ผู้ขายลัดเพื่อแก้ไขข้อผิดพลาดในการรักษาความปลอดภัยของ Net

ผู้ผลิตซอฟต์แวร์ทั่ว โลกกำลังป้อแป้เพื่อแก้ไขปัญหาข้อบกพร่องร้ายแรงในเทคโนโลยีที่ใช้ในการถ่ายโอนข้อมูลอย่างปลอดภัยบนอินเทอร์เน็ต

ข้อบกพร่องอยู่ในโปรโตคอล SSL หรือที่รู้จักกันดีว่าเป็นเทคโนโลยีที่ใช้สำหรับการท่องเว็บที่ปลอดภัยโดยเริ่มจาก HTTPS และช่วยให้ ผู้บุกรุกสามารถดักฟังการสื่อสารแบบ SSL (Secure Sockets Layer) ที่ปลอดภัยระหว่างคอมพิวเตอร์โดยใช้สิ่งที่เรียกว่าการโจมตีแบบแมนฮัตตัน

แม้ว่าข้อบกพร่องนี้สามารถถูกโจมตีภายใต้สถานการณ์บางอย่างเท่านั้น แต่ก็สามารถนำมาใช้เพื่อแฮ็กเข้าเซิร์ฟเวอร์ร่วมกัน โฮสติ้งเซิร์ฟเวอร์, เซิร์ฟเวอร์อีเมล, ฐานข้อมูลและแอพพลิเคชันที่มีความปลอดภัยอื่น ๆ อีกมากมายตามที่ Chris Paget ซึ่งเป็นนักวิจัยด้านความปลอดภัยได้ศึกษาปัญหานี้

" ข้อบกพร่องระดับโปรโตคอล " Paget ซึ่งเป็นหัวหน้าเจ้าหน้าที่ฝ่ายเทคโนโลยีของ บริษัท ที่ปรึกษาด้านความมั่นคงเรียกว่า H4rdwre มีเว็บเบราเซอร์เว็บเซิร์ฟเวอร์เว็บโหลดเว็บแอพพลิเคชันเว็บเซิร์ฟเวอร์เครื่องแม่ข่ายเซิร์ฟเวอร์ SQL ไดรเวอร์ ODBC โปรโตคอลแบบ peer-to-peer "

แม้ว่าผู้บุกรุกจะต้องเจาะระบบเครือข่ายของเหยื่อก่อนที่จะมีการโจมตีแบบแมนแฮนเดิล แต่ผลที่ได้จะเป็นอันตรายถึงตายโดยเฉพาะอย่างยิ่งหากใช้ในการโจมตีเป้าหมายเพื่อเข้าถึงฐานข้อมูลหรือเซิร์ฟเวอร์จดหมาย Paget กล่าวว่า

เนื่องจากมีการใช้กันอย่างแพร่หลาย SSL อยู่ภายใต้กล้องจุลทรรศน์ของนักวิจัยด้านความปลอดภัยอย่างต่อเนื่อง ปลายปีที่ผ่านมานักวิจัยพบวิธีสร้างใบรับรอง SSL ปลอมซึ่งจะได้รับความไว้วางใจจากเบราว์เซอร์ใด ๆ และในเดือนสิงหาคมนักวิจัยเปิดเผยการโจมตีใหม่ ๆ ที่อาจส่งผลต่อการเข้าชม SSL แต่แตกต่างจากการโจมตีเหล่านั้นซึ่งเกี่ยวข้องกับโครงสร้างพื้นฐานที่ใช้ในการจัดการใบรับรองดิจิทัลของ SSL ข้อผิดพลาดล่าสุดนี้อยู่ในโปรโตคอล SSL เองและจะแก้ไขได้ยากกว่ามาก

เรื่องที่ยุ่งยากเพิ่มเติมคือความจริงที่ว่าข้อผิดพลาดเกิดขึ้นโดยไม่ได้ตั้งใจ เปิดเผยข้อมูลในรายชื่อผู้รับจดหมายที่ปิดบังวันพุธซึ่งบังคับให้ผู้ขายเข้ามาแย่งชิงผลิตภัณฑ์ของตน

ปัญหานี้ถูกค้นพบใน Auguust โดยนักวิจัยจาก PhoneFactor ซึ่งเป็น บริษัท รักษาความปลอดภัยโทรศัพท์มือถือ พวกเขาทำงานมาสองเดือนที่ผ่านมากับกลุ่มผู้ค้าเทคโนโลยีที่เรียกว่า ICASI (Industry Consortium for Advancement of Security on the Internet) เพื่อประสานงานการแก้ไขปัญหาในวงกว้างสำหรับอุตสาหกรรมโดยมีชื่อว่า "Project Mogul"

แผนระมัดระวังถูกโยนลงไปยุ่งเหยิงพุธเมื่อวิศวกรของ SAP Martin Rex สะดุดข้ามข้อผิดพลาดด้วยตัวเขาเอง เห็นได้ชัดว่าไม่ทราบถึงความรุนแรงของปัญหาเขาโพสต์ข้อสังเกตของเขาในประเด็นนี้ไปยังรายการสนทนา IETF (Internet Engineering Task Force) จากนั้นนักวิจัยด้านความปลอดภัย HD Moore ได้เปิดเผยต่อสาธารณชนแล้ว

บ่ายวันพุธมีคนพูดถึงประเด็นที่ PhoneFactor ตัดสินใจที่จะเปิดเผยต่อสาธารณชน Sarah Fender, รองประธานฝ่ายการตลาดของ PhoneFactor กล่าวว่า "ในตอนนั้นเรารู้สึกเหมือนคนเลวและเรารู้สึกว่าเรามีความรับผิดชอบสำหรับคนที่รู้จักดีเช่นกัน"

Fender ไม่สามารถบอกได้ว่าใครพร้อมแล้วที่จะแก้ไข ปัญหา แต่เธอตั้งข้อสังเกตว่าจำนวนของผลิตภัณฑ์โอเพนซอร์สเป็น "กังวล" ที่จะผลักดันออกแพทช์ "ผมคิดว่าเราจะเห็นการแก้ไขบางอย่างในอนาคตอันใกล้นี้" เธอกล่าว

ICASI ไม่สามารถเข้าถึงได้เพื่อแสดงความคิดเห็นในวันพุธตอนเย็น

แม้ว่าผู้เชี่ยวชาญด้านความมั่นคงกล่าวว่าข้อบกพร่องอาจเกิดขึ้นมาหลายปีแล้ว คิดว่าจะถูกใช้ประโยชน์ในการโจมตีใด ๆ

"ในขณะที่เราพิจารณาว่าเป็นช่องโหว่ทางวัตถุ แต่ก็ไม่ใช่จุดจบของโลก" Fender กล่าว