วันที่ประกาศ: 2 ก.ย. 2554
ปรับปรุงล่าสุด: 7 ก.ย. 2554
เรื่อง: ระวังภัย แฮ็กเกอร์ออกใบรับรองปลอมของ Google, Yahoo!, Mozilla และอื่นๆ
ประเภทภัยคุกคาม: Fraud
ปรับปรุงล่าสุด: 7 ก.ย. 2554
เรื่อง: ระวังภัย แฮ็กเกอร์ออกใบรับรองปลอมของ Google, Yahoo!, Mozilla และอื่นๆ
ประเภทภัยคุกคาม: Fraud
ข้อมูลทั่วไป
ใบรับรอง SSL (SSL Certificate) ใช้ในการยืนยันเครื่องให้บริการเว็บ ทำให้ผู้ใช้สามารถมั่นใจได้ว่าเครื่องให้บริการที่ติดต่อด้วยนั้นเป็นเครื่องที่อ้างถึงจริง การใช้ใบรับรองเป็นการรับรองความมั่นคงปลอดภัยของข้อมูลที่รับ-ส่งระหว่างเครื่องให้บริการและเครื่องใช้บริการด้วยการเข้ารหัสลับข้อมูล (Encryption) โดยปกติเมื่อผู้ใช้เข้าสู่เว็บไซต์ที่มีการเชื่อมต่อแบบ SSL (Secure Socket Layer) ที่มีใบรับรองอย่างถูกต้อง เบราว์เซอร์จะแสดงไอคอนรูปแม่กุญแจ และในส่วนของ Address Bar จะแสดงที่อยู่เว็บไซต์เป็น https:// ถ้าเว็บไซต์ที่ใช้ใบรับรองไม่ถูกต้อง เบราว์เซอร์จะแสดงหน้าจอเพื่อแจ้งเตือนว่าการรับส่งข้อมูลนี้ไม่มั่นคง ปลอดภัย
ในช่วงปลายเดือนสิงหาคมที่ผ่านมา พบว่ามีใบรับรองปลอมของเว็บไซต์ในเครือของ Google เผยแพร่อยู่ในอินเทอร์เน็ต ซึ่งผู้ที่มีใบรับรองนี้สามารถสร้างเว็บไซต์ปลอมเพื่อหลอกว่าเป็นเว็บไซต์ของ Google ได้โดยที่เบราว์เซอร์ไม่สามารถตรวจสอบได้ว่าใบรับรองของเว็บไซต์ Google นี้เป็นของปลอม
ใบรับรองปลอมนี้พบว่าได้สร้างขึ้นเมื่อวันที่ 10 กรกฏาคม 2554 โดย DigiNotar ซึ่งเป็นผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ในประเทศเนเธอร์แลนด์ ทาง DigiNotar แจ้งผ่านหน้าเว็บไซต์ว่าการออกใบรับรองปลอมนี้เกิดจากการถูกเจาะระบบที่ใช้ในการออกใบรับรอง นอกจากนี้ยังพบว่า ผู้ที่ปลอมใบรับรองนี้ ได้สร้างใบรับรองปลอมให้กับโดเมนต่างๆ นอกจาก *.google.com อีกด้วย เช่น โดเมนในเครือของ Yahoo!, Mozilla, Wordpress และ Tor Project ปัจจุบันทาง DigiNotar ได้ออกใบประกาศเพิกถอน (Revoke Certificate) ใบรับรองปลอมแล้ว แต่ยังไม่สามารถยืนยันได้ว่าจะสามารถเพิกถอนใบรับรองปลอมได้ทั้งหมด
ในช่วงปลายเดือนสิงหาคมที่ผ่านมา พบว่ามีใบรับรองปลอมของเว็บไซต์ในเครือของ Google เผยแพร่อยู่ในอินเทอร์เน็ต ซึ่งผู้ที่มีใบรับรองนี้สามารถสร้างเว็บไซต์ปลอมเพื่อหลอกว่าเป็นเว็บไซต์ของ Google ได้โดยที่เบราว์เซอร์ไม่สามารถตรวจสอบได้ว่าใบรับรองของเว็บไซต์ Google นี้เป็นของปลอม
ใบรับรองปลอมนี้พบว่าได้สร้างขึ้นเมื่อวันที่ 10 กรกฏาคม 2554 โดย DigiNotar ซึ่งเป็นผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ในประเทศเนเธอร์แลนด์ ทาง DigiNotar แจ้งผ่านหน้าเว็บไซต์ว่าการออกใบรับรองปลอมนี้เกิดจากการถูกเจาะระบบที่ใช้ในการออกใบรับรอง นอกจากนี้ยังพบว่า ผู้ที่ปลอมใบรับรองนี้ ได้สร้างใบรับรองปลอมให้กับโดเมนต่างๆ นอกจาก *.google.com อีกด้วย เช่น โดเมนในเครือของ Yahoo!, Mozilla, Wordpress และ Tor Project ปัจจุบันทาง DigiNotar ได้ออกใบประกาศเพิกถอน (Revoke Certificate) ใบรับรองปลอมแล้ว แต่ยังไม่สามารถยืนยันได้ว่าจะสามารถเพิกถอนใบรับรองปลอมได้ทั้งหมด
ผลกระทบ
ผู้ใช้งานที่เข้าสู่เว็บไซต์หลอกลวง จะเข้าใจว่าเว็บไซต์นั้นเป็นของ Google, Yahoo!, Mozilla หรือบริการอื่นๆ เนื่องจากเบราว์เซอร์ไม่มีการแจ้งเตือนว่าใบรับรองไม่ถูกต้อง ทำให้อาจเปิดเผยข้อมูลส่วนบุคคลที่ใช้ในบริการดังกล่าว เช่น ชื่อผู้ใช้หรือรหัสผ่าน นอกจากนี้ยังมีโอกาสที่จะเกิดความเสี่ยงด้านความมั่นคงปลอดภัยอื่นๆ จากเว็บไซต์หลอกลวงดังกล่าวได้
