Blog

Heartbleed Bug คืออะไร? Heartbleed Bug เป็นช่องโหว่ความเสี่ยงสูงที่มีอยู่ใน OpenSSLLibrary ซึ่งเว็บไซต์นับ ล้านทั่วโลกใช้งาน Library นี้อยู่โดยที่ OpenSSL Library นี้จะถูกเรียกใช้งานโดย Application ที่ต้องการเข้ารหัสการรับส่งข้อมูลโดยใช้SSL/TLS (เช่น HTTPS, VPN, EMAIL) ผลกระทบที่เกิดจาก Heartbleed Bug คือการที่ผู้โจมตีสามารถเข้าถึงข้อมูลที่ อยู่ในหน่วยความจำหลัก (หรือ RAM นั่นเอง)ได้จากระยะไกล ซึ่งเป็นที่ทราบกันดีอยู่ แล้วว่าข้อมูลในระหว่างการรับ-ส่ง นั้นจะถูกเข้ารหัสโดย SSL/TLS แต่เมื่อข้อมูลถูกส่ง มาถึงผู้รับและเข้าไปอยู่ใน RAM นั้นจะเป็นplaintext หรือพูดง่าย ๆ ว่า ไม่ได้ถูก เข้ารหัสแล้วนั่นเอง เป็นเหตุให้ข้อมูลความลับไม่ว่าจะเป็น key ที่ใช้ถอดรหัสข้อมูล รวมถึงข้อมูลอื่น ๆ เช่น username/passwordถูกเข้าถึงได้โดย Hacker (ขอแถมอีกนิด ว่าการที่ช่องโหว่นี้ได้ชื่อว่า Heartbleedเนื่องจากตัว Extension ตัวหนึ่งใน OpenSSL Library ชื่อว่า “Heartbeat” เป็นตัวการให้เกิดการรั่วไหลของข้อมูล) Heartbleed Bug ได้ข้อมูลหมดทุกอย่างใน RAM เลยหรือ? คำตอบคือ ไม่ จะได้ข้อมูลเฉพาะของ Applicationที่ใช้งาน OpenSSL Library นั้น ๆ เช่น สมมติว่า มีเครื่อง server 1เครื่อง ให้บริการ HTTPS Web, VPN, Email แล้วทั้ง 3 บริการนี้มีช่องโหว่ Heartbleed Bug เหมือนกันหมดการโจมทีไปที่ VPN จะไม่ได้ ข้อมูลใน RAM ของWeb และ Email ได้เฉพาะVPN เองเท่านั้น (หากสงสัยว่าทำไม ต้องตอบว่านี่คือการทำงานปกติของระบบคอมพิวเตอร์โปรแกรมต่าง ๆ ที่ทำงานอยู่ใน RAM จะรู้สึกเหมือนกับว่าตัวมันเองใช้งาน RAMอยู่เพียงผู้เดียว ทั้ง ๆ ที่จริงแล้วมี โปรแกรมนับร้อยทำงานอยู่) รูปที่ 1: ตัวอย่างการรั่วไหลของข้อมูลจากRAM จากช่องโหว่ Heartbleed รูปที่ 2: ตัวอย่างข้อมูลสำคัญที่ได้ ช่องโหว่นี้เกิดกับ OpenSSL version ใดบ้าง? OpenSSL version 1.0.1a – 1.0.1f OpenSSL version 1.0.1:beta1 – 1.0.1:beta3 OpenSSL version 1.0.2-beta1 วิธีการตรวจสอบว่าโดเมนของท่านจะโดนโจมตีได้หรือไม่? สามารถใช้บริการได้ที่ http://www.tisa.or.th/heartbleed โดยระบุโดเมนที่ต้องการตรวจสอบในช่องใส่โดเมนจากนั้นคลิกที่ปุ่มGO ผู้ดูแลระบบจะรับมือช่องโหว่ได้อย่างไร? 1. ทำการปิดช่องโหว่ ซึ่งทำได้โดย 1.1 ทำการอัพเดท software OpenSSL และตรวจสอบหมายเลขversion ให้ แน่ชัด ว่า version ของsoftware ได้รับการอัพเดทแล้ว 1.2 หากต้องการใช้ version เดิมให้ทำการ recompile OpenSSL Library ใหม่ แล้วจึงนำมาใช้งาน (ข้อมูลเพิ่มเติมได้ที่heartbleed.com) เนื่องจาก OpenSSL เป็น Open Source Software 1.3 ผู้ดูแลระบบสามารถดูรายชื่อ product ที่ได้รับผลกระทบจากช่องโหว่และ อาจอยู่ในความดูแลของท่านได้ที่ http://www.kb.cert.org/vuls/byvendor?searchview&Query=FIELD+Referenc e=720951&SearchOrder=4 2. หากตรวจสอบแล้วพบว่ามีช่องโหว่จริง ควรประกาศให้ผู้ใช้งานได้รับทราบเพราะเรา ไม่สามารถรู้ได้ว่าก่อนหน้าที่เราจะรู้ตัวเราถูกโจมตีหรือไม่(เป็นอีกหนึ่งความพิเศษของ ช่องโหว่นี้) และเสียหายไปเท่าไรเพื่อให้ผู้ใช้งานได้รับมือกับการรั่วไหลของข้อมูลได้อย่าง ทันท่วงที 3. สร้าง X.509 Certificates ใหม่เพราะเป็นไปได้ว่าถ้าหากถูกโจมตี ข้อมูลของ Certificates อาจรั่วไหลไปได้เช่นกัน ถ้าหากยังใช้ Certificateเดิมที่ข้อมูลรั่วไหลไป แล้ว ต่อให้เราปิดช่องโหว่ที่ OpenSSL แต่ข้อมูลในCertificate เดิมก็สามารถนำมาใช้ ถอดรหัสข้อมูลใหม่ ๆ ได้ ผู้ใช้งานหากได้รับประกาศช่องโหว่จากผู้ให้บริการควรทำอย่างไร? รีบเปลี่ยนรหัสผ่านและข้อมูลสำคัญที่ใช้ยืนยันตัวตนกับผู้ให้บริการทันทีเพราะเราไม่ สามารถแน่ใจได้ว่าข้อมูลของเราเองอยู่ใน RAMขณะที่เกิดการโจมตีหรือไม่ หากการ โจมตีเคยเกิดขึ้นจริง หน่วยงานในประเทศไทยที่สามารถขอความช่วยเหลือได้ ThaiCERT Email : report@thaicert.or.th Hotline: 1212 Reference: http://heartbleed.com ด้วยความปรารถนา ดีจาก สมาคมผู้ดูแลเว็บไทยสมาคมผู้ประกอบการพาณิชย์ อิเล็กทรอนิกส์ไทยสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) และACIS Professional Center โดย ACIS Cyber LAB

