【臺灣資安大會直擊】企業5G專網如何抵擋惡意基地臺攻擊

企業評估建置5G專網，除了如何利用5G的高速、低延遲、大規模連結，優化現有的工作環境之外，也不能輕視5G專網的資安風險，若駭客以惡意基地臺偽裝為合法基地臺，對企業專網內的IoT裝置發動DoS攻擊，影響企業日常營運。

目前的5G網路大多採用NSA非獨立組網架構，也就是在現有的4G網路之外，布建5G基地臺提供服務，在5G NSA的網路架構中，資料層（data plane）是透過gNB傳輸，而控制層（control plane）則是透過eNB傳輸。

臺灣科技大學資工系副教授鄭欣明指出，5G NSA的網路架構依附在現有的4G核網，因此對4G LTE可行的攻擊，特別是在控制面，基本上，對5G NSA架構也同樣有用。

在2G時代，惡意基地臺攻擊盛行，自從3G開始採用AKA(Authentication and Key Agreement)，要求基地臺和手機間做雙向認證，讓擁有SIM卡的手機確認基地臺是合法的，基地臺也確認擁有SIM卡的手機為合法用戶，兩邊互相確認，杜絕偽造基地臺攻擊。

而進入5G時代，採用更安全的做法，例如要求SIM卡的IMSI或SUPI用Public Key加密，還採用更新型態的AKA做法，確保5G網路與用戶的安全。

MEC（Mobile Edge Computing）也在5G專網安全中扮演重要角色。例如在本地端，利用MEC作為存取控管，監控惡意UE（User Equitment）的流量。

鄭欣明指出，如果認證都在核網端執行，MEC就無法發揮低延遲的功能，因此本地端身分認證很重要，需要設計出一個機制，讓MEC能授權IoT裝制的存取控管，並紀錄IoT裝置做了什麼。

另外，利用開源的Inspector軟體，讓介於基地臺和核網中間的MEC化身為中介者，觀察所有封包內容，例如傳送封包通過MEC，經過變化後再送到MME，得以觀察核網的反應，相反地，當封包從MME經過MEC送到基地臺，通過MEC觀察兩邊的反應是否有異常。

隨著軟體定義網路、白牌設備成本降低，鄭欣明表示，MEC也能當作中介者，檢視白牌設備是否存在安全疑慮。

例如在MEC導入以機器學習技術為基礎，用以偵測IoT的惡意軟體，許多企業使用攝影機，從遠端監視工廠內狀況，攝影機如使用公開IP可能成為駭客攻擊的目標，企業可利用MEC監控惡意酬載，發現異常時就將其阻擋下來。MEC也能看到控制層、資料層流量，如同更深層次的防火牆，能夠看到封包層的方向流，檢查是否有異常，去判斷是否為惡意的用戶裝置。

鄭欣明表示，針對5G專網的攻擊相當廣泛，例如針對5G的低延遲應用，只要讓系統延遲時間拉長就能造成影響，使產線的機械手臂作業大亂，或是自駕車反應不及導致交通事故等等。

惡意基地臺攻擊成本大降

自3G開始採用AKA，惡意基地臺攻擊手法已減少，但最近幾年，由於開源軟體、軟體定義網路降低了5G網路的成本，相較以往，更容易實現惡意基地臺攻擊。因此，全球有許多團隊研究惡意基地臺攻擊，包括美國、歐洲、韓國。

鄭欣明指出，Software Define Radio等開源軟體興起，只要花費5萬元就能做出一個軟體定義的基地臺，整個4G網路，可能只要花20萬左右，和投資數百萬元相比，成本低了許多。這也使得惡意基地臺攻擊的成本下降。

由於5G NSA的控制層都是走LTE，理論上，鎖定LTE的攻擊，也能用在5G NSA網路。

目前惡意基地臺攻擊手法有幾種，其中之一是區隔型（isolated）手法，它的原理是，一般手機會自動偵測附近的基地臺訊號強弱，從而判斷是否連接到訊號較強的新基地臺，這中間的訊號傳送為明文。駭客調整惡意基地臺的參數，使其和一般基地臺相同，再以較大的功率吸引被害者的手機，讓手機誤以為附近有個訊號較強的基地臺，從原有的電信商管理的基地臺，轉向駭客偽造的惡意基地臺。

鄭欣明表示，因惡意基地臺不會連接電信商的核心網路，避開了的AKA雙向認證（before AKA），避免偽造身分被識破的風險，同時也取得手機和基地臺間的明文通訊內容。

另一種則是中間人攻擊（Man-in-the-middle），當惡意基地臺取得被害者的手機資料後，再將資料拆解，偽造為合法用戶的手機（UE）向電信商的基地臺通訊，由於中間接替的時間要短，否則和電信商基地臺間的通訊可能中斷，且後續的通訊都經過加密，因此這個攻擊手法難度較高。

還有一種手法是覆寫合法訊號，駭客經過精密的計算，掌握電信商基地臺和被害手機間原有的通訊行為，訊號、角度、時間等等，再調整惡意基地臺參數，以較高的功率發射訊號，強行蓋過被害手機和電信商基地臺間的通訊。

臺科大研究團隊以第一種區隔型攻擊手法為主，即惡意基地臺偽裝為電信商的合法基地臺，以較大的功率吸引被害者的手機，當手機從合法基地臺轉至惡意基地臺，就會和基地臺間進行TAU（Tracking area update）更新。事實上，惡意基地臺不會連接電信商核網，避免被識破偽造的身分，因此無法進行TAU更新，惡意基地臺直接回傳拒絕TAU更新，並要求手機Attach程序，要求手機提供身分識別，手機就會傳送裝置識別的GUTI或IMSI給惡意基地臺，被害手機的SIM卡身分資料外洩。

駭客可進一步控制惡意基地臺，拒絕手機的Attach請求，並且告知被害手機附近的合法基地臺都無法連線，使被害手機信不再和電信商的合法基地臺連線，達到DoS阻斷服務攻擊的效果。

鄭欣明指出，這個攻擊手法應用在部署5G NSA專網的智慧工廠，駭客以惡意基地臺接近工廠，以較大的發射功率吸引廠內IoT裝置與其連線，通過惡意基地臺取得IoT裝置的身分資料，再欺騙手機附近的合法基地臺均無法連線，對IoT裝置發動DoS攻擊，導致這些裝置無法連線，對企業造成相當大的影響。

實驗對不同廠牌手機的影響性，發現可能和晶片有關，一部分廠牌的手機不受影響，有些廠牌手機會受影響，包括受騙送出SIM卡身分資料，中斷網路連線或暫時中斷網路，需開啟手機的飛航模式或重新開機才能重新連線。此外，手機的時鐘功能，或手機的緊急警報廣播功能也會受影響。

研究證實惡意基地臺攻擊手法對4G LTE及5G NSA有效，鄭欣明表示，企業的解決方法，是加強工廠外的實體安全防禦，發現可疑人物接近，另一個就是將工廠建在外部訊號進不來的地方，避免受到攻擊的可能性。

企業也可在工廠布建感應器，因惡意基地臺加大發射功率吸引IoT裝置，當陌生基地臺出現，感應器捕捉到訊號，送到MEC分析判斷。