HeartBleed ช่องโหว่ความปลอดภัยระดับวินาศสันตะโร

HeartBleed เป็นช่องโหว่ความปลอดภัยที่ใหญ่ที่สุดในประวัติศาสตร์ ให้ผลเสียรุนแรงขั้นระดับวินาศสันตะโรได้

ที่จริงข่าว Heartbleed นี้ออกมาหลายวันแล้ว แต่เหมือนยังมีหลายคนไม่รู้เรื่องว่ามันอันตรายยังไง และหนักหนาสาหัสยังไง ก็เลยออกมาเขียนเตือนสติว่า อย่านิ่งนอนใจ มันคือช่องโหว่ของระบบ ระดับที่สร้างความเสียหายให้คุณได้ระดับวินาศสันตะโร เพราะมันคือมาตรฐานความปลอดภัย OPEN SSL มาตรฐานการเข้ารหัสที่มีช่องโหว่ให้แฮกเกอร์ที่เข้าใจช่องโหว่นี้ดึงข้อมูลจากหน่วยความจำของเซิฟเวอร์โดยตรงทีละส่วนไปปะติดปะต่อ สรุปง่ายๆว่ากุญแจลอคบ้านเรามันดันมีช่องโหว่ให้ขโมยไขได้

นั่นหมายถึงว่าระบบหลายระบบที่ใช้ OPEN SSL ย่อมจะถูกล้วงข้อมูลไปได้ทุกเมื่อ ไม่ใช่แค่มือถือ สมาร์แทบเลท แต่มันไกลไปถึงอีเมล์สำคัญ แอคเคานท์สำคัญ และระบบการเงินออนไลน์ ที่แน่ๆระดับ กูเกิ้ล pinterest ก็แนะนำให้รีบเปลี่ยนพาสเวิิร์ด และรวมถึงเฟซบุ๊ค ด้วยเช่นกัน 

heartbleed

the biggest Internet vulnerability in recent history. It is a critical bug in the OpenSSL’s implementation of the TLS/DTLS heartbeat extension that allows attackers to read portions of the affected server’s memory, potentially revealing users data, that the server did not intend to reveal.

ตอนนี้แก้ไขยังไงเฉพาะหน้าได้บ้าง

1. อันดับแรกคือ รีบไปเปลี่ยนพาสเวิร์ด ใน แอคเคานท์ที่สำคัญๆ ในบริการที่สามารถอัพเดทแก้ไขช่องโหว่นี้ได้แล้วให้เรียบร้อยก่อนยกแรก พลาดมาเสียหายวินาศสันตะโรได้ แค่ไม่นิ่งนอนใจรีบเปลี่ยนพาส ช่วยคุณได้มากกกว่าที่คิด

รายชื่อที่ผ่านแล้ว

  • Facebook
  • Google (Gmail)
  • Yahoo!
  • Tumblr
  • Flickr
  • OkCupid
  • Netflix
  • Pinterest
  • Dropbox
  • Wunderlist
  • GitHub
Heartbleed

Change your password on sites that have patched Heartbleed. Because it is possible that an attacker already has your username and password, it is critical that you change your passwords – not just on websites that were affected by Heart bleed, but also on websites that share the same login credentials as an affected website. This is a great opportunity to find a trustworthy password manager and create a unique password for each account.

2. สำหรับบริการที่ยังไม่ผ่านการอัพเดทแก้ไข ถ้าเป็นแอคเคานท์สำคัญมาก ควรใช้วิธีการเปลี่ยนพาสเวิร์ดแอคเคานท์ที่สำคัญๆให้บ่อยๆ และถี่ขึ้น เพราะการเปลี่ยนพาสเวิร์ด ทำให้คนที่สามารถขโมยข้อมูลของคุณต้องไปตั้งหลัก Hack ใหม่ ถ้าไม่ใช่แอคเคานท์ที่สำคัญ รอให้บริการอัพเดทก่อน เพราะไม่ว่าเปลี่ยนหรือไม่เปลี่ยนก็ป้องกันอะไรไม่ได้ เว้นแต่เปลี่ยนบ่อยจนแฮกพาสใหม่ไม่ทัน

3. ใครใช้ บราวเซอร์ Chrome ยังแนะนำให้ลง Chromebleed และใครใช้ Firefox ก็ควรลง Foxbleed extension ครับ

4.ช่องโหว่ ้HeartBleed  นี้ยังดำเนินต่อไป จนกว่าแต่ละท่จะแก้ไขเสร็จ นั่นหมายถึงทุกองค์กรในบ้านเราด้วย และหลายเว็บไซต์จะต้องเปลี่ยนใบรับรอง SSL เดิม อัพเกรดรุ่น OPEN SSL เป็น 1.0.1 ที่สำคัญ ผมว่าผมจะหยุดใช้บัญชีหลักออนไลน์ เหลือแต่บัญชีรองในการทำธุรกรรมจนกว่าจะแน่ใจว่าสถาบันการเงินอัพเกรดและป้องกันช่องโหว่นี้แล้ว

credit http://thehackernews.com/2014/04/heartbleed-bug-explained-10-most.html#