Google, Linux Foundation, RedHat และมหาวิทยาลัย Purdue ได้ร่วมกันเปิดตัวโครงการ Sigstore ภายใต้แนวคิดของที่มีลักษณะคล้ายกับโครงการ Let's Encrypt สำหรับการทำ Code signing

โครงการ Sigstore จะเป็นโครงการฐานข้อมูลการรับรองซอฟต์แวร์, อิมเมจของ Container หรือไบนารี โดยจะเป็นช่องทางให้นักพัฒนาซอฟต์แวร์แบบโอเพนซอร์สสามารถทำ Code signing กับข้อมูลในโครงการของตัวเองได้ฟรี พร้อมกับเป็นช่องทางที่ให้ผู้ใช้งานคนอื่นสามารถตรวจสอบความถูกต้องได้บนพื้นฐานของ X509 PKI และการมี Tranparency log ซึ่งคล้ายกับโครงการ Certificate transparency

ในขณะนี้โครงการบางส่วนยังอยู่ในช่วงพัฒนา อาทิ ส่วนสำหรับการมอนิเตอร์การทำ Code signing ใหม่ อย่างไรก็ตามส่วนที่เป็น Ledger (rekor), โปรแกรม cosign สำหรับการทำ Signing กับ Container (cosign) และข้อมูลของ Root CA (fulcio) ได้ถูกเปิดเผยออกมาแล้ว

ผู้ที่สนใจสามารถดูข้อมูลเพิ่มเติมได้ที่ sigstore

ที่มา: security

“BLESA” ช่องโหว่ใหม่บน Bluetooth Low Energy ที่จะกระทบกับอุปกรณ์จำนวนหลายพันล้านเครื่อง

กลุ่มนักวิจัยจากมหาวิทยาลัย Purdue ได้เผยเเพร่ถึงผลการการค้นพบช่องโหว่ใหม่ในเทคโนโลยี Bluetooth Low Energy (BLE) โดยนักวิจัยได้ทำการตั้งชื่อช่องโหว่นี้ว่า BLESA (Bluetooth Low Energy Spoofing Attack) ซึ่งช่องโหว่ที่ถูกค้นพบนั้นอยู่ในขั้นตอน Reconnect ของเทคโนโลยี BLE ซึ่งคาดว่าช่องโหว่น่าจะกระทบกับอุปกรณ์หลายพันล้านเครื่อง

Bluetooth Low Energy (BLE) นั้นเป็นมาตรฐานบลูทูธที่ออกแบบมาเพื่อประหยัดพลังงานแบตเตอรี่ในขณะที่ยังคงการเชื่อมต่อบลูทูธไว้ให้นานที่สุด เนื่องจากคุณสมบัติการประหยัดแบตเตอรี่ BLE จึงถูกนำมาใช้อย่างแพร่หลายและกลายมาเป็นเทคโนโลยีที่อยู่ในอุปกรณ์ที่จำนวนหลายพันล้านเครื่อง

ปัญหาของช่องโหว่ที่ถูกค้นพบนี้อยู่ในขึ้นตอนการ Reconnect ซึ่งเกิดขึ้นเมื่ออุปกรณ์ทั้งสองหลุดจากระยะและกลับมาเชื่อมต่อกันใหม่ โดยเมื่อ Reconnect อุปกรณ์ BLE ทั้งสองควรตรวจสอบคีย์การเข้ารหัสของกันและกัน เเต่นักวิจัยพบว่าด้วยข้อกำหนด BLE นั้นไม่มีความชัดเจนจึงทำให้กระบวนการ Reconnect มีปัญหาเชิงระบบดังนี้

การตรวจสอบตัวตนในส่วน Reconnect นั้นเป็นแค่ทางเลือกไม่ใช่ข้อบังคับ
การพิสูจน์ตัวตนนั้นสามารถหลีกเลี่ยงได้ หากอุปกรณ์ของผู้ใช้ไม่สามารถบังคับให้อุปกรณ์ IoT เพื่อพิสูจน์ตัวตนของข้อมูลในระหว่างการสื่อสาร

ด้วยเหตุนี้นักวิจัยจึงได้ทำการทดสอบเพื่อทำการวิเคราะห์การสื่อสาร BLE บนระบบปฏิบัติการต่างๆ ซึ่งจากการทำสอบพบว่าอุปกรณ์ BlueZ (อุปกรณ์ IoT ที่ใช้ Linux), Fluoride (Android) และ iOS BLE stack ล้วนเสี่ยงต่อการโจมตี BLESA ในขณะที่ BLE stack ในอุปกรณ์ Windows นั้นไม่ได้รับผลกระทบ ทั้งนี้ผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถอ่านได้ที่นี้ : Usenix

ที่มา : ZDnet