Clear
Lead Graphic Papers

ระวังภัย แฮ็กเกอร์ออกใบรับรองปลอมของ Google, Yahoo!, Mozilla และอื่นๆ

วันที่ประกาศ: 2 ก.ย. 2554
ปรับปรุงล่าสุด: 7 ก.ย. 2554
เรื่อง: ระวังภัย แฮ็กเกอร์ออกใบรับรองปลอมของ Google, Yahoo!, Mozilla และอื่นๆ

ประเภทภัยคุกคาม:
Fraud

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

ใบรับรอง SSL (SSL Certificate) ใช้ในการยืนยันเครื่องให้บริการเว็บ ทำให้ผู้ใช้สามารถมั่นใจได้ว่าเครื่องให้บริการที่ติดต่อด้วยนั้นเป็นเครื่องที่อ้างถึงจริง การใช้ใบรับรองเป็นการรับรองความมั่นคงปลอดภัยของข้อมูลที่รับ-ส่งระหว่างเครื่องให้บริการและเครื่องใช้บริการด้วยการเข้ารหัสลับข้อมูล (Encryption) โดยปกติเมื่อผู้ใช้เข้าสู่เว็บไซต์ที่มีการเชื่อมต่อแบบ SSL (Secure Socket Layer) ที่มีใบรับรองอย่างถูกต้อง เบราว์เซอร์จะแสดงไอคอนรูปแม่กุญแจ และในส่วนของ Address Bar จะแสดงที่อยู่เว็บไซต์เป็น https:// ถ้าเว็บไซต์ที่ใช้ใบรับรองไม่ถูกต้อง เบราว์เซอร์จะแสดงหน้าจอเพื่อแจ้งเตือนว่าการรับส่งข้อมูลนี้ไม่มั่นคง ปลอดภัย

ในช่วงปลายเดือนสิงหาคมที่ผ่านมา พบว่ามีใบรับรองปลอมของเว็บไซต์ในเครือของ Google เผยแพร่อยู่ในอินเทอร์เน็ต ซึ่งผู้ที่มีใบรับรองนี้สามารถสร้างเว็บไซต์ปลอมเพื่อหลอกว่าเป็นเว็บไซต์ของ Google ได้โดยที่เบราว์เซอร์ไม่สามารถตรวจสอบได้ว่าใบรับรองของเว็บไซต์ Google นี้เป็นของปลอม

ใบรับรองปลอมนี้พบว่าได้สร้างขึ้นเมื่อวันที่ 10 กรกฏาคม 2554 โดย DigiNotar ซึ่งเป็นผู้ให้บริการออกใบรับรองอิเล็กทรอนิกส์ในประเทศเนเธอร์แลนด์ ทาง DigiNotar แจ้งผ่านหน้าเว็บไซต์ว่าการออกใบรับรองปลอมนี้เกิดจากการถูกเจาะระบบที่ใช้ในการออกใบรับรอง นอกจากนี้ยังพบว่า ผู้ที่ปลอมใบรับรองนี้ ได้สร้างใบรับรองปลอมให้กับโดเมนต่างๆ นอกจาก *.google.com อีกด้วย เช่น โดเมนในเครือของ Yahoo!, Mozilla, Wordpress และ Tor Project ปัจจุบันทาง DigiNotar ได้ออกใบประกาศเพิกถอน (Revoke Certificate) ใบรับรองปลอมแล้ว แต่ยังไม่สามารถยืนยันได้ว่าจะสามารถเพิกถอนใบรับรองปลอมได้ทั้งหมด