เช่น ผู้ใช้ที่ดาวน์โหลดโปรแกรมที่มีการรับรองว่ามาจาก Google จะไม่สามารถตรวจสอบได้ว่า โปรแกรมนี้ถูกรับรองโดย Google จริงๆ หรือถูกรับรองโดยการใช้ใบรับรองปลอม
เช่น ผู้ใช้ที่ดาวน์โหลดโปรแกรมที่มีการรับรองว่ามาจาก Google จะไม่สามารถตรวจสอบได้ว่า โปรแกรมนี้ถูกรับรองโดย Google จริงๆ หรือถูกรับรองโดยการใช้ใบรับรองปลอม
ระบบที่มีผลกระทบ
ระบบปฏิบัติการและเบราว์เซอร์ต่างๆ ที่มีการใช้งานใบรับรองของ DigiNotar เช่น
- Microsoft Windows และ Internet Explorer ทุกรุ่น
- Mac OS X และ Safari ทุกรุ่น
- Mozilla Firefox รุ่นต่ำกว่า 6.0.1
วิธีการแก้ไข
- Microsoft Windows และ Internet Explorer ปัจจุบันทาง Microsoft ได้ออกเครื่องมืออัพเดทเพื่อถอดถอนใบรับรองปลอมออกจากระบบแล้ว ผู้ใช้สามารถติดตั้งโปรแกรมอัพเดทอัตโนมัติได้ผ่านทาง Windows Update หรือติดตั้งด้วยตนเองที่ http://support.microsoft.com/kb/2328240
- Google Chrome สามารถตรวจสอบใบรับรองปลอมได้ และได้ออกอัพเดทรุ่น 13.0.782.218 ที่เพิกถอนใบรับรองปลอมแล้ว
- Opera จะตรวจสอบข้อมูลกับเว็บไซต์ที่รายงานเรื่องใบรับรองปลอมอยู่แล้ว ดังนั้นจึงไม่จำเป็นต้องอัพเดท
- Mozilla Firefox ออกอัพเดทรุ่น 6.0.1 ที่เพิกถอนใบรับรองปลอมแล้ว ในกรณีที่ไม่สามารถติดตั้งอัพเดทรุ่นใหม่ได้ ผู้ใช้ Mozilla Firefox สามารถลบใบรับรองของ DigiNotar ได้ดังนี้
- ที่ด้านบนของหน้าต่าง Firefox ให้คลิกที่ปุ่ม Firefox (เมนู Tools ใน Windows หรือเมนู Edit ใน Linux) จากนั้นคลิก Preferences
- คลิกที่แท็บ Advance
- เลือกแท็บ Encryption
- คลิก View Certificates
- ในหน้าต่าง Certificate Manages ให้คลิกที่แท็บ Authorities
- เลื่อนลงไปจนถึงส่วนของ DigiNotar เลือก DigiNotar Root CA
- คลิกที่ Delete or Distrust...
- คลิก OK เพื่อยืนยันการลบใบรับรอง
- Mac OS X และ Safari ไม่สามารถตรวจสอบใบรับรองปลอมได้ ผู้ใช้จำเป็นต้องใช้โปรแกรม Keychain Access เพื่อลบใบรับรองดังกล่าวออกจากระบบด้วยตนเอง ซึ่งสามารถทำได้ดังนี้
- เปิดโปรแกรม Keychain Access
- ในช่องค้นหา พิมพ์คำว่า DigiNotar
- คลิกขวาที่ DigiNotar Root CA เลือก Delete
- คลิกปุ่ม Delete เพื่อยืนยันการลบ
อ้างอิง
- http://www.theregister.co.uk/2011/08/29/fraudulent_google_ssl_certificate/
- http://blog.mozilla.com/security/2011/08/29/fraudulent-google-com-certificate/
- http://support.mozilla.com/en-US/kb/deleting-diginotar-ca-cert
- http://www.vasco.com/company/press_room/news_archive/2011/news_diginotar_reports_security_incident.aspx
- http://googlechromereleases.blogspot.com/2011/08/stable-update.html
- http://www.microsoft.com/technet/security/advisory/2607712.mspx
- http://arstechnica.com/apple/news/2011/09/safari-users-still-susceptible-to-attacks-using-fake-diginotar-certs.ars
- http://my.opera.com/rootstore/blog/2009/05/15/diginotar-ev-enabled-and-new-verisign-roots
- http://www.tuaw.com/2011/09/01/how-to-get-rid-of-diginotar-digital-certificates-from-os-x/
- http://www.net-security.org/secworld.php?id=11555
ไม่มีความคิดเห็น:
แสดงความคิดเห็น