งานวิจัยเผย SSL มีความเสี่ยงต่อการแฮกเมื่อไม่ได้ใช้งานผ่านเว็บเบราว์เซอร์

คงไม่มีใครปฏิเสธได้ครับว่า SSL คือเทคโนโลยีหนึ่งที่สำคัญมากแบบขาดเสียไม่ได้ ทั้งในด้านธุรกรรมการเงิน การส่งต่อข้อมูลความลับต่างๆ ซึ่งเหตุผลหลักคือเพื่อป้องกันการโจมตีจากเหล่าบรรดาแฮกเกอร์ แต่เมื่อไม่นานมานี้ได้มีการเปิดเผยว่า SSL เมื่อถูกใช้งานในบางสถานการณ์นั้นอาจไม่ปลอดภัยอย่างที่เคยคิดกัน

เมื่อไม่นานมานี้ได้มีงานประชุม ACM Conference on Computer and Communications Security (CCS2012) ที่จัดเสร็จสิ้นในวันที่ 16-18 ตุลาคมที่ผ่านมา ซึ่งเป็นงานรวมตัวของนักพัฒนาโปรแกรม ผู้เชี่ยวชาญด้านความปลอดภัยทั้งจากภาครัฐ สถานศึกษา และเอกชน ได้เข้ามานำเสนอถึงทฤษฎีหรืองานวิจัยต่างๆ โดยหลังจากจบงานและเปเปอร์งานวิจัยต่างๆ ได้ขึ้นเว็บแล้วที่เว็บของ CCS 2012

ในงานนี้ได้มีงานวิจัยชิ้นหนึ่งที่สำคัญมาก ซึ่งจัดทำโดยนักวิจัยจากมหาวิทยาลัยเทคซัสในเมืองออสตินและมหาวิทยาลัยสแตนฟอร์ด ได้ระบุว่า SSL ที่ไม่ได้มีการใช้งานผ่านเว็บเบราว์เซอร์มีความเสี่ยงจะถูกโจมตีแบบ man-in-the-middle attack ได้ (อ่านคำอธิบายเพิ่มได้ที่ท้ายข่าว) โดยการใช้งานที่ไม่ได้ผ่านเว็บเบราว์เซอร์ ในงานวิจัยได้ยกตัวอย่างดังนี้

  • JAVA library ของ Amazon EC2
  • SDK ระบบซื้อขายของ Amazon และ Paypal (เฉพาะ Paypal นี้ SDK จะถูกใช้เชื่อมกับ osCommerce, ZenCart, Ubercart และ PrestaShop)
  • AdMob ผู้ให้บริการโฆษณาบนมือถือ ที่ Google เป็นเจ้าของ
  • ระบบ Mobile Banking ของ Chase.com
  • โปรแกรมสำหรับทำ web service ที่เขียนด้วยภาษา JAVA รวมถึง Apache Axis, Axis 2,
  • Codehaus XFire, และ Pusher library สำหรับ Android
  • รวมถึงโปรแกรมอะไรก็ตามที่ทำหน้าที่เป็นตัวกลางในการติดต่อผ่าน SSL

อย่างไรก็ตามไม่ได้หมายความว่าโค้ดที่ถูกเขียนบนระบบที่กล่าวมาจะถูกเขียนแบบผิดพลาด ในความเป็นจริงนั้นได้เขียนถูกต้องด้วยซ้ำ แต่เพราะโค้ดดังกล่าวจะมีการติดต่อผ่านไลบรารี่ที่ใช้ควบคุมการส่งข้อมูล เช่น Apache HttpClient หรือ cURL ซึ่งปัญหาเกิดจากนักพัฒนาเกิดความเข้าใจผิดทั้งการกำหนดพารามิเตอร์หรือการตรวจสอบค่าย้อนกลับ ทำให้กระบวนการยืนยัน SSL certificate มักจะล้มเหลวในท้ายที่สุด

เท่าที่ผมอ่านงานวิจัยคร่าวๆ ขอสรุปว่าสำหรับนักพัฒนาโปรแกรมด้วยภาษา JAVA และ PHP ที่ได้มีการใช้งานระบบใดระบบหนึ่งที่ได้กล่าวถึงไปหรือมีการใช้งาน SSL ในกระบวนการติดต่อเบื้องหลัง สมควรอ่านงานวิจัยนี้เพื่อแก้ไขหรือหาทางออก เพราะในงานได้มีบอกไว้ว่าจุดใดคือความเสี่ยงครับ

