ปัญหาการทำใบรับรองปลอมจาก DigiNotar สร้างความกังวลทั่วโลกว่าระบบใบรับรองทุกวันนี้มีความน่าเชื่อถือเพียงใด รายงานการสำรวจความเสียหายโดยบริษัท Fox IT เพื่อส่งให้กับกระทรวงมหาดไทยของเนเธอร์แลนด์ได้รายงานถึงกระบวนการที่แฮกเกอร์เข้ามาสร้างใบรับรองปลอมจำนวน 531 ใบ

เครือข่ายของ DigiNotar ภายในแบ่งออกเป็น 24 ส่วน เซิร์ฟเวอร์สำหรับสร้างใบรับรองที่ติดตั้งสมาร์ตการ์ดที่ใช้รับรองนั้นตั้งอยู่ในห้องรักษาความปลอดภัยสูงแยกออกไป

คงไม่มีใครปฏิเสธได้ครับว่า SSL คือเทคโนโลยีหนึ่งที่สำคัญมากแบบขาดเสียไม่ได้ ทั้งในด้านธุรกรรมการเงิน การส่งต่อข้อมูลความลับต่างๆ ซึ่งเหตุผลหลักคือเพื่อป้องกันการโจมตีจากเหล่าบรรดาแฮกเกอร์ แต่เมื่อไม่นานมานี้ได้มีการเปิดเผยว่า SSL เมื่อถูกใช้งานในบางสถานการณ์นั้นอาจไม่ปลอดภัยอย่างที่เคยคิดกัน

W3C เผยร่างของ Web Cryptography API โดยเป็น JavaScript API ที่ทำหน้าที่เป็นฟีเจอร์ในการเข้ารหัสและถอดรหัสข้อมูล ตัวอย่างการนำมาใช้งานเช่นการพิสูจน์ตัวตนของผู้ใช้งานผ่านทางเว็บแอพพลิเคชั่น โดยมันจะสร้างวิธีการที่ปลอดภัยยิ่งขึ้นระหว่างเบราว์เซอร์และเซิร์ฟเวอร์

อีกหนึ่งความสามารถของ API ตัวนี้คือมันสามารถนำมาประยุกต์ใช้ในการจัดการสิทธิ์ในการอ่านและเขียนข้อมูลที่ถูกเข้ารหัสบน cloud ได้และมันยังยอมรับมาตรฐานอื่นๆ ในการเข้ารหัสเพื่อใช้ในการส่งข้อมูลระหว่างเบราว์เซอร์และเซิร์ฟเวอร์นอกเหนือจาก SSL/TLS อีกด้วย

นักวิจัยด้านความปลอดภัยสองคน คือ Juliano Rizzo และ Thai Duong กำลังเตรียมนำเสนองานวิจัยด้านความปลอดภัยของ TLS ด้วยกระบวนการที่เรียกว่า CRIME ในงาน ekoparty วันที่ 21 ที่จะถึงนี้ แต่ระหว่างนี้ก็เริ่มมีการตรวจสอบว่าบั๊กความปลอดภัยนี้ได้รับการแก้ไขในเบราว์เซอร์ใดไปแล้ว และมีการรายงานออกมาว่ามันทำงานอย่างไร

บริษัท Cyberoam เป็นบริษัททำเครื่องตรวจสอบการใช้งานอินเทอร์เน็ตของพนักงานในบริษัท กระบวนการคือการบังคับให้พนักงานต้องติดตั้งใบรับรองหลัก (root CA) จากเครื่องของ Cyberoam ทำให้เครื่องนี้สามารถเข้าไปตรวจสอบการใช้งานได้ เพราะถอดรหัสที่เครื่องก่อนจะเข้ารหัสใหม่แล้วส่งไปยังตัวเว็บจริง แต่รายงานปรากฎว่า Cyberoam กลับใช้ CA ใบเดียวกันในทุกเครื่องที่ขายออกไป ทำให้ลูกค้าของ Cyberoam สามารถใช้ใบรับรองนี้ไปตรวจสอบการใช้งานเว็บในบริษัทอื่นๆ ได้ด้วย

