หลังจากมัลแวร์ Flame ออกอาละวาดไปทั่วโลก สร้างความสะพรึงให้กับผู้ใช้จำนวนมากเพราะเป็นครั้งแรกที่มีการสร้างมัลแวร์ที่มีความซับซ้อนสูงมาก มีโค้ดขนาดใหญ่ และมีการโจมตีอย่างเจาะจง รวมถึงความสามารถในการอัพเกรดตัวเองได้ด้วย โดยอาศัยช่องโหว่หลังเพียงช่องเดียวคือการที่ไมโครซอฟท์ยอมรับใบรับรองที่เซ็นด้วยอัลกอริธึ่ม MD5 วันนี้ไมโครซอฟท์ก็ประกาศอุดรูรั่วนี้แล้ว

ภายใต้การอัพเดตนี้ วินโดวส์จะไม่ยอมรับใบรับรองที่มีขนาดกุญแจเล็กกว่า 1024 บิต อีกต่อไป อย่างไรก็ตาม ยังไม่ชัดเจนว่าไมโครซอฟท์จะเลิกรับรองการลงลายเซ็นด้วย MD5 หรือไม่

ลายเซ็นอิเล็กทรอนิกส์นั้นที่จริงแล้วเป็นค่าแฮตซ์ (Hash) ของข้อมูลใบรับรองทั้งหมด แล้วเข้ารหัสด้วยกุญแจส่วนตัวของผู้ลงนาม หากต้องการยืนยันก็สามารถใช้กุญแจสาธารณะนำมาถอดรหัสดูว่าได้ค่าตรงกับค่าแฮตซ์จริงหรือไม่ แต่หากสามารถปลอมค่าแฮตซ์ได้เสียแล้วก็สามารถปลอมใบรับรองทั้งใบได้

MD5 นั้นเป็นฟังก์ชั่นแฮตซ์ที่ได้รับความนิยมอย่างสูงเพราะทำงานได้เร็ว และใช้ได้ดีพอสมควรในการตรวจสอบไฟล์ที่เสียหายจากความผิดพลาดในการส่งข้อมูล แต่มันถูกตรวจสอบและมีการเปิดเผยมาตั้งแต่ปี 1993 แล้วว่ามันจุดอ่อนทำให้แฮกเกอร์สามารถปลอมค่าแฮตซ์ได้ แต่การที่ลายเซ็นมีความยาวถึง 512 บิตการปลอมแปลงก็ยังทำได้ยากมาก คาดว่าหากใช้ EC2 ในการปลอมลายเซ็นนี้จะต้องใช้ต้นทุนตั้งแต่ 200,000 ถึง 2,000,000 ดอลลาร์ หรือไม่เช่นนั้นก็ต้องใช้นักวิเคราะห์การเข้ารหัสที่มีความเชี่ยวชาญสูง ซึ่งน่าจะเป็นองค์กรขนาดใหญ่หรือรัฐบาลเท่านั้นที่จะมีทรัพยากรขนาดนี้

สไลด์นำเสนอเรื่องการปลอมใบรับรองของ บริษัท Trail Of Bits โดย Alex Sotirov อธิบายกระบวนการทั้งหมดไว้ค่อนข้างละเอียด แนะนำให้ผู้สนใจได้อ่านกัน

ที่มา - TechNet, TechWorld