DROWN ความเปราะบางทางอินเตอร์เน็ตประเภทใหม่ – The Official Netway Communication Blog
  • Security» DROWN ความเปราะบางทางอินเตอร์เน็ตประเภทใหม่

DROWN ความเปราะบางทางอินเตอร์เน็ตประเภทใหม่

DROWN คือปรากฏการณ์ใหม่ในวงการความปลอดภัย โดยเกี่ยวข้องกับความเปราะบางที่อยู่ใน SSL/TLS protocols และสามารถถอดรหัส HTTPS Connections ระหว่าง internet server และ end user ได้ อย่างที่เราทราบกัน HTTPS คือการสร้างช่องทางแบบเข้ารหัสในช่วงของการทำ transaction เพื่อไม่ให้ถูกรบกวนโดย hacker ต่างๆ รวมทั้ง HTTPS ยังใช้กับการสื่อสารทางอีเมลตลอดจนการทำธุรกรรมออนไลน์ต่างๆ ด้วย

ความเปราับางดังกล่าวเกิดขึ้นในตอนที่ Hacker สามารถบังคับให้ web server ใช้เวอร์ชั่นเก่าของ SSL/TLS ที่รู้จักกันในชื่อ SSLv2 ซึ่งมีความปลอดภัยน้อยมาก ปัจจุบัน SSLv2 ไม่มีการใช้งานกันแล้ว แต่ web server หลายตัวยังคงรับ SSLv2 กันอยู่ ทุกครั้งที่มีการสร้าง connection ดดยใช้ SSLv2 จะพบว่ามีการรั่วไหลของข้อมูลจำนวนหนึ่งซึ่งเป็นข้อมูลเกี่ยวกับ encryption key ของเซิร์ฟเวอร์ และเมื่อมีการเชื่อมต่อหลายๆ รอบโดยใช้ SSLv2 นี้ hacker จะสามารถได้รับข้อมูล encryption key ทั้งหมดครบถ้วนและสามารถถอดรหัส HTTPS ได้

DROWN นี้ย่อมาจาก Decrypting RSA with Obsolete and Weakened eNcryption ซึ่งค้นพบโดยทีมนักวิจัยจาก Tel Aviv University, Münster University of Applied Sciences, the Horst Görtz Institute for IT security, Ruhr University Bochum, the University of Pennsylvania, the Hashcat Project, the University of Michigan และ the OpenSSL project

ผลกระทบ

ประมาณการณ์กันว่า HTTPS Server จำนวนร้อยละ 33 ทั่วโลกตกเป็นเหยื่อของการโจมตีดังกล่าว เทียบเท่ากับจำนวนเซิร์ฟเวอร์ประมาณ 11 ล้านเครื่องซึ่งส่วนใหญ่ใช้ทำ web server และ email services

แต่โชคยังดีที่ยังไม่พการโจมตีแบบ DROWN อย่างรุนแรง แต่ก็ยังดีกว่ารอให้เรื่องร้ายเกิดขึ้น ข้อแนะนำคือ แนะนำให้เจ้าของ web server ที่ใช้งานซอฟต์แวร์ทำการอัพเดทวอฟต์แวร์ภายในทั้งหมด หากไม่พบว่าต้องมีการอัพเดทอะไร ก็ให้ทำการตั้งค่า disable ตัว SSLv2 ได้เลยทันที

อย่างไรก็ดีการโจมตีดังกล่าวต้องอาศัยทักษะขั้นสูง ซึ่ง Hacker ส่วนใหญ่ยังไม่อาจทำได้ดีเท่าที่ควร ทีมงานที่ค้นพบ DROWN กล่าวว่าการโจมตีดังกล่าวในช่วงเวลา 8 ชั่วโมงต้องใช้งบประมาณถึง 440 เหรียญ

ซอฟต์แวร์ที่ควรได้รับการอัพเดท

  • OpenSSL
  • Microsoft IIS (Windows Server)
  • Network Security Services (NSS)
  • Apache
  • Postfix
  • Nginx

ที่มา: http://www.symantec.com/connect/blogs/drown-vulnerability-could-sink-secure-internet-connections

Jatturaput Nilumprachart

Extended visions into technology, business, strategies and more about internationalization. Ready to share and join a community where knowledge is a precious stone for growth and sustainability.

You may also like...