Cyberoam ออกแพตซ์สำหรับปัญหานี้แล้ว ทำให้ตัวเครื่องจะสร้างในรับรองใหม่ทั้งหมด เมื่อเครื่องผู้ใช้ในบริษัทจะเข้าเว็บที่เข้ารหัสจะถูกเตือนว่าใบรับรองไม่น่าเชื่อถือ ทำให้ผู้ใช้ทุกคนต้องเพิ่มใบรับรองใหม่เข้าไปในเครื่องก่อนจึงใช้งานต่อไปได้

Johnathan Nightingale ผู้บริหารระดับสูงของ Mozilla ให้ข้อมูลทางอีเมลกับ InfoWorld ว่าจะเริ่มทดสอบการเข้ารหัส SSL/HTTPS สำหรับการค้นกูเกิลจากช่องค้นหาของ Firefox Nightly ในเร็วๆ นี้

ถ้าทาง Mozilla ไม่พบปัญหาอะไร ฟีเจอร์นี้จะถูกผนวกเข้ามาใน Aurora และ Beta ตามมา ก่อนจะเข้ามายัง Firefox รุ่นหลัก โดยเริ่มจากภาษาอังกฤษก่อน

เหตุผลของ Mozilla คือประเด็นด้านความปลอดภัยและความเป็นส่วนตัวของผู้ใช้ ซึ่งจริงๆ แล้วทาง Mozilla อยากเปิดฟีเจอร์นี้มานานแล้ว แต่ในช่วงแรก กูเกิลยังไม่พร้อมรับทราฟฟิก HTTPS จากผู้ใช้ Firefox

ถ้า Firefox เปิดใช้ฟีเจอร์นี้เป็น default ก็จะกลายเป็นเบราว์เซอร์ตัวแรกที่ใช้ฟีเจอร์นี้ โดยตอนนี้ Chrome ยังเปิดใช้เฉพาะผู้ใช้ที่ล็อกอินผ่านตัวเบราว์เซอร์เท่านั้น

ข่าวนี้ออกจะยากสักหน่อย แต่เป็นสำหรับผู้ที่ต้องระวังเรื่องความปลอดภัยข้อมูลมากๆ คือเมื่อเดือนที่ผ่านมา มีการตีพิมพ์งานวิจัยว่าในอินเทอร์เน็ตนั้น ใบรับรอง SSL จำนวนหนึ่งประมาณ 2 ใบในทุกๆ 1,000 ใบสามารถถูกเจาะได้โดยง่าย โดยมีสาเหตุมาจากตัวสุ่มเลขหลายๆ ครั้งมีความสามารถในการสุ่มไม่เพียงพอ ทำให้เกิดการใช้จำนวนเฉพาะ (prime number) ที่ซ้ำกันในใบรับรองหลายใบ ทำให้การแฮกข้อมูลที่เข้ารหัสด้วยใบรับรองเหล่านี้ทำได้ง่ายมาก

หลังจากครั้งล่าสุดที่อิหร่านบล็อค HTTPS ทั้งประเทศ เมื่อวันที่ 12/02/12 พอวันนี้ 21/02/12 ก็เกิดการบล็อคอินเทอร์เน็ตขึ้นอีกครั้ง โดยคราวนี้แม้แต่ VPN ก็โดนไปกับเขาด้วยครับ

หลังจากทวิตเตอร์และเฟชบุ๊กล้วนมีตัวเลือกให้เปิด HTTPS ตลอดการใช้งานได้ ตอนนี้ทางฝั่งทวิตเตอร์ก็เปิดตัวเลือกนี้ให้กับผู้ใช้ทุกคนแล้ว โดยหลังจากนี้ทุกคนที่ต้องการเชื่อมต่อแบบไม่เข้ารหัสจะต้องปิดตัวเลือกนี้ด้วยตัวเอง

แนวทางนี้เป็นแนวทางเดียวกับจีเมลที่ค่อยๆ ปรับมาใช้ HTTPS ในแบบเดียวกัน

ด้วยแนวทางนี้รัฐบาลหลายๆ ประเทศคงมีปัญหากับการตรวจจับข้อความในทวิตเตอร์ตามมาเช่นเดียวกับบริการที่เข้ารหัสตลอดเวลาอื่นๆ เราคงต้องรอดูกันว่าแนวทางการเปิดให้รัฐบาลต่างๆ เข้าถึงข้อมูลที่เข้ารหัสเหล่านี้จะเป็นอย่างไร

