Security Risk : ช่องโหว่ Heartbleed ควรเปลี่ยนรหัสผ่านกันด่วน

มาว่ากันด้วยเรื่อง Security อีกแล้ว … หลังจากเพิ่งเขียนเรื่อง ช่องโหว่ใน ADSL Router ไปหมาดๆ ..  จะพยายามหาเรื่องความปลอดภัยที่ทุกๆคนควรรู้มาอัพเดทกัน

HeartBleed เป็นชื่อบั๊กตัวนึงที่เกี่ยวกับ SSL  ซึ่งชื่อของมันมาจากสิ่งที่เรียกว่า Heartbeat ใน SSL มันคือข้อมูลที่ผ่านการตรวจสอบแล้วและจะส่งไปมาระหว่าง server/client ได้โดยไม่ต้องตรวจสอบอีก (คิดว่าข้ามๆมันไปก่อนดีกว่า 555+)

SSL คืออะไร ?

SSL คือมาตรฐานความปลอดภัย ทำหน้าที่เข้ารหัสข้อมูลระหว่างเครื่องคอมพิวเตอร์ของเรา(รวมถึงมือถือและแทบเล็ต)กับปลายทาง .. ดูได้ง่ายๆว่าเข้าเว็บแล้วมีรูปโลห์เขียวๆหรือแม่กุญแจเขียวๆตรงช่อง URL นั่นแหล่ะ แปลว่าเราใช้ SSL อยู่

ตัวอย่างเช่น เวลาเราคุยแชทกับเพื่อน ถ้าโปรแกรมที่เราใช้มีการเข้ารหัส SSL เวลามีใครดักข้อมูลได้ (ตามทฤษฎี) เค้าก็จะไม่รู้หรอกว่าเราคุยอะไรกัน คนที่ชุมสายโทรศัพท์, ISP หรือตัวกลางอื่นๆ ก็จะไมรู้ว่าเราคุยอะไรกัน นั้นคือ SSL ซึ่งมันทำให้เราปลอดภัย (ปีสองปีก่อน การคุย Whatsapp สามารถแอบอ่านของคนอื่นได้เพียงแค่ต่อเน็ตเวอร์คเดียวกันกับคนคนนั้น เพราะมันไม่ได้เข้ารหัส)

หรืออีกตัวอย่างคือ เวลาเราใช้ E-Banking กระบวนการทั้งหมดจะถูกเข้ารหัส ใครที่อยู่ตรงกลาง ระหว่างบ้านเรา กับ Server ของ Bank ก็จะไม่สามารถอ่านข้อมูลออกว่าเราทำอะไรอยู่ การแอบเปลี่ยนแปลข้อมูลระหว่างทางก็ทำได้ยากขึ้น (ลองคิดภาพว่าถ้าเค้าแก้ได้ เวลาโอนเงิน เค้าอาจจะเปลี่ยนเลขที่บัญชีเป็นของตัวเองก็ได้) … นั่นคือทำไม SSL มันถึงสำคัญ ซึ่งทุกวันนี้ เราใช้ SSL กันเยอะขึ้นมาก หลังจากมีข่าวว่า NSA มีการดักจับข้อมูลนู่นนี่ เว็บส่วนใหญ่เริ่มมีการเข้ารหัสทั้งๆที่เป็นเว็บธรรมดาที่ไม่ได้มีอะไรสำคัญ เพราะความเชื่อมั่นในอินเตอร์เน็ตลดลงไปเยอะมาก มีคนที่พยายามแก้ไขข้อมูลระหว่างทางเยอะขึ้น พยายามแอบอ่านข้อมูลของคนอื่นเพื่อนำไปหาประโยชน์มากขึ้น

ตัวอย่างวิธีดูว่าเว็บไซต์เป็น SSL หรือไม่ และใบรับรองออกโดยใคร (Chrome)

ซึ่งการที่ SSL เนี่ยมันเป็นชื่อเรียกมาตรฐาน เวลาจะใช้งานเหล่า Programmer ก็จะเขียนโปรแกรมตามมาตรฐานนี้ ซึ่งมีโปรเจคที่ชื่อ OpenSSL ที่เป็น Open Source ทำชุดโปรแกรม SSL มาแจกจ่ายให้ใช้กัน ..  แล้วไอตัว OpenSSL นี่มันฮอตฮิตมาก มีเว็บไซต์ใหญ่ๆมากมายเอาไปใช้ (รวมถึง Google และ Facebook)  .. แต่มันดันมีช่องโหว่ Heartbleed นี่อยู่ !!!

กลับมาที่ Heartbleed กันต่อ … บั๊กตัวนี้เพิ่งคนพบเมื่อไม่นานก่อนหน้านี้ มันคือช่องโหว่ใน OpenSSL ทำให้ใครก็ตามสามารถอ่านข้อมูลที่ค้างอยู่บน Server ได้ นั่นหมายความว่า ข้อมูลที่เคยส่งกัน(ที่คิดว่าคนตรงกลางไม่รู้) อาจจะไม่จริง ทำให้รู้ข้อมูลที่ส่งระหว่างกันได้ รวมถึง username และ password ของเราเวลาเข้าเว็บนั้นๆนั่นเอง

ผลกระทบคือ .. username/password ที่เราใช้เข้าเว็บต่างๆอาจจะถูกผู้ไม่หวังดีรู้(ไปแล้ว)ได้ ผลคือเว็บไซต์ต่างๆเริ่มออกมาให้ข้อมูลว่า ช่องโหว่ตัวนี้มีผลกระทบกับเว็บไซต์ตัวเองหรือไม่ ..

