ขอร่วมด้วยช่วยบอกต่อกับเหตุด่วนเหตุร้ายบนโลกอินเทอร์เนต ที่วันนี้แชร์กันให้ว่อน เพราะงานนี้ได้รับผลกระทบกันทุกคนทั่วโลก รวมถึงพวกเราคนไทยทั้งหมดด้วย เพราะระบบความปลอดภัยที่เราเคยเชื่อถือกันมา ไม่ปลอดภัยอีกต่อไป การเข้ารหัสข้อมูลถูกถอดได้ และพาสเวิร์ดเราอาจถูกโจรกรรมไปง่ายๆผ่านรูรั่วที่ชื่อ “Heartbleed Bug”

มีการเพิ่มเติมข้อมูลเข้ามาเพียบ…เอาแต่สาระสำคัญ ผมได้ทำตัวใหญ่และหนาเอาไว้ให้แล้ว เผื่ออ่านข้ามๆนะครับ

Heartbleed bug คืออะไร?

ปกติเว็บไซต์ดังๆ หรือธนาคารต่างๆ จะมีระบบรักษาความปลอดภัย เมื่อมีการเชื่อมต่อ รับ-ส่งข้อมูลระหว่างเราและเว็บ ข้อมูลต่างๆจะถูกเข้ารหัสแปลงข้อมูลให้กลายเป็นตัวเลขหรือตัวอักษรที่คนทั่วไปอ่านไม่รู้เรื่อง (encryption) ต้องมีกุญแจถอดรหัสถูกต้องเท่านั้นถึงจะเปลี่ยนข้อมูลที่ถูกเข้ารหัสนี้กลับเป็นปกติอีกครั้ง แต่เจ้ารู้รั่ว Heartbleed bug นี้ทำให้เหล่า hacker สามารถเจาะผ่านระบบการรักษาความปลอดภัยนี้ไปได้ สามารถแกะ Username, Password, เข้าทำการโพสต์ อัพเดท หรือทำธุรกรรมต่างๆภายใต้ชื่อเราได้ทั้งหมด

นี่อาจจะเป็นรูรั่วที่ร้ายแรงที่สุดในประวัติศาสตร์อินเทอร์เนตเลยก็ว่าได้ ถ้าหลังจากนี้ไม่กี่วัน เราได้ยินข่าวว่าบัญชีธนาคารจำนวนมากถูกขโมยไป ผมจะไม่แปลกใจเลย” Matthew Prince, CEO ของ CloudFlare ผู้ให้บริการด้านความปลอดภัยของเว็บไซต์กล่าว

ข้อมูลเพิ่มเติมเรื่อง Heartbleed Bug จาก Blognone โดย mk

Heartbleed Bug เป็นช่องโหว่ของ OpenSSL ซึ่งเป็นซอฟท์แวร์ที่ใช้อย่างกว้างขวางในฐานะซอฟต์แวร์พื้นฐานสำหรับการเข้ารหัส SSL/TLS เพื่อส่งข้อมูลแบบ HTTPS, VPN และทราฟฟิกเข้ารหัสแบบอื่นๆ

การค้นพบช่องโหว่ Heartbleed ถือเป็นการ “เจาะที่หัวใจ” ทำลายความน่าเชื่อถือของการส่งข้อมูลผ่าน SSL/TLS ลงอย่างมาก (ตามสัดส่วนการใช้ OpenSSL) เพราะการเข้ารหัสที่เรา “เชื่อว่าปลอดภัย” นั้นกลับไม่ปลอดภัยอย่างที่เคยคิดกันไว้

ถ้าใครสงสัยว่า SSL ทำงานอย่างไร สามารถไปดูที่วิดีโอนี้ได้ครับ ทำมาเป็นภาษาอังกฤษ แต่ก็พอจะเดาได้แม้ไม่เก่งภาษา

Play video

แนะนำอ่านที่คุณมาร์คเขียนเอาไว้ดีแล้วเรื่อง Heartbleed Bug ที่ https://www.blognone.com/node/55302 หรือไปที่ https://www.thaicert.or.th/alerts/admin/2014/al2014ad002.html ก็เขียนมาครอบคลุมดีครับ

นี่คือการ์ตูนจาก xkcd ที่บอกกันว่าอธิบายปัญหา Heartbleed Bug ออกมาแบบง่ายๆได้ดีที่สุด

ใครทำผิดก็ไปจับตัวมาลงโทษสิ 

ปัญหาคือ Hacker คนใดก่ออาชญากรรมผ่านช่องโหว่ Heartbleed Bug จะไม่เหลือร่องรอยอะไรให้ตามจับได้เลย หากมีปัญหาแล้วจะจับมือใครดมไม่ได้ แล้วทางผู้ให้บริการจะบอกว่าเราเป็นคนทำธุรกรรมนั้นๆต้องรับผิดชอบเองทุกอย่าง!!!

 

เว็บไหนเจอปัญหานี้บ้าง? 

Google, Facebook, Instagram, Twitter, และบริการออนไลน์ชื่อดังแทบทั้งหมด รวมถึงธนาคารต่างๆ อาจโดนปัญหานี้กันถ้วนหน้า!!!

ปัญหานี้เว็บไซต์ต่างๆจะแก้ไขได้เร็วขนาดไหน?