ที่มา - Twitter

กลุ่มผู้ใช้ Tor รายงานว่ารัฐบาลอิหร่านได้บล็อคทราฟฟิกอินเทอร์เน็ตส่วนที่เป็น HTTPS/SSL ทำให้เว็บไซต์ที่เชื่อมต่อผ่าน HTTPS ไม่สามารถใช้งานได้ ไม่ว่าจะเป็น Google, Yahoo, Facebook อะไรก็ตามที่ผ่าน HTTPS ย่อมโดนบล็อคทั้งหมด

ทางการอิหร่านไม่ได้ให้ข้อมูลใดๆ ในเรื่องนี้ ซึ่งสื่อตะวันตกคาดการณ์ว่าการบล็อค HTTPS ครั้งนี้เป็นการทดลองระบบเซ็นเซอร์อินเทอร์เน็ตของประเทศ (ลักษณะเดียวกับ Great Firewall ของจีน) ที่ทางรัฐบาลเคยประกาศไว้ว่าจะทำ และรอบนี้น่าจะทดสอบบล็อคเป็นการชั่วคราวเท่านั้น

ปรกติเมื่อเกิดเหตุการณ์ผิดพลาดกับใบรับรอง SSL ไม่ว่าเกิดจากสาเหตุใด ทางผู้ออกใบรับรอง (Certification Auhtority - CA) จะออกรายการยกเลิกใบรับรอง (Certificates Revocation List - CRL) เพื่อให้เบราเซอร์นำไปตรวจเทียบว่าเจอใบรับรองในรายการหรือไม่ ระบบนี้ใช้กันทั่วไปในทุกๆ ระบบที่ใช้ SSL ไม่จำกัดเฉพาะเบราเซอร์ แต่ปัญหาคือการติดต่อกับ CA บางครั้งอาจจะล้มเหลว ระบบ SSL นั้นออกแบบให้ยอมให้ใช้งานใบรับรองที่ได้รับมาไปก่อนได้แม้จะติดต่อขออัพเดตรายการยกเลิกไม่ได้ ทำให้ผู้โจมตีอาจจะอาศัยกระบวนการเพื่อสกัดไม่ให้เบราเซอร์ติดต่อกับ CA ได้ซึ่งไม่ยากนัก

VeriSign บริษัทด้าน DNS, ความปลอดภัยออนไลน์ และใบรับรองดิจิทัลรายใหญ่ของโลก (ปัจจุบันธุรกิจใบรับรองและ SSL ขายให้ Symantec ไปแล้ว) โดนแฮ็กและขโมยข้อมูลมาตั้งแต่ปี 2010

ข้อมูลนี้ถูกเปิดเผยหลังจากคณะกรรมการกำกับหลักทรัพย์ของสหรัฐ (SEC) ออกกฎใหม่ให้บริษัทในตลาดหลักทรัพย์ต้องรายงาน "การโดนเจาะระบบ" ให้นักลงทุนทราบด้วย ซึ่ง VeriSign ยื่นเอกสารนี้ในเดือนตุลาคมปีที่แล้ว และรอยเตอร์เพิ่งค้นพบข้อมูลนี้ในเอกสารกว่า 2,000 ชิ้นที่ SEC นำมาเผยแพร่

DigiCert Sdn. Bhd เป็นหน่วยงานออกใบรับรองแบบตัวกลาง (Intermediate CA) ที่ได้รับการรับรองจาก Entrust และ Verizon มาอีกที แต่หลังจากพบการออกใบรับรองอย่างหละหลวมหลายใบจนมีการนำใบรับรองเหล่านั้นไปโจมตีผู้อื่น ทางมอซซิลล่าและไมโครซอฟท์ก็ประกาศยกเลิกสถานะของ CA นี้