งานวิจัยดังกล่าวสามารถโหลดอ่านได้ที่นี้ Full paper

ที่มา – The Applied Crypto Group of Stanford University

คำอธิบายเพิ่ม
man-in-the-middle attack เป็นการโจมตีโดยการเบี่ยงเบนการเดินทางของข้อมูลที่ควรจะเดินทางระหว่างคอมพิวเตอร์ผู้ใช้งานกับเครื่องแม่ของผู้ให้บริการ ให้เดินทางมายังเครื่องของแฮกเกอร์แทนด้วยการหลอกทั้งเครื่องผู้ใช้งานและเครื่องแม่ว่าเครื่องตัวเองเป็นเครื่องของอีกฝ่ายที่กำลังติดต่อด้วย เป้าหมายคือการดักจับข้อมูลที่ถูกเข้ารหัสไว้หรือการปลอมแปลงข้อมูลให้ผิดไปจากเดิม

บทความนี้ถูกเผยแพร่ที่ Blognone

ผมว่าโค้ชสแตมป์เลือกเพลงให้คุณคิงกับน้าเหน่งผิดน่ะครับ

พอดีเจอกระทู้ http://www.pantip.com/cafe/chalermkrung/topic/C12819705/C12819705.html  จากพันทิพย์เลยแหกกฎที่ไม่เคยตั้งของตัวเองที่เคยคิดว่าจะโพสบล็อกแค่ 1 ครั้งต่อวัน แต่อันนี้มันฮาจริงๆ จั่วหัวล่อเป้าเข้าไปคิดว่าจะเจอมาม่า กลับเจอคลิปนี้

[media url=”http://www.youtube.com/watch?feature=player_embedded&v=NdaTUMC9ZZU” width=”640″ height=”480″]

/XD

ปล. เผื่อใครไม่ทราบจริงๆ แบบหลังเขามากๆ นี้เป็นเรื่องเกี่ยวกับ The Voice Thailand ครับ  /= =a

Miku Day!

วันนี้ไปเจอวิดีโอมา ผมคิดว่าหลายคนน่าจะรู้จักมิกุกันมาบ้างแล้ว วันนี้ขอเลือกมา 2 คลิปที่คิดว่าน่าสนใจมาก ซึ่งตรงนี้ต้องยอมรับเลยว่าคนทำคลิปนั้นเก่งมาก  แต่จริงๆ คลิปพวกนี้คนไทยก็สามารถทำได้ และใช้เวลาน้อยกว่าแต่ก่อนด้วย ขั้นตอนการทำ Animation ปัจจุบันมันลดทั้งต้นทุนและเวลา ด้วยเทคโนโลยีที่เปลี่ยนไป เอาเฉพาะกลุ่มคนทำคลิปเหล่านี้ด้วยโปรแกรม MMD เขาก็มีการใช้กล่อง Kinect (ตัวเดียวกันกับที่ติดเครื่องเกม Xbox นั้นแหละ) ทำให้การทำ Motion Capture มันง่ายขึ้น แม้จะไม่ละเอียดเท่าระดับโปรทำกัน (ระดับโปรทำคือชุดรัดรูปติดปิงปองส่องแสง 555+) แต่มันพอให้ขึ้นพื้นฐานการเคลื่อนไหวได้เยอะเลย ว่าแล้วลองดู 2 คลิปอันนี้ครับ ผมจัดว่าเป็นระดับต้นๆ ได้เลย ทำดีชนิดบาง MV ในไทยที่ใช้คนแสดงจริงๆ ยังน่าดูน้อยกว่าอีก

ผมไม่ใช่พวกคลั่งญี่ปุ่นนะครับ คนไทยก็ทำได้ เพียงแต่ที่ไม่ทำกันเพราะนักการตลาดมันจะปรามว่ามันทำกำไรไม่ได้ ผมก็จบการตลาดมาก็ยอมรับว่าคิดเหมือนกัน พอทุกอย่างจบที่เงินมันเลยไม่มีอะไรใหม่ๆ ครับ แต่อยากบอกว่าญี่ปุ่นทำงานเข้มกว่าไทยเยอะ ทำเป็นทำ เล่นเป็นเล่น

[media url=”http://www.youtube.com/watch?v=1lzYadA9K-U&feature=related” width=”853″ height=”480″] [media url=”http://www.youtube.com/watch?v=HIQAapyP2gg&feature=related” width=”853″ height=”480″]