นักวิจัยสามารถ Decrypt ทราฟฟิค HTTP ในการเชื่อมต่อ VPN ได้ด้วยการโจมตีแบบ ‘VORACLE’

ในงาน DEF CON ที่ ลาส เวกัส นักวิจัยด้านความมั่นคงปลอดภัยที่ชื่อ Ahamed Nafeez ได้นำเสนอวิธีการโจมตีที่สามารถ​ Decrypt​ ทราฟฟิค HTTP ที่ถูกเข้ารหัสภายใต้การเชื่อมต่อ VPN ได้ โดยให้ชื่อวิธีการโจมตีครั้งนี้ว่า VORACLE

แนวทางของ VORACLE ไม่ใช่วิธีการใหม่นักเพราะเกิดจากการเปลี่ยนเป้าหมายการโจมตีทางการเข้ารหัสแบบเก่า เช่นวิธี CRIME , TIME และ BREACH โดยวิธีการเหล่านี้เกิดกับการบีบอัดข้อมูลก่อนเข้ารหัสการเชื่อมต่อด้วย TLS และได้ถูกแก้ไขไปแล้วช่วงปี 2012-2013 แต่ในกรณีของ VORACLE นักวิจัยได้ชี้ให้เห็นว่ายังสามารถประยุกต์ใช้วิธีการคล้ายกันกับทราฟฟิค HTTP ที่ถูกบีบอัดและเข้ารหัสในการใช้งาน VPN

อย่างไรก็ตาม Nafeez ได้กล่าวว่าวิธีการของตนนั้นสามารถใช้ได้กับ VPN Service หรือ Client ที่สร้างบนโปรโตคอล OpenVPN เท่านั้นเพราะโดยพื้นฐานแล้วจะถูกตั้งค่าให้บีบอัดข้อมูลก่อนเข้ารหัสผ่าน TLS ซึ่งตรงกับเงื่อนไขในการโจมตีแบบเก่าข้างต้น นักวิจัยกล่าวถึงวิธีการโจมตีว่าคนร้ายล่อเหยื่อไปใช้งาน HTTP ไซต์ที่ตนเข้าควบคุมแล้วหรือสามารถลอบรันโค้ดอันตรายได้เสียก่อน (ผ่านทางโฆษณาแฝงอันตราย เป็นต้น) จากนั้นคนร้ายจึงจะสามารถขโมยและถอดรหัสข้อมูลความลับ เช่น Session Cookie ได้เพื่อใช้ล็อกอินเว็บไซต์ในฐานะของเหยื่อ

วิธีป้องกันการโจมตีแบบ VORACLE

• ใช้งาน VPN Service หรือ Client ที่สามารถเปลี่ยนไปใช้งานโปรโตคอลที่ไม่ใช่ OpenVPN ได้
• อย่าเข้าเว็บไซต์ที่ไม่ใช้ HTTPS
• ใช้ Chrome หรือ Browser อื่นที่มีกลไกการทำ HTTP Request เป็นหลายส่วน แต่ Firefox ยังได้รับผลกระทบเพราะมีการส่ง HTTP Request เป็นแพ็กเกจใหญ่ทีเดียว

เมื่อนักวิจัยแจ้งไปยัง OpenVPN แล้วแต่ไม่ได้รับการแก้ไขเพียงแต่มีการแสดงแจ้งเตือนอย่างชัดเจนในเอกสารถึงการบีบอัดข้อมูลก่อนการเข้ารหัสเท่านั้น อาจเพราะกลไกการบีบอัดข้อมูลช่วยในเรื่องของประสิทธิภาพการส่งข้อมูลนั่นเอง อย่างไรก็ดีจากการศึกษาของนักวิจัยบริการ VPN อย่าง Tunnel Bear ได้ลบการรองรับการบีบอัดข้อมูลจากเซิร์ฟเวอร์ OpenVPN ของตนแล้ว ผู้สนใจสามารถดูโค้ด PoC ได้บน GitHub

ที่มา : https://www.bleepingcomputer.com/news/security/voracle-attack-can-recover-http-data-from-vpn-connections/