สรุปว่า … แนะนำให้เปลี่ยน Password สำหรับเว็บที่มีการใช้ตัว OpenSSL ที่เห็นชัดๆคือ Google/Facebook/Dropbox เริ่มแนะนำให้ผู้ใช้เปลี่ยนรหัสผ่านแล้ว รายชื่อเต็มๆของแต่ละอันดูได้ที่นี่ http://mashable.com/2014/04/09/heartbleed-bug-websites-affected/  (ฉบับไทย https://www.blognone.com/node/55250) ดูเหมือน Microsoft และ Apple จะไม่โดนเพราะมีการเขียน SSL ขึ้นมาใช้เอง …  แต่สำหรับผู้ที่ใช้ Password เดียวกันหมดทุกเว็บ ผมเชื่อว่าอย่างน้อย 1 เว็บที่คุณใช้ต้องมี Heartbleed แน่นอน เพราะฉะนั้นแนะนำให้เปลี่ยนครับ

อันนี้เป็นการ์ตูนที่เล่าถึงช่องโหว่ ว่าสามารถอ่านข้อมูลคงค้างใน Memory ของ Server ได้ยังไง https://xkcd.com/1354/

ปล.อย่าลืมสังเกตุก่อนนะ ว่าเว็บนั้นๆแก้ไขเรื่องนี้แล้ว เพราะว่าถ้าเค้ายังไม่แก้ ต่อให้เปลี่ยน Password ไปมันก็ยังหลุดได้อยู่ดี !!

ใครสงสัยว่าเว็บไหนมีช่องโหว่นี้อยู่ .. ลองตรวจสอบได้ที่นี่ http://filippo.io/Heartbleed/

สำหรับใครที่จำ Password ของตัวเองไม่ค่อยได้ ลองใช้โปรแกรม KeePass ดู เป็นโปรแกรมช่วยเก็บ Password .. ถ้าใช้ Password ไม่เหมือนกันในแต่ละเว็บได้ จะดีมาก

Security Risk : ใครใช้ Router ที่แถมมากับ ISP โปรดอ่าน

ถ้าใครอ่านข่าว IT อยู่บ้างจะเห็นว่าช่วงที่ผ่านมามีข่าวเรื่องผู้ใช้งานอินเตอร์เน็ตในไทยโดยแฮค Router เพื่อแก้ไข DNS (ข่าวจาก Blognone)

เล่าสั้นๆก็คือ มีผู้ไม่ประสงค์ดีเข้ามาแก้ไข DNS ใน Router เรา ส่งผลให้เมื่อเราเข้าบางเว็บไซต์ (เช่น Google.com / Youtube.com)  Router ตัวนี้จะส่งเราไปยังเว็บไซต์ปลอม เพื่อดาวโหลดซอฟท์แวร์ไวรัสอีกที โดยหลอกเราว่า Adobe Flash บนเครื่องเก่าเกินไปให้ลงตัวใหม่ (ซึ่งเป็นไวรัส) หรืออีกกรณีที่เจอคือเมื่อเข้าเว็บแล้วจะถูกส่งไปหน้าเว็บอื่นก่อนเพื่อให้คลิกโฆษณาก่อนที่ส่งไปเว็บจริงๆที่เราต้องการ หรือใครมีอาการที่เข้าเว็บที่บ้านแล้วแปลกๆในขณะที่ที่ทำงานไม่เป็น และที่บ้านยังใช้ Router จาก True/Tot/3bb อยู่ ให้สันนิษฐานไว้ก่อนเลยว่าโดนแล้ว

 

ปัญหานี้ส่วนใหญ่เกิดได้จาก 2 กรณีใหญ่ๆคือ

1. ใช้รหัสผ่านของ Router เป็นค่าเริ่มต้นจากโรงงาน โดยส่วนใหญ่ Router ที่แถมมาตอนติดตั้งเน็ตจะเป็น Password เหมือนๆกัน tot เอย admin เอย router เอย … บางคนไม่รู้ด้วยซ้ำว่า Router ต้องตั้งค่าความปลอดภัยอะไรบ้าง ข้อนี้สามารถแก้ได้ง่ายได้ ดังนี้

  • เข้าไปยังหน้าตั้งค่า Router ผ่านทางหน้าเว็บ โดยส่วนใหญ่จะเป็น  http://192.168.1.1 หรือไม่ก็ http://192.168.0.1 แล้วก็ใส่ User / Password ที่ตั้งค่ามาจากโรงงาน ตัวอย่างเช่น Router TPLink ที่แถมมากับ True Internet จะเป็น User admin / password admin
  • เมื่อเข้ามาได้ก็เข้าไปที่หน้า Administration เปลี่ยนรหัสซะ เป็นอันจบ …
  • เรื่องวิธีเปลี่ยนรหัส น่าจะหาอ่านได้ทั่วๆไป search ด้วย Keyword “วิธีเปลี่ยนรหัส+router”  อันนี้เป็นวิธีเปลี่ยนรหัส Router ของ True http://support2.truecorp.co.th/detail.aspx?document_id=377
Default Password ของ Router มีอยู่ในหน้า Support ของ True

 

2. Router ที่ใช้อยู่มีช่องโหว่ด้านความปลอดภัย ซึ่งส่วนใหญ่จะเป็น Router ที่แถมมาจากตอนติดอินเตอร์เน็ตอีกเช่นกัน ข้อนี้แหล่ะที่อยากจะเขียนถึงในวันนี้ ช่วงโหว่อันนี้ค่อนข้างร้ายแรง ชนิดที่ว่าต่อให้เปลี่ยนรหัสเป็นรหัสยากขนาดไหน ก็ไม่มีผล เพราะรหัสสามารถถอดกลับมากได้อยู่ดี ช่องโหว่นี้ถูกเรียกกันว่า Rom-0

Scroll to top