DROWN Attack ចំនុចខ្សោយថ្មីមួយទៀតរបស់ OpenSSL

ចំនុចខ្សោយថ្មីមួយទៀត ត្រូវបានរកឃើញនៅក្នុង OpenSSL ដែលធ្វើឲ្យមានផលប៉ៈពាល់ទៅដល់វេបសាយប្រមាណជា ១១លាន វេបសាយ និងសេវាអ៊ីម៉ែល ដែលត្រូវបានការពារដោយ Secure Sockets Layer (SSLv2) ។

ក្រុមអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខ ដែលមានគ្នាចំនួន ១៥ មកពីមហាវិទ្យាល័យផ្សេងៗគ្នា និងសហគមន៍សន្តិសុខ បានធ្វើការព្រមានថា “ចំនុចខ្សោយដែលត្រូវបានគេឲ្យឈ្មោះថា DROWN គឺជាចំនុចខ្សោយមួយដ៏គ្រោះថ្នាក់នៅក្នុង OpenSSL ដែលត្រូវបានបញ្ចេញឲ្យដឹងកាលពីដើមខែមីនានេះ ដែលអាចបដិកូដនីយកម្ម (decrypt) ព័ត៌មានសំខាន់ៗរបស់អ្នក ដែលរួមមាន passwords និង credit card ។

តើអ្វីទៅជា DROWN attack ?

DROWN មកពីពាក្យថា “Decrypting RSA with Obsolete and Weakened eNcryption” ។ វាគឺជាការវាយប្រហារ មួយប្រភេទដែលប្រើប្រាស់នូវចំនុចខ្សោយដែលមាននៅក្នុង SSLV2 ប្រឆាំងទៅនឹង transport layer security (TLS) ហើយបន្ទាប់មកអាចធ្វើបដិកូដនីយកម្ម (decrypt) ព័ត៌មានសំខាន់ៗរបស់អ្នក។ វាអាចធ្វើទៅបានដោយធ្វើការបញ្ជូននូវ packets ក្លែងក្លាយទៅកាន់ server  ដែលអាចធ្វើការដំណើរការវាយប្រហារ man-in-the-Middle (MitM) attack

មានម៉ាសីុនមេ HTTPS ច្រើនជាង ៣៣ភាគរយ គឺរងគ្រោះដោយការវាយប្រហារ DROWN attack នេះ ដែលប៉ៈពាល់ដល់ម៉ាស៊ីនមេប្រមាណជា ១១.៥ លានគ្រឿងជុំវិញពិភពលោក ដោយរួមមាន Yahoo, Alibaba, Weibo, Sina, BuzzFeed, Flickr, StumbleUpon, 4Shared និង Samsung ផងដែរ ។

ក្រៅពី OpenSSL , Microsoft’s Internet Information Services (IIS) ជំនាន់ទី 7 និងមុននេះ ហើយនឹងជំនាន់មុន 3.13 នៃ Network Security Services (NSS) Cryptographic library ដែលបានបញ្ចូលទៅក្នុងផលិតផលប្រើប្រាស់សម្រាប់ម៉ាស៊ីនមេជាច្រើន ក៏រងគ្រោះដោយបញ្ហានេះផងដែរ ។

តើការធ្វើតេស្តយ៉ាងដូចម្តេចដើម្បីដឹងថាវាមានបញ្ហា DROWN OpenSSL ?

អ្នកអាចស្វែងរកនូវចំនុចរបស់វេបសាយ ដោយប្រើប្រាស់នូវ online tool : DROWN attack test site ។ ប៉ុន្តែយើងមានដំណឹងល្អគឺថា ក្រុមដែលបាន រកឃើញនូវចំនុចខ្សោយ DROWN នេះ បានបញ្ចេញនូវ Patch ដែលអ្នកអាចទាញយកដើម្បីជួសជុលផងដែរ។ ដំណឹងដ៏អាក្រក់នោះគឺថា ការវាយប្រហារ DROWN អាចត្រូវបានធ្វើឡើងក្នុងពេល ១នាទីប៉ុណ្ណោះ ដើម្បីជ្រៀតចូលទៅក្នុងប្រព័ន្ធ ហើយក្នុងពេលនេះ វាត្រូវបានផ្សព្វផ្សាយជាសាធារណៈ ដែលជាហេតុ អាចឲ្យមានការវាយប្រហារកើតឡើងជាច្រើនបន្ទាប់ទៀត។

តើអ្នកការពារខ្លួនយ៉ាងដូចម្តេច?

ដើម្បីការពារខ្លួនអ្នកទប់ទល់នឹង DROWN អ្នកគួរតែបិទមុខងារ SSLv2 ហើយប្រាកដថា private key របស់អ្នកមិនមានចែករំលែកប្រើប្រាស់នៅក្នុង ម៉ាស៊ីនមេដទៃទៀតឡើយ ។ សម្រាប់ម៉ាស៊ីនមេដែលរងគ្រោះដោយបញ្ហានេះ គឺមិនត្រូវការធ្វើការចេញឡើងវិញនូវវិញ្ញាបនប័ត្រឡើយ (re-issue certificates) ប៉ុន្តែត្រូវធ្វើការងារអាប់ដេតជាបន្ទាន់។

អ្នកអាចចូលទៅមើលឯកសារបច្ចេកទេសលំអិតនៅទីនេះ DROWN Attack ។ ក្រៅពីនេះ សាស្ត្រាចារ្យ Matthew Green មកពីសាកលវិទ្យាល័យ Johns Hopkins ក៏បានបញ្ចេញឯកសារពន្យល់ផងដែរនៅក្នុង blog post ។

ប្រភព៖

https://thehackernews.com/2016/03/drown-attack-openssl-vulnerability.html

Exit mobile version