มาว่ากันด้วยเรื่อง Security อีกแล้ว … หลังจากเพิ่งเขียนเรื่อง ช่องโหว่ใน ADSL Router ไปหมาดๆ .. จะพยายามหาเรื่องความปลอดภัยที่ทุกๆคนควรรู้มาอัพเดทกัน
HeartBleed เป็นชื่อบั๊กตัวนึงที่เกี่ยวกับ SSL ซึ่งชื่อของมันมาจากสิ่งที่เรียกว่า Heartbeat ใน SSL มันคือข้อมูลที่ผ่านการตรวจสอบแล้วและจะส่งไปมาระหว่าง server/client ได้โดยไม่ต้องตรวจสอบอีก (คิดว่าข้ามๆมันไปก่อนดีกว่า 555+)
SSL คืออะไร ?
SSL คือมาตรฐานความปลอดภัย ทำหน้าที่เข้ารหัสข้อมูลระหว่างเครื่องคอมพิวเตอร์ของเรา(รวมถึงมือถือและแทบเล็ต)กับปลายทาง .. ดูได้ง่ายๆว่าเข้าเว็บแล้วมีรูปโลห์เขียวๆหรือแม่กุญแจเขียวๆตรงช่อง URL นั่นแหล่ะ แปลว่าเราใช้ SSL อยู่
ตัวอย่างเช่น เวลาเราคุยแชทกับเพื่อน ถ้าโปรแกรมที่เราใช้มีการเข้ารหัส SSL เวลามีใครดักข้อมูลได้ (ตามทฤษฎี) เค้าก็จะไม่รู้หรอกว่าเราคุยอะไรกัน คนที่ชุมสายโทรศัพท์, ISP หรือตัวกลางอื่นๆ ก็จะไมรู้ว่าเราคุยอะไรกัน นั้นคือ SSL ซึ่งมันทำให้เราปลอดภัย (ปีสองปีก่อน การคุย Whatsapp สามารถแอบอ่านของคนอื่นได้เพียงแค่ต่อเน็ตเวอร์คเดียวกันกับคนคนนั้น เพราะมันไม่ได้เข้ารหัส)
หรืออีกตัวอย่างคือ เวลาเราใช้ E-Banking กระบวนการทั้งหมดจะถูกเข้ารหัส ใครที่อยู่ตรงกลาง ระหว่างบ้านเรา กับ Server ของ Bank ก็จะไม่สามารถอ่านข้อมูลออกว่าเราทำอะไรอยู่ การแอบเปลี่ยนแปลข้อมูลระหว่างทางก็ทำได้ยากขึ้น (ลองคิดภาพว่าถ้าเค้าแก้ได้ เวลาโอนเงิน เค้าอาจจะเปลี่ยนเลขที่บัญชีเป็นของตัวเองก็ได้) … นั่นคือทำไม SSL มันถึงสำคัญ ซึ่งทุกวันนี้ เราใช้ SSL กันเยอะขึ้นมาก หลังจากมีข่าวว่า NSA มีการดักจับข้อมูลนู่นนี่ เว็บส่วนใหญ่เริ่มมีการเข้ารหัสทั้งๆที่เป็นเว็บธรรมดาที่ไม่ได้มีอะไรสำคัญ เพราะความเชื่อมั่นในอินเตอร์เน็ตลดลงไปเยอะมาก มีคนที่พยายามแก้ไขข้อมูลระหว่างทางเยอะขึ้น พยายามแอบอ่านข้อมูลของคนอื่นเพื่อนำไปหาประโยชน์มากขึ้น
ตัวอย่างวิธีดูว่าเว็บไซต์เป็น SSL หรือไม่ และใบรับรองออกโดยใคร (Chrome)
ซึ่งการที่ SSL เนี่ยมันเป็นชื่อเรียกมาตรฐาน เวลาจะใช้งานเหล่า Programmer ก็จะเขียนโปรแกรมตามมาตรฐานนี้ ซึ่งมีโปรเจคที่ชื่อ OpenSSL ที่เป็น Open Source ทำชุดโปรแกรม SSL มาแจกจ่ายให้ใช้กัน .. แล้วไอตัว OpenSSL นี่มันฮอตฮิตมาก มีเว็บไซต์ใหญ่ๆมากมายเอาไปใช้ (รวมถึง Google และ Facebook) .. แต่มันดันมีช่องโหว่ Heartbleed นี่อยู่ !!!
กลับมาที่ Heartbleed กันต่อ … บั๊กตัวนี้เพิ่งคนพบเมื่อไม่นานก่อนหน้านี้ มันคือช่องโหว่ใน OpenSSL ทำให้ใครก็ตามสามารถอ่านข้อมูลที่ค้างอยู่บน Server ได้ นั่นหมายความว่า ข้อมูลที่เคยส่งกัน(ที่คิดว่าคนตรงกลางไม่รู้) อาจจะไม่จริง ทำให้รู้ข้อมูลที่ส่งระหว่างกันได้ รวมถึง username และ password ของเราเวลาเข้าเว็บนั้นๆนั่นเอง
ผลกระทบคือ .. username/password ที่เราใช้เข้าเว็บต่างๆอาจจะถูกผู้ไม่หวังดีรู้(ไปแล้ว)ได้ ผลคือเว็บไซต์ต่างๆเริ่มออกมาให้ข้อมูลว่า ช่องโหว่ตัวนี้มีผลกระทบกับเว็บไซต์ตัวเองหรือไม่ ..
สรุปว่า … แนะนำให้เปลี่ยน Password สำหรับเว็บที่มีการใช้ตัว OpenSSL ที่เห็นชัดๆคือ Google/Facebook/Dropbox เริ่มแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านแล้ว รายชื่อเต็มๆของแต่ละอันดูได้ที่นี่ http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/ (ฉบับไทย https://www.blognone.com/node/55250) ดูเหมือน Microsoft และ Apple จะไม่โดนเพราะมีการเขียน SSL ขึ้นมาใช้เอง … แต่สำหรับผู้ที่ใช้ Password เดียวกันหมดทุกเว็บ ผมเชื่อว่าอย่างน้อย 1 เว็บที่คุณใช้ต้องมี Heartbleed แน่นอน เพราะฉะนั้นแนะนำให้เปลี่ยนครับ
อันนี้เป็นการ์ตูนที่เล่าถึงช่องโหว่ ว่าสามารถอ่านข้อมูลคงค้างใน Memory ของ Server ได้ยังไง https://xkcd.com/1354/
ปล.อย่าลืมสังเกตุก่อนนะ ว่าเว็บนั้นๆแก้ไขเรื่องนี้แล้ว เพราะว่าถ้าเค้ายังไม่แก้ ต่อให้เปลี่ยน Password ไปมันก็ยังหลุดได้อยู่ดี !!
ใครสงสัยว่าเว็บไหนมีช่องโหว่นี้อยู่ .. ลองตรวจสอบได้ที่นี่ http://filippo.io/Heartbleed/
สำหรับใครที่จำ Password ของตัวเองไม่ค่อยได้ ลองใช้โปรแกรม KeePass ดู เป็นโปรแกรมช่วยเก็บ Password .. ถ้าใช้ Password ไม่เหมือนกันในแต่ละเว็บได้ จะดีมาก
