Tag Archives: sha-1

มาพร้อมกับ Microsoft Patch Tuesday ประจำเดือนพฤษภาคม 2017 ทั้ง Internet Explorer และ Microsoft Edge เวอร์ชันล่าสุดต่างพร้อมแสดงการแจ้งเตือน SSL/TLS Certificate ที่ถูกรับรองโดยใช้ฟังก์ชันแฮชแบบ SHA-1 ว่าไม่มั่นคงปลอดภัยอีกต่อไป โดยเริ่มมีผลตั้งแต่วันนี้

เพียงแค่วันเดียวหลังจากที่ Google ประกาศว่า สามารถพัฒนาการโจมตีเพื่อให้ค่าแฮช SHA-1 ของเอกสารที่แตกต่างกัน 2 ชุดมีค่าตรงกันได้ หรือที่เรียกว่า SHA-1 Collision Attack นักพัฒนาจาก WebKit ซึ่งเป็น Web Browser Engine สำหรับใช้ใน Safari, App Store และแอพพลิเคชันอื่นของ Apple ก็ออกมาเปิดเผยถึงปัญหาของ Subversion (SVN) Repositories ที่ใช้เก็บซอร์สโค้ดอันเนื่องมาจากการโจมตีดังกล่าว

SHA-1 หรือ Secure Hash Algorithm 1 ฟังก์ชันแฮชยอดนิยมเตรียมสาบสูญไปจากโลก หลังจากที่ทีมนักวิจัยจาก Google และสถาบัน Centrum Wiskunde & Information (CWI) ประเทศเนเธอร์แลนด์ ประสบความสำเร็จในการพัฒนาวิธีโจมตีเพื่อให้ค่าแฮช SHA-1 ของเอกสารที่แตกต่างกัน 2 ชุดมีค่าตรงกัน ที่สำคัญคือเร็วกว่าการโจมตีแบบ Brute Force ถึง 100,000 เท่า

Google, Mozilla และ Microsoft เตรียมประกาศยกเลิกการสนับสนุน SSL/TLS Certificate ที่ถูกเซ็นชื่อด้วยอัลกอริธึม Hash แบบ SHA-1 ต้นปี 2017 นี้ เนื่องด้วยเหตุผลทางด้านความมั่นคงปลอดภัย

ในการอัพเดต Windows 10 รอบใหญ่ที่กำลังจะมาถึงนี้ Microsoft ได้เตรียมตัวประกาศเลิกสนับสนุนเว็บไซต์ที่ทำการเข้ารหัสด้วย SHA-1 Certificate เพื่อตอบรับต่อแนวโน้มการเข้ารหัสที่แข็งแกร่งในโลกของอินเตอร์เน็ตให้มากขึ้น

VPN นับว่าเป็นเครื่องมือสำคัญที่ช่วยให้พนักงานหรือผู้บริหารสามารถเข้าถึงระบบเครือข่ายขององค์กรจากที่แห่งใดก็ได้ในโลก รวมทั้งช่วยการันตีความมั่นคงปลอดภัยในการเข้าถึงและใช้งาน Resource อย่างไรก็ตาม งานวิจัยของ High-Tech Bridge เผยว่า กว่า 77% ของบริการ SSL VPN ที่ให้บริการทั่วโลกยังคงใช้โปรโตคอล SSLv3 ซึ่งถูก IETF (Internet Engineering Task Force) ปรับให้เป็นโปรโตคอลที่ไม่ปลอดภัยตั้งแต่กลางปี 2015 (RFC 7568)

ใกล้สิ้นปี 2015 เข้าไปทุกทีแล้ว บทความนี้ทีมงาน TechTalkThai เลยรวบรวมเหตุการณ์ทางด้าน Cyber Security สำคัญๆที่เกิดขึ้นตลอดปีที่ผ่านมามาสรุปให้อ่านกันครับ

Google เตรียมพิจารณายกเลิกการใช้ Certificate ที่ Sign ด้วยฟังก์ชันแฮชแบบ SHA-1 บน Google Chrome ของตนให้เร็วขึ้น จากเดิมที่คาดว่าจะยกเลิกในวันที่ 1 มกราคม 2017 กลายเป็นยกเลิกในวันที่ 1 กรกฎาคม 2016 พร้อมกับ Mozilla และ Microsoft แทน

จากการที่ทีมนักวิจัยจาก 3 ชาติได้ออกมาเผยแพร่งานวิจัยล่าสุดที่ระบุว่า ค้นพบช่องโหว่บนฟังก์ชันแฮช SHA-1 ที่ก่อให้เกิดการชนกันของข้อมูล เรียกว่า Freestart Collision ส่งผลให้มีการคาดการณ์ว่า ภายในสิ้นปี 2015 แฮ็คเกอร์จะสามารถเจาะระบบ SHA-1 ได้อย่างแน่นอน และจะเป็นจุดสิ้นสุดของการใช้ฟังก์ชัน SHA-1 อย่างสมบูรณ์

นักวิจัยจาก Centrum Wiskunde & Information ประเทศเนเธอร์แลนด์, Inria ประเทศฝรั่งเศส และมหาวิทยาลัย Nanyang Technological ประเทศสิงคโปร์ ได้ทำการเผยแพร่งานวิจัยล่าสุดที่ระบุว่า พบช่องโหว่บนฟังก์ชันแฮช SHA-1 ที่ก่อให้เกิดการชนกันของข้อมูล (Collision Attack) เรียกว่า Freestart Collision