แคสเปอร์สกี้ เตือนภัยช่องโหว่ Heartbleed

ศุกร์ ๑๑ เมษายน ๒๐๑๔ ๑๓:๔๖
ผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป เปิดเผยช่องโหว่ล่าสุดที่ชื่อว่า “Heartbleed” ในเว็บไซต์ที่เข้ารหัส SSL ซึ่งแพร่ระบาดในเว็บไซต์จำนวนมากนับพันเว็บไซต์ และกำลังขโมยข้อมูลสำคัญของผู้ใช้งานอินเทอร์เน็ต

เมื่อคุณทำการล็อกอินเข้า Facebook, Google หรือเว็บไซต์ธนาคารออนไลน์ นั่นคือการเชื่อมต่อกับเว็บไซต์แบบเข้ารหัสโปรโตคอล SSL เซิร์ฟเวอร์ของเว็บไซต์จำนวนมากเลือกใช้บริการโปรโตคอลนี้ผ่านโอเพ่นซอร์ส OpenSSL โดยเมื่อต้นสัปดาห์ที่ผ่านมา OpenSSL ได้ออกอัพเดทที่ชื่อ Heartbeat เพื่อซ่อมแซมฟีเจอร์ TLS โดยอาจทำให้เกิดการรั่วของข้อมูล 64kB ในหน่วยความจำของเซิร์ฟเวอร์แก่แฮกเกอร์

ซึ่งช่องโหว่นี้จะทำให้ใครก็ตามที่ใช้อินเทอร์เน็ตสามารถอ่านหน่วยความจำในเครื่องได้ ซึ่งอาจจะบันทึกยูสเซอร์เนม พาสเวิร์ด หรือแม้แต่รหัสเข้าเซิร์ฟเวอร์ที่คุณกำลังเชื่อมต่อแบบเข้ารหัสอยู่เอาไว้ โดยไม่สามารถตามรอยได้ว่าเซิร์ฟเวอร์ใดหรือข้อมูลอะไรถูกแฮกไปบ้าง

ข่าวดีคือ OpenSSL จัดการซ่อมแซมบั๊กนี้แล้ว แต่ข่าวร้ายคือ ไม่มีใครยืนยันได้ว่าเว็บไซต์ที่โดน Heartbleed เข้าเล่นงานจะอัพเกรดแพทช์เรียบร้อยแล้ว ข่าวร้ายยิ่งกว่า คือ บั๊กตัวนี้มีอายุยืนยาวถึง 2 ปี!! นั่นจะทำให้สิทธิการรับรองความปลอดภัย (Security Certificate) ถูกขโมยได้ รวมถึงข้อมูลสำคัญอื่นๆ ด้วย

คำแนะนำสำหรับผู้ใช้อินเทอร์เน็ต

- ตรวจสอบว่าเว็บที่ใช้งานเป็นประจำนั้นเคยโดนบั๊กนี้หรือไม่

โดยใช้ทูลตรวจสอบออนไลน์ http://filippo.io/Heartbleed นอกจากนี้ยังมีหลายเว็บไซต์ที่รายงานสถานะเว็บไซต์ยอดฮิตต่างๆ ข่าวดีคือ Facebook และ Google ปลอดบั๊ก แต่ Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, 500px และเว็บไซต์อื่นๆ ยังไม่ปลอดภัย

- ตรวจสอบว่าเว็บที่ใช้งานโดนบั๊กหรือไม่

โดยใช้ทูลตรวจสอบออนไลน์ http://filippo.io/Heartbleed

- ตรวจสอบว่าใช้งาน Certificate ใหม่หรือยัง

แม้ว่าเจ้าของเว็บไซต์จะแก้ปัญหาบั๊กนี้แล้ว ควรต้องพิจารณาเรื่องการออก Certificate ใหม่ด้วย ผู้ใช้งานจะต้องตรวจสอบว่าได้ใช้งาน Certificate ใหม่หรือยัง เพื่อความปลอดภัย โดยไปที่การตั้งค่าเบราเซอร์และเลือก Check for server certificate revocation

