Archive for the ‘Vulnerability’ Category

ใช้ SSL ให้ปลอดภัยยิ่งขึ้น

Posted: 25 September 2011 in SSL, Vulnerability

:::::::ช่วงนี้น้ำท่วมหนัก ท่วมสูง 2-3 เมตร นาข้าว สวน ไร่ เกลี้ยงเลย อาจจะหายไปสักพักใหญ่ ขอตัวไปแก้ปัญหาเรื่องน้ำท่วมก่อน :::::::

 

หลังจากหายไปทดลองแก้ไข ให้การใช้งานเว็บให้ปลอดภัยขึ้น ภายหลังจากที่มีนักวิจัยมา Demo ให้ดูถึงความไม่ปลอดภัยของ SSL ผมจึงหาทางแก้ไขด้วยตัวเองชั่วคราว ซึ่งจริงๆแล้วมันก็มีอยู่แล้วและใช้ได้ เพียงแต่ไม่รู้และไม่ได้สนใจมัน เข้าเรื่องกันเลย คุณใช้ Browser ค่ายไหนอยู่ครับ เข้าไปเปลี่ยนค่าซะนะครับ ผมยกตัวอย่างวิธีเข้าไปแก้ไขเป็น IE นะครับ

 

1. เปิด IE ขึ้นมาก็เข้าไปที่เมนู Tools >> Internet Options

2. เลือก Advance Tab เลื่อนลงไปด้านล่างสุด

3. สังเกตุแถวๆ SSL, TLS นะครับ เลือก TLS 1.0 ออกไปครับ

4. ดูกันอีกนิดนึง เลือก SSL 2.0, SSL 3.0, TLS 1.1, TLS 2.0 ให้มี (ส่วนตัวผมเลือกให้มีเฉพาะ SSL 3.0 ด้วยซ้ำ)

5.กด OK ก็เรียบร้อยแล้วครับ

 

 

ผมทดลองเข้าเว็บ Mail.yahoo.com เหมือนเดิมที่เคยเข้า ผลลัพธ์ก็ตามรูปที่เห็น ลองเทียบดูกับของเดิมได้ครับ เห็นไหมว่ามันใช้ SSL 3.0 ส่วน TLS 1.0 ที่มีปัญหาเราเลือกออกไปแล้ว ไม่ใช้งานมัน ผมยังลองใช้งานไปได้ไม่ถึงอาทิตย์ ยังไม่เจอว่าใช้งานเว็บไหนแล้วมีปัญหาก็ใช้กันไปครับ เพื่อความปลอดภัยที่มากขึ้น

(จริงๆแล้วมันมีวิธีที่ปลอดภัยกว่านี้ แต่มันอาจจะลำบากสำหรับผู้ใช้งานทั่วไป เนื่องจากจริงๆแล้วก็มีเทคนิคในการโจมตีเรียกว่า SSL Strip มานานแล้ว)



หลังจากแก้ไข TLS Version


หากใครไม่ได้ใช้ IE ก็สามารถเข้าไปแก้ไขได้เช่นกัน ส่วนตัวผมใช้ Browser อื่นครับ ที่ไม่ใช่ IE  ผมมีเว็บให้ทดลองตรวจสอบการเข้ารหัสของ Browser เครื่องของคุณด้วย TEST เห็นเป็นสีเขียวก็โอเคแล้ว ซึ่งมันก็คงเป็นสีเขียวหมดแหล่ะครับ แต่การเข้ารหัสอาจจะแตกต่างกัน เว้นแต่คุณจะใช้ซอฟท์แวร์ที่เก่ามากๆ


 


แถม จริงๆแล้วมีงานวิจัยที่เปิดเผยถึงความไม่ปลอดภัยของ Protocol นี้มานานแล้วเช่น http://eprint.iacr.org/2006/136.pdf

			

			
												

			

						

				

					
SSL ไม่ได้ปลอดภัยอย่างที่คิด!!!

					
						Posted: 21 September 2011 in Case Study, Hack, SSL, Vulnerability						

											
				

								

					
เรื่องดังเรื่องใหญ่มาอีกแล้ว ถูกเปิดเผยเมื่อไม่กี่ชั่วโมงที่ผ่านมานี้สดๆร้อนจากผลงานวิจัยของ Thai Duong และ Juliano Rizzo ว่าสามารถแฮก SSL ได้ กรรมวิธีนี้จะถูก Demo โชว์ในงาน ekoparty conference วันศุกร์นี้


เป็นการทำลายความเชื่อที่มีมาตลอดหลายปีว่า SSL ปลอดภัย ไม่สามารถแฮกได้ เหมือนกันกับกรณ๊ RSA Algorithm ที่บอกว่า Uncrackable แต่ก็ไม่รอด


แต่ก็ไม่ต้องกังวลไปนัก (เพราะจริงๆแล้วก็ไม่ค่อยมีคนกังวล ฮ่าๆๆ) แต่ก็มีความเสี่ยงสูงมาก เพราะอันตราย ลองคิดดูถ้าคุณเข้าใช้งาน E-banking ที่เป็น SSL มี Encryption 128bit ขึ้นไป แต่ข้อมูลคุณระหว่างทางนั้นสามารถ crack เพื่ออ่านได้ภายในสองนาที  Attacker สามารถใช้ข้อมูลคุณเข้าธนาคารออนไลน์ได้ทันที


แล้วจะป้องกันยังไง ผมคงแนะนำให้ update software ของเครื่องที่คุณใช้งานอยู่ให้เป็นประจำ เรื่องอื่นๆขึ้นอยู่กับการให้ความสำคัญในการใช้งาน จะเรียกง่ายๆ ก็คือต้องมี Security awareness ช่วยได้มากๆ


TLS 1.0 จาก SSL mail.yahoo.com ผมลองเมื่อกี้


ประเด็นสำคัญมันอยู่ตรงที่ TLS Transport Layer Security จากในรูปเป็น TLS 1.0 ซึ่งมีช่องโหว่นี้ ข่าวดีคือจริงๆมันมีมาตราฐานใหม่กว่าคือ TLS 1.1 เมื่อปี 2006 และ 1.2 ในปี 2008


ข่าวร้ายก็ตามรูปที่ผมไปลองมาครับ คือเวบทั่วโลกกว่า 90% ใช้ TLS 1.0 ซึ่งมีปัญหาร้ายแรงมากๆ เกินจะจินตนาการจริงๆครับ



		
	
									

			

					



	

		

						
Newer Entries