จุดบกพร่องในการเข้ารหัสช่วยให้สามารถกู้คืนคีย์ที่เข้ารหัสโฟลว์ของเซสชัน TLS/SSL และเพื่อสอดแนมการแลกเปลี่ยนได้ นี่เป็นรูปแบบการโจมตีเล็กน้อยเมื่อ 19 ปีที่แล้ว
ทั้งในด้านความปลอดภัยและในห้องครัว บางครั้งเราก็ทำซุปที่อร่อยที่สุดในหม้อเก่าๆ นักวิจัยด้านความปลอดภัย Hanno Böck, Juraj Somorovsky และ Craig Young เพิ่งค้นพบข้อบกพร่องด้านการเข้ารหัสลับที่เกิดขึ้นตั้งแต่ปี 1998 ซึ่งน่าประหลาดใจที่ยังคงมีความเกี่ยวข้องมากในปัจจุบัน ค้นพบโดยนักเข้ารหัสลับ Daniel Bleichenbacher ข้อบกพร่องนี้อิงจากจุดบกพร่องในโปรโตคอลการแลกเปลี่ยนคีย์ SSL/TLS ที่ใช้ RSA ซึ่งเป็นอัลกอริธึมการเข้ารหัสแบบอสมมาตร อนุญาตให้ผู้โจมตีค้นหาคีย์เซสชันของการแลกเปลี่ยน TLS/SSL และถอดรหัสได้
ในขณะนั้น ข้อบกพร่องนี้ได้รับการแก้ไขแล้ว แต่การแก้ไขยังดำเนินการได้ไม่ดีนัก นักวิจัยทั้งสามคนใช้มุมการโจมตีที่แตกต่างกันเล็กน้อยจาก Daniel Bleichenbacher แต่ในที่สุดพวกเขาก็ประสบความสำเร็จในการกู้คืนคีย์เซสชันจากโปรโตคอลการแลกเปลี่ยนเดียวกัน พวกเขาเรียกการโจมตีของพวกเขา« การกลับมาของการโจมตี Oracle ของ Bleichenbacher » (ROBOT)-“เราใช้รูปแบบการโจมตีดั้งเดิมเล็กน้อยและเราประสบความสำเร็จ ปัญหานี้ชัดเจน »ขีดเส้นใต้นักวิจัยในบันทึกย่อของบล็อก ดังนั้นจึงเป็นไปได้มากที่คนอื่นจะมีแนวคิดนี้มาก่อนในช่วง 19 ปีที่ผ่านมา
ทำแบบทดสอบออนไลน์
จำนวนเว็บเซิร์ฟเวอร์ที่ได้รับผลกระทบนั้นยังห่างไกลจากจำนวนเล็กน้อย จากการทดสอบ นักวิจัยพบไซต์ที่มีช่องโหว่ 27 แห่งจาก 100 ไซต์ที่ใหญ่ที่สุดบนเว็บ ในบรรดาเว็บไซต์เหล่านี้ ได้แก่ Facebook และ Paypal ซึ่งได้ปิดช่องว่างนี้ไปแล้ว กทดสอบมีให้ทางออนไลน์เพื่อดูว่าไซต์ใดที่คุณไปบ่อยก็มีความเสี่ยงเช่นกัน ในทางกลับกัน นักวิจัยยังไม่ได้เผยแพร่โค้ดโจมตีใดๆ เพียงเพื่อให้ผู้ดูแลเว็บมีเวลาทำการอัปเดต
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
