Heartbleed : พบช่องโหว่ร้ายแรง เปลี่ยนรหัสผ่านด่วน!

วันนี้มีเรื่องเตือนภัยมาฝาก ส่วนตัวผมคิดว่าร้ายแรงพอสมควร นั่นก็คือเรื่อง Heartbleed นั่นเอง

HB (3)

ครับ สำหรับ Heartbeat นั้นเป็นลูกอมรูปหัวใจที่หลายๆ คนต้องเคยมอบให้คนที่แอบชอบ ถือเป็นสื่อบอกรักดีๆ อย่างนึงเลย..

เดี๋ยวนะ มันคนละบีทกันแล้ว! – –

Heartbleed คือชื่อ Bug ที่เพิ่งถูกพบเร็วๆ นี้ ซึ่งช่องโหว่นี้ทำให้ Hacker สามารถดักข้อมูลจาก Web ที่เข้ารหัสความปลอดภัย OpenSSL ได้เลย

ถ้าเปรียบเทียบข้อมูลของเรา [รหัสผ่าน / เลขบัตร Credit / ข้อมูลส่วนบุคคล] เป็นเงินในตู้เซฟในธนาคาร

โดยธนาคารก็คือ Web ที่เราไปใช้บริการบ่อยๆ เช่น Facebook / Twitter / Google / YouTube / บลาๆ

ซึ่งธนาคารเหล่านี้ก็จะใช้กุญแจที่มีมาตรฐานเดียวกันที่เรียกว่า OpenSSL

แต่แล้ววันหนึ่งคนทำกุญแจที่เราใช้กันมาตั้งนานพบว่ามีกุญแจดอกนึงที่สามารถใช้ไขกุญแจอะไรก็ได้ o_O!!!

นี่แหละครับ Heartbleed

HB (2)

อะไรนะ.. Web ไหนโดน Heartbleed บ้างเหรอ?

ก็ไม่รู้สินะ.. เพราะ OpenSSL เป็นระบบการเข้ารหัสที่นิยมใช้กันมากที่สุดเลย เพราะงั้น Web ที่ได้รับผลกระทบก็

Gmail / YouTube / Yahoo! / Dropbox / SoundCloud / Amazon Web Services / GoDaddy

[Credit: Mashable]

ด้านบนคือได้รับผลกระทบแน่ๆ ส่วน Facebook / Tumblr / Twitter / Apple ยังไม่พบหลักฐานการ Hack ผ่าน Bug นี้ และนี่ยังไม่รวม Web ที่ไม่ดังกว่าล้าน Web ทั่วโลกนะ!

เพราะงั้นสิ่งที่ต้องทำก็คือ “เปลี่ยนรหัสผ่าน”

แต่!!! Heartbleed นี่มีมาตั้งแต่ปี 2012 ก่อนที่จะถูกค้นพบในปี 2014 นะ ถ้า Web ของคุณยังใช้ระบบเก่า [กุญแจเก่า] ถึงเปลี่ยนไปก็ไร้ค่า

แต่!!! ตอนนี้ Web ชื่อดังส่วนใหญ่ก็ได้ Upgrade ระบบ [เปลี่ยนเป็นกุญแจรุ่นใหม่] เรียบร้อยแล้ว เพราะงั้นเปลี่ยน Password โล้ดดด

ส่วนวิธีดูว่า Web ไหน Upgrade แล้วก็ไปที่ http://filippo.io/Heartbleed แล้วใส่ชื่อ Web ลงไป

รู้แล้วก็ไปเปลี่ยน Password และ Share ให้เพื่อนรู้เลยจ้าาา

PS. เปลี่ยนแล้วก็อย่าพลาดกับเรื่องง่ายๆ อย่างลืม Log Out จากร้านเน็ต / คอมเพื่อนนะจ๊ะ

Update: เพิ่มข่าวจาก Daily-IT ของเจ้าหญิง IT Ceemeagain ครับ :)

Update: เรียบเรียงพื้นฐานการเข้ารหัสข้อมูลจาก Blognone ของคุณ mk [Creative Commons BY 3.0 Thailand]

การเข้ารหัสข้อมูล [Encryption] = การทำให้ข้อมูลปลอดภัย

– รูปการเข้ารหัสที่นิยม = กุญแจคู่อสมมาตร

– รูปแบบนี้จะสุ่มสร้างกุญแจ 2 ดอกขึ้นมาพร้อมกันคือ Private Key และ Public Key

– เมื่อผมต้องการส่งข้อมูลให้คุณ A ผมก็จะเอา Public Key [บน Internet] มาผูกเข้ารหัสกับข้อมูลที่จะส่ง ทำให้คนที่ดักข้อมูลระหว่างทางไม่สามารถอ่านข้อมูลของผมได้ เพราะมันเข้ารหัสอยู่

– แล้วคุณ A ก็จะใช้ Private Key ถอดรหัส [Decryption] ก็จะได้ข้อมูลที่ผมส่งไปให้

– ส่วน SSL/TLS เป็นมาตรฐานความปลอดภัยที่อยู่บนรูปแบบกญแจคู่อสมมาตร แต่เพิ่มใบรับรอง [Certificate] เพื่อยืนยันตัวตนว่าคุณ A คือคุณ A จริงๆ นะ

– โดยมาตรฐาน SSL/TLS ก็จะมี Software ที่จะตรวจสอบว่าคุณ A มีตัวตนอยู่จริงๆ

– ซึ่ง Software ที่นิยมใช้ก็คือ OpenSSL ที่มี Bug Heartbleed นี่เอง

– มาตรฐาน SSL/TLS มีตัวเลือกที่ชื่อว่า Heartbeat ที่จะตรวจสอบว่าคุณ A ยัง “มีชีวิต [Online]” อยู่รึเปล่า

– โดย Heartbeat จะส่งข้อความให้คอมอีกฝ่ายตอบรับว่ายัง Online อยู่นะ คล้ายๆ กับผมบอกให้คุณ A ตอบว่า “มะม่วง” ถ้ายังมีชีวิตอยู่ [เป็นคำที่สิ้นคิดมากจริงๆ – -v]

– แต่ Bug Heartbleed เป็นช่องโหว่ที่ทำให้คุณ A เผลอตอบคำอื่นที่ “อาจ” เป็น Private Key ซึ่งสามารถใช้ถอดรหัสข้อมูลของคนอื่นได้

– ซึ่งตอนนี้ไม่ใช่แค่อาจ เพราะมีคนลองแล้วและเอา Private Key มาได้ “จริงๆ”

– นั่นแปลว่าคนที่ดักข้อมูลระหว่างทางสามารถอ่านข้อมูลที่เราเข้ารหัสสบายๆ เพราะได้กุญแจมาแล้ว o_O!!!

– วิธีแก้ก็คือให้ผู้ดูแลระบบ Upgrade ระบบ ส่วนผู้ใช้บ้านๆ อย่างเรา “รอ” เค้า Upgrade เสร็จค่อยเปลี่ยน Password

Advertisements