就會傳送裝置識別的GUTI或IMSI給惡意基地臺,被害手機的SIM卡身分資料外洩。

駭客可進一步控制惡意基地臺,拒絕手機的Attach請求,並且告知被害手機附近的合法基地臺都無法連線,使被害手機信不再和電信商的合法基地臺連線,達到DoS阻斷服務攻擊的效果。

鄭欣明指出,這個攻擊手法應用在部署5G NSA專網的智慧工廠,駭客以惡意基地臺接近工廠,以較大的發射功率吸引廠內IoT裝置與其連線,通過惡意基地臺取得IoT裝置的身分資料,再欺騙手機附近的合法基地臺均無法連線,對IoT裝置發動DoS攻擊,導致這些裝置無法連線,對企業造成相當大的影響。

實驗對不同廠牌手機的影響性,發現可能和晶片有關,一部分廠牌的手機不受影響,有些廠牌手機會受影響,包括受騙送出SIM卡身分資料,中斷網路連線或暫時中斷網路,需開啟手機的飛航模式或重新開機才能重新連線。此外,手機的時鐘功能,或手機的緊急警報廣播功能也會受影響。

研究證實惡意基地臺攻擊手法對4G LTE及5G NSA有效,鄭欣明表示,企業的解決方法,是加強工廠外的實體安全防禦,發現可疑人物接近,另一個就是將工廠建在外部訊號進不來的地方,避免受到攻擊的可能性。

企業也可在工廠布建感應器,因惡意基地臺加大發射功率吸引IoT裝置,當陌生基地臺出現,感應器捕捉到訊號,送到MEC分析判斷。

熱門新聞

Advertisement