พบหลุมอื่น ๆ ในพิธีสารความปลอดภัย SSL ของเว็บ

นักวิจัยด้านความปลอดภัยพบบางส่วน ข้อบกพร่องร้ายแรงในซอฟต์แวร์ที่ใช้โปรโตคอลการเข้ารหัส SSL (Secure Sockets Layer) ที่ใช้เพื่อรักษาความปลอดภัยการสื่อสารบนอินเทอร์เน็ต

ในการประชุม Black Hat ในลาสเวกัสในวันพฤหัสบดีที่ผ่านมานักวิจัยเปิดเผยจำนวนการโจมตีที่สามารถนำไปใช้ในการประนีประนอมความปลอดภัย () การโจมตีประเภทนี้สามารถทำให้ผู้บุกรุกสามารถขโมยรหัสผ่าน, จี้บัญชีธนาคารออนไลน์หรือแม้กระทั่งการผลักดันการปรับปรุงเบราว์เซอร์ Firefox ที่มีโค้ดที่เป็นอันตรายนักวิจัยกล่าวว่า

อ่านเพิ่มเติม: วิธีลบมัลแวร์จากพีซีที่ใช้ Windows ของคุณ)

ปัญหาอยู่ที่วิธีที่เบราว์เซอร์หลาย ๆ เครื่องใช้ SSL และในระบบโครงสร้างพื้นฐานคีย์สาธารณะ X.509 ซึ่งใช้ในการจัดการใบรับรองดิจิทัลที่ใช้ โดย SSL เพื่อระบุว่าเว็บไซต์น่าเชื่อถือหรือไม่

นักวิจัยด้านความปลอดภัยที่เรียกตัวเองว่า Moxie Marlinspike แสดงวิธีการสกัดกั้นการเข้าชม SSL โดยใช้สิ่งที่เขาเรียกว่าใบรับรองการสิ้นสุดการเป็นโมฆะ เพื่อให้การโจมตีของเขาทำงานได้ Marlinspike ต้องได้รับซอฟต์แวร์ของเขาในเครือข่ายท้องถิ่น เมื่อติดตั้งแล้วจะเห็นการเข้าชม SSL และแสดงใบรับรองการสิ้นสุดการโมฆะเพื่อขัดขวางการสื่อสารระหว่างไคลเอ็นต์และเซิร์ฟเวอร์ การโจมตีแบบแมนนอลในลักษณะนี้ไม่สามารถตรวจพบได้การโจมตีของ Marlinspike มีลักษณะคล้ายกับการโจมตีทั่วไปซึ่งเรียกว่าการโจมตีแบบ SQL injection ซึ่งจะส่งข้อมูลที่สร้างขึ้นมาเป็นพิเศษให้กับโปรแกรมด้วยความหวังที่จะหลอกลวงให้ ทำอะไรบางอย่างที่ไม่ควรทำ เขาพบว่าถ้าเขาสร้างใบรับรองสำหรับโดเมนอินเทอร์เน็ตของตัวเองที่มีตัวอักษรเปล่าแทนมักเป็น 0 - โปรแกรมบางโปรแกรมอาจตีความใบรับรองไม่ถูกต้อง

นั่นเป็นเพราะว่าบางโปรแกรมหยุดอ่านข้อความเมื่อเห็นอักขระ null ดังนั้นอาจมีการอ่านหนังสือรับรองที่ออกให้ www.paypal.com 0.thoughtcrime.org เป็นของ www.paypal.com

ปัญหานี้เกิดขึ้นอย่างกว้างขวาง Marlinspike กล่าวว่ามีผลต่อ Internet Explorer, ซอฟต์แวร์ VPN (virtual private network), e-mail client และ instant messaging software และ Firefox version 3

เพื่อให้เรื่องแย่ลงนักวิจัย Dan Kaminsky และ Len Sassaman ได้รายงานว่าพวกเขาค้นพบว่าโปรแกรมเว็บจำนวนมากขึ้นอยู่กับใบรับรองที่ออกโดยใช้การเข้ารหัสลับที่ล้าสมัย เทคโนโลยีที่เรียกว่า MD2 ซึ่งมีมานานแล้วถือว่าไม่ปลอดภัย MD2 ไม่ได้แตกหัก แต่อาจถูกทำลายภายในไม่กี่เดือนโดยผู้โจมตีที่กำหนด Kaminsky กล่าวว่า

อัลกอริทึม MD2 ใช้เมื่อ 13 ปีที่แล้วโดย VeriSign เพื่อลงชื่อเข้าใช้ด้วยตนเอง "หนึ่งในใบรับรองหลักใน เบราเซอร์ทุกแห่งในโลก "Kaminsky กล่าวว่า

VeriSign หยุดลงนามในใบรับรองโดยใช้ MD2 ในเดือนพฤษภาคมนี้ Tim Callan รองประธานฝ่ายการตลาดผลิตภัณฑ์ของ VeriSign กล่าวว่า

อย่างไรก็ตาม" เว็บไซต์จำนวนมากใช้รากนี้ เราไม่สามารถฆ่ามันได้จริงหรือทำลายเว็บ "Kaminsky กล่าว"

ผู้ผลิตซอฟต์แวร์สามารถบอกได้ว่าผลิตภัณฑ์ของตนไม่เชื่อถือใบรับรอง MD2; พวกเขายังสามารถตั้งโปรแกรมผลิตภัณฑ์ของตนเพื่อไม่ให้เสี่ยงต่อการถูกเลิกจ้างด้วยการเลิกจ้าง ถึงกระนั้น Firefox 3.5 เป็นเบราว์เซอร์เพียงตัวเดียวที่แก้ไขปัญหาการสิ้นสุดการบอกเลิกโมฆะนักวิจัยกล่าวว่า

นี่เป็นครั้งที่สองในครึ่งปีที่ผ่านมาที่ SSL ได้รับการตรวจสอบ ปลายปีที่ผ่านมานักวิจัยได้พบหนทางที่จะสร้างหน่วยงานออกใบรับรองโกงที่อาจส่งผลให้ใบรับรอง SSL ปลอมน่าเชื่อถือซึ่งจะได้รับความไว้วางใจจากเบราว์เซอร์ใด ๆ

Kaminsky และ Sassaman กล่าวว่าปัญหานี้เกิดขึ้นจากใบรับรอง SSL ออกที่ทำให้พวกเขาไม่ปลอดภัย นักวิจัยทุกคนเห็นพ้องกันว่าระบบ x.509 ที่ใช้ในการจัดการใบรับรอง SSL มีล้าสมัยและต้องได้รับการแก้ไข