SSL ไม่ได้ปลอดภัยอย่างที่คิด!!!

เรื่องดังเรื่องใหญ่มาอีกแล้ว ถูกเปิดเผยเมื่อไม่กี่ชั่วโมงที่ผ่านมานี้สดๆร้อนจากผลงานวิจัยของ Thai Duong และ Juliano Rizzo ว่าสามารถแฮก SSL ได้ กรรมวิธีนี้จะถูก Demo โชว์ในงาน ekoparty conference วันศุกร์นี้

เป็นการทำลายความเชื่อที่มีมาตลอดหลายปีว่า SSL ปลอดภัย ไม่สามารถแฮกได้ เหมือนกันกับกรณ๊ RSA Algorithm ที่บอกว่า Uncrackable แต่ก็ไม่รอด

แต่ก็ไม่ต้องกังวลไปนัก (เพราะจริงๆแล้วก็ไม่ค่อยมีคนกังวล ฮ่าๆๆ) แต่ก็มีความเสี่ยงสูงมาก เพราะอันตราย ลองคิดดูถ้าคุณเข้าใช้งาน E-banking ที่เป็น SSL มี Encryption 128bit ขึ้นไป แต่ข้อมูลคุณระหว่างทางนั้นสามารถ crack เพื่ออ่านได้ภายในสองนาที  Attacker สามารถใช้ข้อมูลคุณเข้าธนาคารออนไลน์ได้ทันที

แล้วจะป้องกันยังไง ผมคงแนะนำให้ update software ของเครื่องที่คุณใช้งานอยู่ให้เป็นประจำ เรื่องอื่นๆขึ้นอยู่กับการให้ความสำคัญในการใช้งาน จะเรียกง่ายๆ ก็คือต้องมี Security awareness ช่วยได้มากๆ

TLS 1.0 จาก SSL mail.yahoo.com ผมลองเมื่อกี้

ประเด็นสำคัญมันอยู่ตรงที่ TLS Transport Layer Security จากในรูปเป็น TLS 1.0 ซึ่งมีช่องโหว่นี้ ข่าวดีคือจริงๆมันมีมาตราฐานใหม่กว่าคือ TLS 1.1 เมื่อปี 2006 และ 1.2 ในปี 2008

ข่าวร้ายก็ตามรูปที่ผมไปลองมาครับ คือเวบทั่วโลกกว่า 90% ใช้ TLS 1.0 ซึ่งมีปัญหาร้ายแรงมากๆ เกินจะจินตนาการจริงๆครับ