SSL ไม่ได้ปลอดภัยอย่างที่คิด!!!

เรื่องดังเรื่องใหญ่มาอีกแล้ว ถูกเปิดเผยเมื่อไม่กี่ชั่วโมงที่ผ่านมานี้สดๆร้อนจากผลงานวิจัยของ Thai Duong และ Juliano Rizzo ว่าสามารถแฮก SSL ได้ กรรมวิธีนี้จะถูก Demo โชว์ในงาน ekoparty conference วันศุกร์นี้

เป็นการทำลายความเชื่อที่มีมาตลอดหลายปีว่า SSL ปลอดภัย ไม่สามารถแฮกได้ เหมือนกันกับกรณ๊ RSA Algorithm ที่บอกว่า Uncrackable แต่ก็ไม่รอด

แต่ก็ไม่ต้องกังวลไปนัก (เพราะจริงๆแล้วก็ไม่ค่อยมีคนกังวล ฮ่าๆๆ) แต่ก็มีความเสี่ยงสูงมาก เพราะอันตราย ลองคิดดูถ้าคุณเข้าใช้งาน E-banking ที่เป็น SSL มี Encryption 128bit ขึ้นไป แต่ข้อมูลคุณระหว่างทางนั้นสามารถ crack เพื่ออ่านได้ภายในสองนาที  Attacker สามารถใช้ข้อมูลคุณเข้าธนาคารออนไลน์ได้ทันที

แล้วจะป้องกันยังไง ผมคงแนะนำให้ update software ของเครื่องที่คุณใช้งานอยู่ให้เป็นประจำ เรื่องอื่นๆขึ้นอยู่กับการให้ความสำคัญในการใช้งาน จะเรียกง่ายๆ ก็คือต้องมี Security awareness ช่วยได้มากๆ

TLS 1.0 จาก SSL mail.yahoo.com ผมลองเมื่อกี้

ประเด็นสำคัญมันอยู่ตรงที่ TLS Transport Layer Security จากในรูปเป็น TLS 1.0 ซึ่งมีช่องโหว่นี้ ข่าวดีคือจริงๆมันมีมาตราฐานใหม่กว่าคือ TLS 1.1 เมื่อปี 2006 และ 1.2 ในปี 2008

ข่าวร้ายก็ตามรูปที่ผมไปลองมาครับ คือเวบทั่วโลกกว่า 90% ใช้ TLS 1.0 ซึ่งมีปัญหาร้ายแรงมากๆ เกินจะจินตนาการจริงๆครับ

DigiNotar ประกาศล้มละลาย

จากเหตุการณ์นี้ แฮก DigiNotar วันนี้ก็มีข่าวออกมาว่า DigiNotar ประกาศล้มละลาย  ผมเห็นข่าวแล้ว โอ้โห… สาหัสเลยนะเนี่ย อยู่ๆบริษัทถูกแฮก เกิด incident หนึ่งขึ้น ไม่นานนัก ผลพวงของสิ่งที่เกิดขึ้นก็ทำให้ ถึงกับเจ๊งเลย

 

DigiNotar เป็นบริษัทลูกของบริษัท VASCO ซึ่ง Vasco เนี่ยไปซื้อกิจการเขามาเป็นบริษัทในเครือ ที่จะรู้จักและอาจจะมีโอกาสได้ใช้ก็จะเป็นผลิตภัณฑ์ Many Factor Authentication ผมใช้คำว่า Many เลยนะ คือระบบการยืนยันตัวตนแบบหลายปัจจัยทำให้มีความน่าเชื่อถือสูงสุดว่าผู้ใช้เป็นคนที่มีสิทธิในระบบจริงๆ  คงยังนึกไม่ออกนึกถึง Token ตัวเหมือนแฟลชไดร์ฟ แล้วมีตัวเลข หรือมี encryption signature อยู่ในนั้น ไว้ให้พนักงานใช้เพื่อ Authentication เข้าสู่ระบบ อันที่มีตัวเลขจะเป็นระบบ One Time Password เป็นตัวเลขจำนวนหลายหลักวิ่งสุ่มเลขไปเรื่อยๆไม่หยุด

 

ภาพ Token จาก VASCO

 

ช่วยให้ผู้ใช้งานไม่ต้องจำรหัสผ่าน เนื่องจากเป็นรหัสผ่านใช้ครั้งเดียวแล้วทิ้ง เข้าครั้งต่อไปก็จะเป็นเลขใหม่ มันปลอดภัยเพราะจะไม่มีใครรู้รหัสผ่าน อาจจะมีคำถาม ถ้าตัวนี้มันหายไปอยู่ในมือคนอื่นล่ะ  มันมีสิ่งที่ป้องกันอีกชั้น คือ secret ของคุณเองที่จะต้องจำไว้ บางระบบสามารถให้สร้างได้ทั้งสองอัน คือทั้งรหัสผ่านและรหัสลับ เขาก็เลยเรียก Two Factor Authentication ผมเรียกเป็น Many เลยเพราะออฟชั่นเยอะ

 

ยี่ห้อดังที่คนได้จะรู้จักดีก็จะมี RSA ราคาแพงมากๆ ซึ่งที่ผมเคยเขียนไว้ว่าผมมีเรื่องจะเล่าเกี่ยวกับ RSA