การหยุดปัญหานี้ เว็บไซต์ที่มีรูโหว่ต้องทำการอัพเดทระบบความปลอดภัย แล้วก็ทำการเปลี่ยนพาสเวิร์ดของผู้ใช้ใหม่ทั้งหมด ซึ่งหลายๆเว็บได้ทำการแก้ไขแล้ว แต่มันก็ยังไม่จบซะทีเดียว เพราะตราบใดที่ยังมีเว็บที่ยังไม่ทำการอัพเดทระบบ อุดรูรั่วนี้ให้เรียบร้อยแล้ว หากเราไปล็อคอินด้วยพาสเวิร์ดเดียวกันในเว็บที่ยังไม่ได้แก้ไข เหล่าอาชญากรรวมถึงหน่วยงานราชการต่างๆก็สามารถเอาพาสเวิร์ดจากเว็บนั้นมาส่องบัญชีของเราได้อยู่ดี ซึ่งการล้างระบบนี้ให้สะอาดเรียบร้อยได้ก็ใช้เวลาเป็นปีๆแน่ๆ

และปัญหานี้ได้รับรายงานว่าเกิดขึ้นตั้งแต่ปี 2012 แต่เรื่องเพิ่งมาแดงเอาปีนี้ จึงทำให้ไม่สามารถทราบได้เลยว่ามีใครบ้างที่ถูกโจรกรรมบัญชีไปเรียบร้อยแล้ว

 

แล้วเราจะต้องป้องกันตัวเองได้อย่างไร

คำแนะนำเบื้องต้นที่บอกๆกันตอนนี้คือเปลี่ยนพาสเวิร์ดซะ โดยบริการที่ยืนยันแล้วว่ามีการอัพเดทระบบเรียบร้อย พร้อมให้เข้าไปเปลี่ยนสามารถดูได้จากที่ Mashable, Blognone หรือว่าตรวจสอบจาก Lastpass

ถ้าขี้เกียจกด Link เข้าไปก็ขอสรุปแบบคร่าวๆคือ เปลี่ยนพาสเวิร์ดของทุกบริการหลักที่ใช้อยู่…เข้าใจตรงกันนะ

 

การทำธุรกรรมออนไลน์กับธนาคารในประเทศไทยยังปลอดภัยจาก Heartbleed Bug อยู่หรือไม่?

จากการทดสอบของหลายๆคน เห็นว่าธนาคารในประเทศไทยรอดปลอดภัยกันหมด ไม่เจอปัญหา Heartbleed Bug นะ

เราสามารถเข้าไปตรวจสอบความปลอดภัยของเว็บไซต์ ว่ามีปัญหาจาก Heartbleed Bug หรือเปล่าได้ที่ https://www.ssllabs.com/ssltest/analyze.html

ตัวอย่าง เมื่อกดทดสอบเว็บ Kasikorn Bank Online ตรงแถบที่สองเป็นสีเขียวระบุว่าน่าจะปลอดภัยจากปัญหานี้

 

เพียงพอหรือไม่? คำแนะนำเพิ่มเติม?

อย่างที่บอกว่าการอัพเดทระบบครั้งนี้จะเสร็จสิ้นเรียบร้อยต่อเมื่อเว็บไซต์ที่มีข้อมูลสำคัญต่างๆอัพเดทระบบแล้วเท่านั้น หากเว็บใดเว็บหนึ่งยังไม่ทำการอุดรูรั่วนี้ เมื่อเราเข้าใช้งาน พาสเวิร์ดเราก็ยังอาจถูกโจรกรรมไปได้อยู่ดี และตัวที่ผมเป็นห่วงที่สุดคือพวกเว็บธุรกรรมการเงินต่างๆของไทยที่จนถึงทุกวันนี้ยังเงียบกันอยู่ทั้งหมด ไม่มีการออกมาแถลงเกี่ยวกับปัญหา Heartbleed bug นี้เลย แต่เห็นมีบางคนบอกว่าหลายๆธนาคารไทยไม่เจอปัญหานี้

แต่อย่างไรก็ดีขอแนะนำว่าแยกพาสเวิร์ด

อย่างน้อยคือแยกพาสเวิร์ดเว็บที่เชื่อถือได้ แก้ไขแล้ว ออกจากเว็บที่ยังไม่ได้รับการยืนยันใดๆ รวมถึงเว็บไทย เพราะอย่างน้อยถ้าถูกเจาะทะลุแล้วก็ยังจะยังไม่พุ่งไปถึงหัวใจครับ

ตัวอย่าง password ของ Facebook, Twitter, Google, Instagram ไม่ควรจะเหมือนกับเว็บทั่วไป ทั้ง 4 บริการนั้นได้ทำการแก้ไขปัญหา Heartbleed Bug แล้วก็จริง แต่เว็บอื่นเราไม่ทราบ ดังนั้นอย่างน้อยเราควรจะ Password อย่างน้อย 2 ชุด เพื่อใช้กับเหล่าเว็บที่เราชัวร์ว่าปลอดภัย และเว็บที่ไม่ชัวร์เท่าไหร่เอาไว้นะ

ปล. ผมไม่ใช่ผู้ที่เก่งด้านความปลอดภัยเท่าไหร่นัก หากว่ามีท่านใดที่มีความรู้มากกว่า รวมถึงคำแนะนำอื่นๆ อยากให้ช่วยเข้ามาเสริมได้เลยครับ เป็นอานิสงค์ให้แก่เพื่อนๆร่วมโลกครับ 🙂