ผลกระทบ

ผู้ใช้งานที่เข้าสู่เว็บไซต์หลอกลวง จะเข้าใจว่าเว็บไซต์นั้นเป็นของ Google, Yahoo!, Mozilla หรือบริการอื่นๆ เนื่องจากเบราว์เซอร์ไม่มีการแจ้งเตือนว่าใบรับรองไม่ถูกต้อง ทำให้อาจเปิดเผยข้อมูลส่วนบุคคลที่ใช้ในบริการดังกล่าว เช่น ชื่อผู้ใช้หรือรหัสผ่าน นอกจากนี้ยังมีโอกาสที่จะเกิดความเสี่ยงด้านความมั่นคงปลอดภัยอื่นๆ จากเว็บไซต์หลอกลวงดังกล่าวได้
เช่น ผู้ใช้ที่ดาวน์โหลดโปรแกรมที่มีการรับรองว่ามาจาก Google จะไม่สามารถตรวจสอบได้ว่า โปรแกรมนี้ถูกรับรองโดย Google จริงๆ หรือถูกรับรองโดยการใช้ใบรับรองปลอม

ระบบที่มีผลกระทบ

ระบบปฏิบัติการและเบราว์เซอร์ต่างๆ ที่มีการใช้งานใบรับรองของ DigiNotar เช่น

  • Microsoft Windows และ Internet Explorer ทุกรุ่น
  • Mac OS X และ Safari ทุกรุ่น
  • Mozilla Firefox รุ่นต่ำกว่า 6.0.1

วิธีการแก้ไข

  • Microsoft Windows และ Internet Explorer ปัจจุบันทาง Microsoft ได้ออกเครื่องมืออัพเดทเพื่อถอดถอนใบรับรองปลอมออกจากระบบแล้ว ผู้ใช้สามารถติดตั้งโปรแกรมอัพเดทอัตโนมัติได้ผ่านทาง Windows Update หรือติดตั้งด้วยตนเองที่ http://support.microsoft.com/kb/2328240
  • Google Chrome สามารถตรวจสอบใบรับรองปลอมได้ และได้ออกอัพเดทรุ่น 13.0.782.218 ที่เพิกถอนใบรับรองปลอมแล้ว
  • Opera จะตรวจสอบข้อมูลกับเว็บไซต์ที่รายงานเรื่องใบรับรองปลอมอยู่แล้ว ดังนั้นจึงไม่จำเป็นต้องอัพเดท
  • Mozilla Firefox ออกอัพเดทรุ่น 6.0.1 ที่เพิกถอนใบรับรองปลอมแล้ว ในกรณีที่ไม่สามารถติดตั้งอัพเดทรุ่นใหม่ได้ ผู้ใช้ Mozilla Firefox สามารถลบใบรับรองของ DigiNotar ได้ดังนี้
  1. ที่ด้านบนของหน้าต่าง Firefox ให้คลิกที่ปุ่ม Firefox (เมนู Tools ใน Windows หรือเมนู Edit ใน Linux) จากนั้นคลิก Preferences
  2. คลิกที่แท็บ Advance
  3. เลือกแท็บ Encryption
  4. คลิก View Certificates
  5. ในหน้าต่าง Certificate Manages ให้คลิกที่แท็บ Authorities
  6. เลื่อนลงไปจนถึงส่วนของ DigiNotar เลือก DigiNotar Root CA
  7. คลิกที่ Delete or Distrust...
  8. คลิก OK เพื่อยืนยันการลบใบรับรอง
  • Mac OS X และ Safari ไม่สามารถตรวจสอบใบรับรองปลอมได้ ผู้ใช้จำเป็นต้องใช้โปรแกรม Keychain Access เพื่อลบใบรับรองดังกล่าวออกจากระบบด้วยตนเอง ซึ่งสามารถทำได้ดังนี้
  1. เปิดโปรแกรม Keychain Access
  2. ในช่องค้นหา พิมพ์คำว่า DigiNotar
  3. คลิกขวาที่ DigiNotar Root CA เลือก Delete
  4. คลิกปุ่ม Delete เพื่อยืนยันการลบ
ผู้ใช้สามารถตรวจสอบเบราว์เซอร์ที่ตนเองใช้อยู่ ว่าได้ถูกเพิกถอนใบรับรองของ DigiNotar แล้วหรือยัง ด้วยการเข้าไปตรวจสอบที่เว็บไซต์ https://diginotar.com/

อ้างอิง

Clear