- ตรวจสอบวันที่ออก Certificate ใหม่

ผู้ใช้งานจะต้องตรวจสอบว่ามี Certificate ใหม่ที่ออกหลังวันที่ 8 เมษายน 2014 หรือไม่ โดยคลิกขวาที่รูปกุญแจสีเขียวที่ช่อง Address Bar ของเบราเซอร์ >>คลิก Connection >>คลิก Certificate Information

- เปลี่ยนพาสเวิร์ดทันที

ขั้นตอนที่สำคัญที่สุดหลังจากการอัพเดทแพทช์และ Certificate แล้ว คือการเปลี่ยนพาสเวิร์ดเพื่อเข้าใช้งานเว็บไซต์ต่างๆ ทันที เลือกใช้พาสเวิร์ดที่คุณจำง่ายแต่คนอื่นเดายาก โดยทดสอบความยากของพาสเวิร์ดคุณได้ที่ http://blog.kaspersky.com/password-check/

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป กล่าวทิ้งท้ายเตือนผู้ใช้งานอินเทอร์เน็ตให้ระมัดระวังการใช้งานในโลกไซเบอร์ และติดตามข่าวสารจากเว็บไซต์ไอทีต่างๆ อย่างสม่ำเสมอ เช่น เว็บไซต์ของแคสเปอร์สกี้ แลป www.securelist.com เพื่อการป้องกันได้ทันท่วงที

ข่าวประชาสัมพันธ์ล่าสุด

๑๕:๒๑ โรงพยาบาลเอกชล ได้มีการจัดกิจกรรมงาน วันเบาหวานโลก 2567 Diabetes and Well-Being สุขกาย สุขใจ โลกสดใส ใส่ใจเบาหวาน
๑๔:๓๑ ทีทีบี ชูพลัง Data และ AI ก้าวข้ามขีดจำกัด ตอบโจทย์ลูกค้าระดับเฉพาะบุคคล จับมือ databricks เพิ่มประสิทธิภาพการให้บริการ
๑๔:๒๔ AMF ประกาศรางวัลการตลาดยอดเยี่ยม และนักการตลาดดีเด่นแห่งเอเชีย ประจำปี 2567
๑๔:๑๘ สยาม ทาคาชิมายะ ณ ไอคอนสยาม เฉลิมฉลองสุดยิ่งใหญ่ครบรอบ 6 ปี
๑๔:๕๖ ใจสั่น ไม่ใช่เรื่องเล็ก AF เพิ่มความเสี่ยงโรคหลอดเลือดสมอง 3 เท่า
๑๔:๓๗ บุฟเฟต์มื้อกลางวันและมื้อค่ำวันพ่อพร้อมโปรสุดพิเศษคุณพ่อทานฟรี
๑๔:๕๘ บริษัทศูนย์รับฝากคะแนน จับมือ Robinhood เข้าร่วมแพลตฟอร์ม Paypoint NETWORK มั่นใจ EFFECT ที่แข็งแกร่งทำหน้าที่เป็นศูนย์กลางแลกเปลี่ยนคะแนน
๑๔:๓๗ ดร.นุชนารถ ชลคงคาขนทัพวิทยากรฝีมือฉมัง!! เตรียมจัดอบรมหลักสูตร DMK Mastering Service Excellence :Professional Image and Communication ระหว่างวันที่ 27-28 ม.ค.68 ณ
๑๔:๐๖ Kaspersky เปิดคอร์สฝึกอบรมออนไลน์ฟรี เรื่อง AI ในระบบการศึกษา สำหรับนักการศึกษาและผู้ปกครอง
๑๔:๕๕ NCP ฟอร์มเด่น! Q3 กำไรพุ่ง 23.88% รับผลดีธุรกิจ Upselling Service และ Dedicated Telesale Outsourcing ฮอต
© 2007 - 2024 Tasang Limited, All Rights Reserved. 6.0ms