Tags:
Node Thumbnail

ระบบรักษาความปลอดภัยในอินเทอร์เน็ตทุกวันนี้อาศัยการเชื่อใจเป็นทอดๆ จากหน่วยงานออกใบรับรองความปลอดภัยกว่าสองร้อยหน่วยงานทั่วโลก งานวิจัยล่าสุดแสดงหลักฐานว่ามีความพยายามจากรัฐบาลที่จะเข้ามาแทรกแซงหน่วยงานเหล่านี้เพื่อดักจับข้อมูลที่ได้รับการเข้ารหัส โดยที่ผู้ใช้ไม่สามารถรับรู้ได้ว่าเกิดความผิดปรกติในการเชื่อมต่อ

เนืื่องจากระบบรักษาความปลอดภัยที่เชื่อใจ root CA นั้นทำให้เบราเซอร์ไม่เตือนผู้ใช้เมื่อมีใบรับรองที่ได้รับความเชื่อใจจากเบราเซอร์ แต่คำถามที่เกิดขึ้นคือ root CA เหล่านี้เชื่อใจได้มากเพียงใด เมื่อบริษัทที่ให้บริการเช่น VeriSign นั้นกลับมีหน่วยงานให้บริการการดักจับข้อมูลตามการร้องขอจากรัฐบาล รวมทั้ง CA บางหน่วยงานกลับสามารถถูกกดดันจากรัฐบาลเช่น Etisalat บริษัทสื่อสารใน UAE และเป็น CA ระดับกลางกลับให้ความร่วมมือกับรัฐบาลที่จะใส่ซอฟต์แวร์ดักจับข้อมูลอีเมลจากผู้ใช้ Blackberry ผ่านทาง Etisalat

ทีมงานวิจัยกำลังพัฒนาปลั๊กอินทดสอบให้กับไฟร์ฟอกซ์เพื่อตรวจจับความผิดปรกติของใบรับรอง รวมถึงการตั้งข้อสงสัยเมื่อใบรับรองมาจากบางประเทศที่ถูกตั้งข้อสงสัยว่าหน่วยงานออกใบรับรองอาจจะถูกกดดันจากรัฐบาลได้

งานวิจัยฉบับเต็มอยู่หลัง break

ที่มา - Beta News

Get latest news from Blognone

Comments

By: jingjingmaple
ContributorWindows PhoneAndroidUbuntu
on 30 March 2010 - 07:40 #165718

แล้วก็อ้างว่า "เพื่อความมั่นคงของประเทศ(รัฐบาล)" ?

By: McKay
ContributorAndroidWindowsIn Love
on 30 March 2010 - 08:04 #165723
McKay's picture

ไม่เห็นด้วยกับการดักจับข้อมูล (แม้จะปฏิเสธไม่ได้ว่ามันมีอยู่ก็ตาม)


Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)

By: platalay
iPhoneWindows PhoneAndroidWindows
on 30 March 2010 - 08:21 #165724

เรื่องดักจับข้อมูลกับรัฐบาลนี่นะ ไม่เลิกไม่ลากันซะที

ปล.ของไทยอย่าคิดว่าเค้าไม่ดักนะ ลองสังเกตุดีๆที่ status bar เข้าเวปบางทีมันจะมีส่งข้อมูลไป ICT แม้กระทั่ง gmail ก็ยังโดน

By: DrRider
WriterAndroid
on 30 March 2010 - 08:38 #165727 Reply to:165724
DrRider's picture

ส่งไป แต่อาจจะไม่ทำอะไร เพราะผู้บริหาร ICT โง่เกินกว่าจะเอาข้อมูลไปใช้ :p


We need to learn to forgive but not forget...

By: nidlittle
iPhoneWindows
on 30 March 2010 - 10:03 #165738

Who watches the watchmen?

By: jiramot
Android
on 30 March 2010 - 10:49 #165749

ผมกลับมองว่าส่งไปอ่ะก็ชั่งเหอะ แต่อย่า block เวปมั่วๆละกัน

เวปที่สมควรผมก็ไม่ว่าหรอกครับ วันดีคืนดีมา block google ไปเนี่ยทำอะไรไม่ถูกเลย

จิงๆผมอยากให้เค้าระบุตัวตนทุกคนที่เล่น Internet ได้ด้วยซ้ำน่ะครับ จะได้ตามจับได้ง่ายๆเวลาใครไปโกงอะไร ทางอินเตอร์เน็ต เช่นการดานข่าว ห้องซื้อขาย

By: UltimaWeapon
Windows PhoneRed HatWindowsIn Love
on 30 March 2010 - 11:05 #165757 Reply to:165749
UltimaWeapon's picture

ระบุ ผมยอมรับได้ แต่เรื่องดัก ผมยอมรับไม่ได้ ต่อให้เป็นรัฐบาลก็ตาม

By: lew
FounderJusci's WriterMEconomicsAndroid
on 30 March 2010 - 11:34 #165770 Reply to:165749
lew's picture

การระบุตัวตน เป็นคนละเรื่องกับดักจับข้อมูลครับ ทั้งสองเรื่องอยู่ด้วยกันได้ บางประเทศเลือกที่จะมีข้อกำหนดเรื่องการระบุตัวตน (เช่นเกาหลี) แต่ยังรับประกันความลับของข้อมูล เช่นห้ามดักจับ ฯลฯ ส่วนบางประเทศรับประกันความลับของตัวตนเป็นสิทธิไปด้วย

เรื่องการระบุตัวตนสามารถทำได้ผ่านการตั้งศูนย์ยืนยันตัวตน, มีกฏหมายบังคับให้มีการตรวจสอบ แต่ไม่ต้องดักจับครับ


lewcpe.com, @wasonliw

By: nblue
Android
on 30 March 2010 - 12:02 #165790
nblue's picture

ยังไม่ได้อ่าน paper ให้ละเอียด แต่ก็ยังไม่ค่อยเข้าใจว่าการไปตุกติกกับ root ca มันจะทำให้ได้ข้อมูลที่เข้ารหัสไปได้ยังไง เพราะ root ca มันเกี่ยวกับการยืนยันตัวตน ยังไงเรื่องของการเข้ารหัสก็ยังเป็นระหว่างเครื่องต่อเครื่องอยู่ดี

ยกเว้นรัฐบาลจะเล่นหนัก คือปลอมตัวเป็นบุคคลปลายทางโดยบังคับให้ ca ออก cer ปลอมให้ ซึ่งแบบนั้นมันก็ผิดหนักมากๆ ถ้าจะทำก็น่าจะเป็นบางประเทศ ที่ระบอบการปกครองเขาเอื้อจริงๆ แต่ดูแล้วมันไม่ต่างกับผู้ก่อนการร้ายเลย ถ้าแบบนี้หน่ะ

By: lew
FounderJusci's WriterMEconomicsAndroid
on 30 March 2010 - 12:24 #165796 Reply to:165790
lew's picture

ใน paper มีบอกรายละเอียดครับ


lewcpe.com, @wasonliw

By: nthree
Blackberry
on 31 March 2010 - 01:39 #165971

เห็นด้วยกับการดักจับข้อมูล แต่อย่าบล๊อกเว็บมั่วๆ จะดีกว่า