Breaking News

Subversion Repositories: เหยื่อรายแรกของ SHA-1 Collision Attack

เพียงแค่วันเดียวหลังจากที่ Google ประกาศว่า สามารถพัฒนาการโจมตีเพื่อให้ค่าแฮช SHA-1 ของเอกสารที่แตกต่างกัน 2 ชุดมีค่าตรงกันได้ หรือที่เรียกว่า SHA-1 Collision Attack นักพัฒนาจาก WebKit ซึ่งเป็น Web Browser Engine สำหรับใช้ใน Safari, App Store และแอพพลิเคชันอื่นของ Apple ก็ออกมาเปิดเผยถึงปัญหาของ Subversion (SVN) Repositories ที่ใช้เก็บซอร์สโค้ดอันเนื่องมาจากการโจมตีดังกล่าว

SVN Repo หยุดทำงานหลังทดสอบ SHA-1 Collision Attack

วิศวกรของ WebKit ต้องการทราบว่า SVN Repo ที่ใช้งานอยู่สามารถรับมือกับ SHA-1 Collision Attack ได้หรือไม่ จึงได้ทำการทดสอบโดยอัปโหลดไฟล์ PDF 2 ไฟล์ที่ Google ใช้สาธิตการโจมตี (PDF1 และ PDF2 แตกต่างกันแต่มีค่าแฮชเดียวกัน) ปรากฏว่าหลังจากที่ SVN Repo ทำการประมวลผลไฟล์ทั้งสองแล้ว ระบบ SVN Installation ทั้งหมดหยุดทำงาน และไม่สามารถอัปโหลดซอร์สโค้ดใหม่เข้าไปได้อีก

ทีมวิศวกรพยายามย้อนการอัปโหลดกลับคืนมา และลบไฟล์ PDF ทั้งสองไฟล์ทิ้งไป แต่ก็ไม่สามารถแก้ปัญหาได้ SVN Repo ยังคงหยุดทำงาน นอกจากนี้ การซิงค์ข้อมูลไปยัง Mirror Repo ก็หยุดทำงานเช่นเดียวกัน และไม่สามารถเริ่มการทำงานกลับมาใหม่ได้ สรุปคือ Repositories สำหรับเก็บซอร์สโค้ดของ WebKit ทั้งหมดหยุดให้บริการเป็นเวลานานหลายชั่วโมง โดยที่ไม่มีใครทราบถึงต้นตอของปัญหา

ท้ายที่สุด ระบบ SVN Repo ของ WebKit ก็กลับมาใช้งานได้ตามปกติ แต่ทางทีมวิศวกรจำเป็นต้องยกเลิกแผนการรวมระบบสำหรับตรวจสอบ SHA-1 Collision Attack เข้าไปยังซอฟต์แวร์ของตน

Google และ Apache ยืนยันปัญหา SHA-1 บนระบบ SVN ของตน

วิศวกรของ Google ได้ทำการทดสอบ SHA-1 Collision Attack บน SVN Repo ของตนเช่นเดียวกัน และยืนยันว่าระบบหยุดให้บริการทันทีหลังจากที่มีการอัปโหลดไฟล์ที่มีค่าแฮชตรงกันเข้าไป

“Subversion Servers ใช้ SHA-1 ในการทำ Deduplication และ Repositories หยุดการทำงานทันทีเมื่อมีไฟล์ที่มีค่าแฮชตรงกัน 2 ไฟล์ถูกส่งเข้าไป Commit ยัง Repositories […] พวกเราสังเกตเห็นว่า ในบางกรณีที่ Repositories หยุดทำงาน การส่งไฟล์เข้าไป Commit ใหม่จะถูกบล็อก” — Google ระบุในการทดสอบ

เช่นเดียวกัน Apache Foundation ก็ออกมายืนยันว่า ระบบบริหารจัดการและซิงค์ข้อมูลซอร์สโค้ดจะมีปัญหาทันทีที่มีการอัปโหลดไฟล์ที่มีค่าแฮชตรงกันเข้าไปยังระบบ

Apache ออกสคริปต์สำหรับตรวจสอบ SHA-1 Collision Attack

เพื่อแก้ปัญหาดังกล่าวแบบชั่วคราว ทีม SVN ของ Apache ได้ออกสคริปต์สำหรับตรวจสอบว่าซอร์สโค้ดใน Repositories มีคู่ไฟล์ที่ก่อนให้เกิด SHA-1 Collision Attack หรือไม่ ก่อนที่ SVN จะเริ่มดำเนินการตามคำสั่ง ผู้ที่สนใจสามารถดาวน์โหลดสคริปต์ที่นี่ [reject-known-sha1-collisions.sh]

Apache ยืนยันว่าจะหาวิธีรับมือ SHA-1 Collision Attack ที่ดีกว่านี้ในอนาคต

สำหรับ Git ระบบบริหารจัดการซอร์สโค้ดชื่อดัง ไม่ได้รับผลกระทบต่อ SHA-1 Collision Attack แต่อย่างใด แต่ทาง Linus Torvalds ผู้ก่อตั้ง Git ระบุใน Google+ ว่า ทีมงานกำลังวางแผนที่จะเปลี่ยนจากการใช้ฟังก์ชัน SHA-1 ไปใช้ฟังก์ชันแฮชอื่นที่แข็งแกร่งยิ่งขึ้นในอนาคต

ที่มา: https://www.bleepingcomputer.com/news/security/sha1-collision-attack-makes-its-first-victim-subversion-repositories/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Palo Alto Networks อัปเดตความสามารถให้ Prisma เน้น Security สำหรับ DevOps โดยเฉพาะ

Palo Alto Networks ได้ประกาศเพิ่มความสามารถหลายประการให้แก่ Cloud Native Security Platform (Prisma) ของตน ที่ตอบโจทย์ทีม DevOps ขององค์กรโดยเฉพาะ

ใช้ Smartphone หรือ Tablet ทำงานจากที่บ้านแทน PC ทำอย่างไรได้บ้าง?

ในภาวะที่หลายๆ ธุรกิจกำลังพิจารณาหาทางออกในการใช้นโยบาย Work from Home ให้ได้อย่างมีประสิทธิภาพโดยที่พนักงานยังคงทำงานได้เต็มที่เสมือนมาทำงานที่ออฟฟิศอยู่ และเกิดการสั่งซื้อ PC/Notebook เพิ่มท่ามกลางภาวะที่ผู้ผลิตยังไม่สามารถเดินกำลังการผลิตได้ดีนักจนบางแบรนด์สินค้าเริ่มขาด Stock กันไปแล้ว ทางเลือกหนึ่งนอกเหนือจากการให้พนักงานทำงานผ่าน Notebook ที่สามารถพกพาไปทำงานที่บ้านนั้น ก็คือการใช้ Smartphone หรือ Tablet ทำงานแทน Notebook อย่างเต็มที่ 100% ไปเลยนั่นเอง ในบทความนี้เราจะพาไปพิจารณาทางเลือกแต่ละทางที่เป็นไปได้กันครับ