ก่อนหน้านี้กูเกิลเคยเปิดหน้าค้นหาแบบเข้ารหัสผ่านทาง encrypted.google.com มาก่อนแล้ว แต่หลังจากนี้กูเกิลก็ระบุว่าแผนการคือเว็บค้นหาทั้งหมดสำหรับผู้ใช้ที่ล็อกอินกับ Google Account จะกลายเป็น HTTPS โดยผู้ใช้ไม่ต้องทำอะไรเพิ่มเติม

ผู้ใช้ที่ไม่ได้ล็อกอินสามารถใช้ https://www.google.com เพื่อค้นหาแบบเข้ารหัสได้เช่นกัน หรือหากกลัวลืมก็ควรใช้ SSL enforcer ทั้งหลายเพื่อให้แน่ใจว่าการค้นหาจะเข้ารหัสทุกครั้ง

ที่มา - Google Blog

Wikimedia Foundation องค์กรแม่ของ Wikipedia ประกาศว่าเว็บไซต์ทั้งหมดในเครือ (ได้แก่ Wikipedia, Wiktionary, Wikisource, Wikiquote, etc.) รองรับการเรียกข้อมูลผ่านโพรโตคอล HTTPS แล้ว ช่วยให้ผู้ใช้เว็บไซต์เหล่านี้ปลอดภัยมากขึ้น

ก่อนหน้านี้ Wikimedia Foundation เคยมีเว็บ secure.wikimedia.org ซึ่งมีข้อจำกัดทางเทคนิคหลายประการ ตอนนี้เปลี่ยนมาเป็น URL แบบปกติแต่ใช้ https:// แทน ช่วยให้ระบบความปลอดภัยและการใช้งานสมบูรณ์ขึ้น

ตอนนี้เว็บใหญ่ๆ หลายแห่งของโลกไม่ว่าจะเป็น Google, Facebook, Twitter, Hotmail, Foursquare เปิดใช้ HTTPS กันหมดแล้ว (ติดตามอ่านได้จากข่าวหมวด SSL) อย่าลืมใช้งานเพื่อความปลอดภัยของข้อมูลของท่าน

ข่าวใบรับรอง SSL ถูกเจาะในรูปแบบต่างๆ นั้นเริ่มเกิดขึ้นบ่อยครั้งในช่วงหลัง เพราะเว็บต่างๆ ก็เริ่มใช้ HTTPS มากขึ้นเรื่อยๆ เช่นกรณีล่าสุดของ DigiNotar ทำให้ EFF (Electronic Frontier Foundation) อัพเดตปลั๊กอิน HTTPS Everywhere สำหรับไฟร์ฟอกซ์ที่แต่เดิมจะทำหน้าที่เลือกบริการเข้ารหัสในกรณีที่เว็บมีบริการทั้งแบบเข้ารหัสและไม่เข้ารหัส มาเป็นการตรวจสอบใบรับรองการเข้ารหัสด้วยว่าปลอดภัยดีหรือไม่

โครงการนี้ต่อยอดมาจากโครงการ EFF SSL Observatory ที่ตั้งข้อสังเกตว่ามีหน่วยงานที่ไม่น่าเชื่อถือจำนวนหนึ่งมีสถานะเป็นหน่วยงานออกใบรับรองได้ และเบราเซอร์หลักๆ ก็เชื่อใบรับรองจากหน่วยงานเหล่านี้อีกด้วย

นักวิจัยด้านความปลอดภัยสองคนคือ Juliano Rizzo และ Thai Duong ได้นำเสนองานวิจัยที่งาน Ekoparty สาธิตความเป็นไปได้ในการเจาะเว็บที่มีการรวมโค้ดจากภายนอกที่ไม่ได้เข้ารหัส SSL แม้ตัวเว็บหลักจะส่งข้อมูลผ่าน SSL ก็ตาม

เทคนิคนี้อาศัยการส่งจาวาสคริปต์ปลอมด้วยการดักกลาง (man in the middle) ระหว่างการโหลดจาวาสคริปต์จากเว็บภายนอกที่ไม่ได้เข้ารหัส ตัวจาวาสริปต์นั้นจะส่งข้อความที่แฮกเกอร์รู้ล่วงหน้า (known text) กลับไปยังเว็บหลัก เมื่อแฮกเกอร์จับข้อความแบบเข้ารหัสแล้วจึงนำมาเข้ากระบวนการย้อนกลับ เพื่อหากุญแจเข้ารหัสของ session นั้นๆ ได้

