Tags:
Node Thumbnail

เมื่อวันพฤหัสบดีที่ผ่านมามีการรายงานถึงปัญหาของมาตรฐาน TLS ทำให้เสี่ยงต่อการถูกโจมตี แบบ MITM (man-in-the-middle) ทำให้การเชื่อมต่อแม้จะเป็นแบบเข้ารหัสจะเสี่ยงต่อการแก้ไขข้อความที่ใช้ในการเชื่อมต่อ SSL ซึ่งสร้างความเสี่ยงอื่นๆ ตามมาในอนาคต

ปัญหานี้เกิดขึ้นจากความสามารถในการทำ Renegotiating ซึ่งมีระบุไว้ในมาตรฐาน TLS โดยกระบวนการโจมตีดังนี้

  1. รับ SSL Hello จากเครื่องลูกข่าย แล้วเก็บเอาไว้
  2. ส่งต่อ SSL Hello นั้นไปยังเซิร์ฟเวอร์ ดำเนินการเริ่มต้นการเชื่อมต่อ SSL กับเซิร์ฟเวอร์
  3. เก็บแพ็กเก็ต Change Cipher Spec ไว้
  4. ส่ง SSL Hello ที่เก็บไว้อีกครั้ง แล้วปล่อยให้เครื่องลูกข่ายจริงคุยกับเซิร์ฟเวอร์โดยตรง
  5. ดักจับ Change Cipher Spec แล้วส่งชุดที่เก็บไว้ครั้งแรกให้แทน
  6. เครื่องลูกข่ายจะคุยกับเซิร์ฟเวอร์ด้วยค่าการเข้ารหัสที่ตั้งด้วยการเชื่อมต่อครั้งแรก

ความเสี่ยงนี้มีผลทั้ง OpenSSL ซึ่งใช้ใน Apache และ IIS ทางด้าน OpenSSL นั้นมีการปล่อยแพตซ์เพื่อยกเลิกฟีเจอร์ Renegotiating นี้ไปเป็นการชั่วคราว ขณะที่ IIS นั้นยังไม่มีรายงานการแก้ไข

UPDATE: ผมพบว่ามีคนเข้าใจผิดกันเยอะพอสมควร บั๊กนี้ในตอนนี้ยังไม่สามารถเข้าไปแก้ไขหรือแอบดูข้อมูลใน SSL ได้นะครับ แต่สามารถแก้ไขพารามิเตอร์ต่างๆ ที่ใช้ในการเริ่มต้นการส่งข้อมูลได้ (ซึ่งเพิ่มความเสี่ยงมาก) ชั่วโมงนี้ผมเดาว่าห้องแลปทั่วโลกกำลังพยายามหาทางเจาะเพิ่มเติมจากช่องนี้อยู่ เพื่อแสดงให้เห็นว่ามันอันตรายจริงๆ (ซึ่งมันอาจจะไม่อันตรายจริง)

ใครทำเซิร์ฟเวอร์ HTTPS ได้เวลาทดสอบ และเตรียมอัพเดตได้ครับ

ที่มา - ArsTechnica, Extended Subset

Get latest news from Blognone

Comments

By: nuttin0011 on 8 November 2009 - 00:03 #136440

ถ้าโลกนี้ ไม่มีคนคอยโจมตีบัค เทคโนโลยีจะพัฒนาเร็วกว่านี้เยอะเลยนะ

By: madz_leng
Android
on 8 November 2009 - 00:30 #136443 Reply to:136440

ผมว่าตรงกันข้ามมากกว่า

By: Priesdelly
ContributorAndroidWindows
on 8 November 2009 - 02:29 #136451 Reply to:136443
Priesdelly's picture

+1 ถ้าไม่มีปัญหาก็คงไม่ได้มาถึงเท่านี้

By: onimaru
SymbianWindows
on 8 November 2009 - 01:10 #136447 Reply to:136440

เพราะสงครามเทคโนโลยีถึงได้รุดหน้าแบบก้าวกระโดดอย่างทุกวันนี้

By: nuttin0011 on 8 November 2009 - 02:45 #136453 Reply to:136447

อ่า พูดผิดประเด็นไปหน่อย เอาเป็นว่า ผมคิดว่า ค่อยๆ พัฒนาช้าๆ แต่ ไม่มีสงคราม อยู่อย่างเงียบสงบ ทุกคนมีความสุข จะดีกว่านะครับ

By: -Rookies-
ContributorAndroidWindowsIn Love
on 9 November 2009 - 09:22 #136577 Reply to:136453

แต่ก็พัฒนาช้านะครับ


เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!

By: pittaya
WriterAndroidUbuntuIn Love
on 17 November 2009 - 10:33 #137933 Reply to:136440
pittaya's picture

Given enough eyeballs, all bugs are shallow


pittaya.com

By: lancaster
Contributor
on 8 November 2009 - 00:18 #136441

นรกแล้ววว

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 8 November 2009 - 01:02 #136445
Ford AntiTrust's picture

งานเข้ากันทั่วหน้า ทั่วโลก!!!

By: xxxooo
Windows PhoneWindowsIn Love
on 8 November 2009 - 02:08 #136448

งดเว้นการทำธุรกรรมชั่วคราว

By: dafty
AndroidWindowsIn Love
on 8 November 2009 - 02:15 #136450 Reply to:136448

+1 งดเว้นกิจกรรมทางการเงินผ่านเน็ตชั่วคราว

By: crucifier
iPhoneAndroidUbuntu
on 8 November 2009 - 09:57 #136464 Reply to:136450

เดี๋ยวนี้ยังมีบริการธนาณัติอยู่มั้ย? :D

By: audy
AndroidUbuntu
on 8 November 2009 - 12:48 #136492 Reply to:136464
audy's picture

มีครับ ธนาณัติออนไลน์ รับเงินใน ๑๕ นาที ขอเพียงมีบัตรประชาชน

By: tirakarn
AndroidUbuntuWindows
on 8 November 2009 - 14:11 #136501

พักการซื้อของทางเน็ตด้วยบัตรเครดิตชั่วคราว