TTT Virtual Summit 2023

พบช่องโหว่เข้ารหัสข้อมูลบนมาตรฐาน IEEE เสี่ยงข้อมูลทรัพย์สินทางปัญญาถูกขโมย

November 6, 2017 Data Security and Privacy, IT Knowledge, IT Researches, Security, Threats Update, Vulnerability and Risk Management

ทีมนักวิจัยด้านความมั่นคงปลอดภัยจาก University of Florida ออกมาแจ้งเตือนถึงช่องโหว่วิทยาการรหัสลับบนมาตรฐาน IEEE P175 ซึ่งช่วยให้แฮ็คเกอร์สามารถโจมตีการเข้ารหัสข้อมูลและนำข้อมูลทรัพย์สินทางปัญญาในรูปของ Plaintext ออกไปได้

Credit: ShutterStock.com

IEEE P175 เป็นมาตรฐานที่ระบุถึงชุดของกระบวนการและเทคนิคในการเข้ารหัสข้อมูลบนฮาร์ดแวร์และซอฟต์แวร์ภายใน Chips, SoCs, Integrated Circuits และอุปกรณ์อิเล็กทรอนิกส์อื่นๆ ซึ่งมาตรฐานดังกล่าวถูกใช้เพื่อปกป้องข้อมูลลิขสิทธิ์ทางปัญญาสำหรับการออกแบบอุปกรณ์อิเล็กทรอนิกส์เชิงพาณิชย์ รวมไปถึงป้องกันการทำ Reverse Engineering ด้วย อาจกล่าวได้ว่า IEEE P175 เป็นโซลูชัน DRM สำหรับชิ้นส่วนฮาร์ดแวร์ระดับล่างซึ่งช่วยให้โค้ดจากผู้ผลิตหลายๆ รายสามารถทำงานด้วยกันได้ในขณะที่ยังถูกเข้ารหัสข้อมูลอยู่

อย่างไรก็ตาม ทีมนักวิจัย 5 คนจาก University of Florida ได้ทำการตรวจสอบมาตรฐานดังกล่าวจากการโจมตีแบบ Cryptographic หลากหลายรูปแบบ พบว่า IEEE P175 ยังคงมีประเด็นด้านความมั่นคงปลอดภัยหลายรายการ ซึ่งประเด็นที่ใหญ่ที่สุดที่ค้นพบคือ ช่องโหว่ที่ช่วยให้แฮ็คเกอร์สามารถบายพาสกลไกการเข้ารหัสข้อมูลและเข้าถึงข้อมูลทรัพย์สินทางปัญญาในรูปของ Plaintext ได้ทันที

ช่องโหว่นี้ถือว่ามีอันตรายเป็นอย่างมาก เนื่องจากอาจทำให้คู่แข่งขโมยข้อมูลผลงานของอีกฝ่ายออกไปได้ ส่งผลให้บริษัทขนาดเล็กอาจถึงขั้นต้องปิดตัวเอง เหลือแค่เพียงไม่กี่รายที่ผูกขาดตลาดไว้แต่เพียงผู้เดียว

รายการช่องโหว่ทั้งหมดที่เกี่ยวข้องประกอบด้วย

  • CVE-2017-13091: improperly specified padding in CBC mode allows use of an EDA tool as a decryption oracle
  • CVE-2017-13092: improperly specified HDL syntax allows use of an EDA tool as a decryption oracle
  • CVE-2017-13093: modification of encrypted IP cyphertext to insert hardware trojans
  • CVE-2017-13094: modification of the encryption key and insertion of hardware trojans in any IP
  • CVE-2017-13095: modification of a license-deny response to a license grant
  • CVE-2017-13096: modification of Rights Block to get rid of or relax access control
  • CVE-2017-13097: modification of Rights Block to get rid of or relax license requirement

ผู้ที่สนใจสามารถอ่านงานวิจัยฉบับเต็มได้ที่: https://eprint.iacr.org/2017/828.pdf

ที่มา: https://www.bleepingcomputer.com/news/security/crypto-bugs-in-ieee-standard-expose-intellectual-property-in-plaintext/

Tags


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

รายงาน Frost Radar™ ฉบับล่าสุด เผยอีริคสันยังครองอันดับ 1 ผู้นำตลาด โครงสร้างพื้นฐานเครือข่าย 5G ทั่วโลก [Guest Post]

อีริคสันได้รับการจัดอันดับเป็นผู้นำอันดับ 1 ในรายงาน Frost Radar™ 5G Network Infrastructure Market 2023 เป็นปีที่สามติดต่อกัน แสดงให้เห็นถึงความมุ่งมั่นของบริษัทฯ ในการลงทุนและพัฒนาความเป็นผู้นำในด้านเทคโนโลยีเพื่อประโยชน์แก่ลูกค้าอย่างต่อเนื่อง

[Black Hat Asia 2023] ทำลายห่วงโซ่: มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์

ยินดีต้อนรับสู่มุมมองของคนวงในเกี่ยวกับช่องโหว่ของห่วงโซ่อุปทานซอฟต์แวร์ หัวข้อนี้ถูกนำเสนอโดยนักวิจัยด้านความปลอดภัยชื่อ Yakir Kadkoda และ Ilay Goldman จาก Aqua Security ซึ่งมีประสบการณ์มากมายในงานด้าน Red Team พวกเขาให้ข้อมูลเชิงลึกอันมีค่าเกี่ยวกับช่องโหว่ที่แฝงตัวอยู่ในช่วงการพัฒนาซอฟต์แวร์ ที่เผยถึงความเสี่ยงที่องค์กรต้องเผชิญในการรักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์

ติดต่อโฆษณา info@techtalkthai.com

©2019 สงวนลิขสิทธิ์โดย TechTalkThai - กรุงเทพมหานคร, ประเทศไทย | ©2019 TechTalkThai, All rights reserved. - Bangkok, Thailand