หลังจากใบรับรอง SSL ของกูเกิลถูกปลอมได้สำเร็จ บริษัทผู้ออกใบรับรองคือ DigiNotar ก็ถูกสอบสวนอย่างหนักรายงานหลายฉบับแสดงถึงความหละหลวมภายใน (รายงานจากไฟร์ฟอกซ์, รายงานจาก Fox-IT ตัวแทนรัฐบาล) ความน่าเชื่อถือของ DigiNotar ถูกทำลายอย่างรวดเร็วส่งผลให้ลูกค้าโดยเฉพาะรัฐบาลเนเธอร์แลนด์เองต้องประกาศยกเลิกใบรับรองทั้งหมด ธุรกิจที่ถูกทำลายจ

ปัญหาจาก DigiNotar ดูจะยังไม่จบง่ายๆ เมื่อแฮกเกอร์ที่แฮก Comodo ได้โพสต์ข้อความลง PasteBin ว่าเขาเป็นผู้แฮก DigiNotar เองโดยอาศัยบั๊กที่ยังไม่ได้แพตซ์ (zero day bug) จำนวนมากพร้อมกับประกาศว่าเขายังสามารถเข้าถึง CA อื่นๆ เช่น GlobalSign

ทาง GlobalSign หลังจากได้รับคำเตือนนี้ก็หยุดให้บริการออกใบรับรองทันทีและดำเนินการตรวจสอบภายใน แม้จนตอนนี้ยังไม่มีรายงานว่าพบใบรับรองปลอมจาก GlobalSign ก็ตาม

หลังข่าว DigiNotar ซึ่งเป็น root CA ที่ได้รับการยอมรับในเบราเซอร์ทั้วไปถูกโจมตีจนกระทั่งออกใบรับรองปลอมให้กับแฮกเกอร์ไปได้นั้น รัฐมนตรีกระทรวงมหาดไทยของเนเธอร์แลนด์ก็ออกมาสั่งให้หน่วยงานรองรัฐทั้งหมดยกเลิกใบรับรองที่ได้มาจาก DigiNotar ทั้งหมด และเตรียมการขอใบรับรองใหม่จากบริษัทอื่น

นอกจากนี้ Piet Hein Donner รัฐมนตรีกระทรวงมหาดไทยยังออกมาเตือนประชาชนว่าหากเบราเซอร์ขึ้นคำเตือนว่าเว็บไซต์อาจจะไม่ปลอดภัย ประชาชนก็ไม่ควรเข้าใช้งานเว็บไซต์นั้นๆ

เนื่องจากวันนี้มีข่าวกูเกิลถูกโจมตี เลยอยากพูดถึงความเปลี่ยนแปลงด้านความปลอดภัยหลายๆ เรื่องพร้อมๆ กันในข่าวเดียวเนื่องจากค่อนข้างเกี่ยวเนื่องกัน

เริ่มจากทางกูเกิลได้อัพเดตเรื่องนี้ว่าบริษัทได้รับรายงานว่ามีความพยายามจะโจมตีแบบ man-in-the-middle (MITM) บ้างแล้ว โดยเป้าหมายหลักคือกลุ่มผู้ใช้ในอิหร่าน อย่างไรก็ดีกูเกิลยืนยันว่าผู้ใช้ Chrome นั้นปลอดภัยจากการโจมตีครั้งนี้ และฝั่งไฟร์ฟอกซ์เองก็รีบออกอัพเดตเพื่อลดผลกระทบของการโจมตี พร้อมกับออกคำแนะนำสำหรับการยกเลิกใบรับรองของ DigiNotar ในกรณีที่ไม่ต้องการอัพเดต

แฮกเกอร์สามารถขอใบรับรอง SSL จากผู้ให้บริการรับรองในเนเธอร์แลนด์ที่ชื่อว่า DigiNotar ให้กับโดเมน *.google.com เป็นผลสำเร็จ ทำให้แฮกเกอร์ที่ถือใบรับรองนี้สามารถปลอมตัวเป็นกูเกิลและดักฟังหรือดัดแปลงข้อมูลได้โดยเบราเซอร์ไม่มีคำเตือนใดๆ

ยังไม่มีข้อมูลจากทาง DigiNator ว่าการออกใบรับรองอย่างไม่ถูกต้องนี้เป็นความผิดพลาดของการยืนยันเจ้าของโดเมน หรือแฮกเกอร์แฮกเอาจากระบบออกใบรับรองโดยตรง รวมถึงไม่มีการยืนยันว่ามีโดเมนอื่นๆ ที่ถูกปลอมใบรับรองแบบเดียวกันหรือไม่

ใบรับรองถูกโพสไว้ที่ Pastebin.com และภายในไม่กี่วันนี้ระบบปฎิบัติการต่างๆ น่าจะออกอัพเดตออกมาเมื่อยกเลิกใบรับรองเหล่านี้ ดังนั้นควรรีบอัพเดตเพื่อความปลอดภัย

HTTPS Everywhere เป็นส่วนเสริมของ Firefox ที่ช่วยให้เราเข้าเว็บผ่านโพรโตคอลเข้ารหัส HTTPS เพื่อความปลอดภัยที่ดีขึ้น ส่วนเสริมนี้ออกมาตั้งแต่ปีที่แล้ว (ข่าวเก่า)

โครงการ HTTPS Everywhere เป็นความร่วมมือของมูลนิธิ Electronic Frontier Foundation กับ Tor Project และมันเดินทางมาถึงรุ่น 1.0 แล้ว

การเปลี่ยนแปลงที่สำคัญในรุ่น 1.0 คือรองรับเว็บไซต์เพิ่มขึ้นอีกมาก (ตัวเลขของ EFF บอกว่ามากกว่า 1,000 เว็บไซต์) ผู้ที่ใช้ Firefox สามารถติดตั้งได้จากลิงก์แรกสุดของข่าวครับ

ที่มา - EFF

Chet Wisniewski นักวิจัยด้านความปลอดภัยจากบริษัท Sophos ออกเตือนผู้ใช้อุปกรณ์ iOS ให้รีบอัพเกรด iOS ไปยังรุ่นล่าสุดเนื่องจากมันได้รับการแก้บั๊ก SSL ทำให้ผู้ใช้ปลอดภัยจากการถูกดักฟังข้อมูลที่เข้ารหัส

บั๊กรูปแบบเดียวกันนี้ถูกค้นพบตั้งแต่ปี 2002 ในวินโดวส์โดย Moxie Marlinspike ปัญหาอยู่ที่ตัวอ่านใบรับรอง SSL ผิดพลาดในการตรวจสอบเงื่อนไงบางอย่างทำให้ผู้โจมตีสามารถปลอมใบรับรอง SSL สำหรับโดเมนใดๆ ก็ได้

แอปเปิลระบุว่านักวิจัยสองคนคือ Paul Kehrer จาก Trustwave และ Gregor Kopf จาก Recurity Lab เป็นคนรายงานข้อผิดพลาดดังกล่าว

StartSSL ผู้ให้บริการจดทะเบียนใบรับรอง SSL (Certification Authority) ที่ให้บริการฟรีระบุว่าระบบของตัวเองถูกโจมตีจนต้องหยุดให้บริการจดทะเบียนใบรับฟรีอย่างไม่มีกำหนด แต่ยืนยันว่าไม่มีใบรับรองปลอมหลุดออกไปเหมือนกรณีบริษัท Comodo

StartSSL ยืนยันว่าไม่มีกรณีที่น่ากลัวเช่นใบรับรอง intermediate CA หรือใบรับรองปลอมของโดเมนอื่นๆ หลุดไปจากการโจมตีครั้งนี้เนื่องจากระบบการรับรองนั้นแยกออกไปไม่เชื่อมต่อกับอินเทอร์เน็ต

ที่น่าสงสัยคือ StartSSL ไม่บอกเลยว่ามีอะไรถูกโจมตีไปบ้างและผู้ใช้ต้องระวังตัวกันอย่างไร