ขอขอบคุณแหล่งที่มา : “รู้จักกับ Heartbleed Bug ก่อนที่เลือดจะไหลหมดหัวใจ”

 ผู้สื่อข่าวรายงานว่า  แถลงการณ์ร่วมดังกล่าว ระบุว่า  จากเหตุการณ์ช่องโหว่ OpenSSLHeartbleed ที่ถูกเผยแพร่ตามสื่อต่างๆ ตั้งแต่วันที่ 10 เมษายน2557 ที่ผ่านมา และมีการแจ้งเตือนให้ผู้ใช้เว็บต่างๆ เช่น Facebook,Instagram,Gmail ทำการเปลี่ยนรหัสผ่านของตนเองทางสมาคมผู้ดูแลเว็บไทย สมาคมผู้ประกอบการพาณิชย์อิเล็กทรอนิกส์ไทยสมาคมความมั่นคงปลอดภัยระบบสารสนเทศ และ ACIS Professional Center โดยACIS Cyber LAB มีความเป็นห่วงต่อปัญหานี้จึงขอเรียกร้องให้ผู้ดูแลเว็บและผู้ดูแลระบบที่มีการใช้งาน SSL ภายในเว็บไซต์ของตนเองเช่น เว็บธนาคารอิเล็กทรอนิกส์ เว็บขายสินค้าออนไลน์ได้ทำการตรวจสอบแก้ไขปัญหาโดยเร็ว ทั้งนี้ ทั้ง 4 องค์กรได้แนบบทความ”ปัญหาของ OpenSSL และแนวทางแก้ไข – รู้จักกับ Heartbleed Bug ก่อนที่เลือดจะไหลหมดหัวใจ”เพื่อเป็นแนวทางสำหรับผู้ดูแลเว็บและผู้ดูแล ระบบใช้สำหรับตรวจสอบเว็บไซต์ของตนเองมาพร้อมกับแถลงการณ์ฉบับนี้แล้ว ด้วยความปรารถนาดี สมาคมผู้ดูแลเว็บไทย   สมาคมผู้ประกอบการพาณิชย์อิเล็กทรอนิกส์ไทย  สมาคมความมั่นคงปลอดภัยระบบสารสนเทศ (TISA) และACIS Professional Center โดยACIS Cyber LAB

ขอขอบคุณแหล่งที่มา : แถลงการณ์ร่วม 4 องค์กรให้ผู้ดูแลเว็บและผู้ดูแลระบบตรวจสอบปัญหา Heartbleed

ปัญหาความเดือดร้อนเสียหายของผู้บริโภคจากการซื้ออสังหาริมทรัพย์ (บ้านจัดสรรและอาคารชุด) เป็นเรื่องที่มีการร้องเรียนเข้ามายังสำนักงานคณะกรรมการคุ้มครองผู้บริโภคหรือ สคบ. จำนวนมาก โดยปัญหาที่เกิดขึ้นมีหลายลักษณะ ได้แก่ 1. ได้ทำนิติกรรมสัญญาเกี่ยวกับอสังหาริมทรัพย์แล้ว แต่ผู้ประกอบการก่อสร้างไม่เสร็จเรียบ ร้อยตามสัญญา 2. ก่อสร้างบ้านไม่ได้มาตรฐาน 3. ก่อสร้างเสร็จแล้วแต่จดทะเบียนโอนกรรมสิทธิ์ไม่ได้ 4. ไม่ปฏิบัติตามเอกสารโฆษณา 5. ไม่จัดระบบรักษาความปลอดภัยตามสัญญา 6. ไม่จัดให้มีระบบสาธารณูปโภครวมทั้งไม่ดูแลรักษาระบบสาธารณูปโภค 7. ไม่คืนเงินกรณีที่ผู้บริโภคไม่ได้รับอนุมัติสินเชื่อจากสถาบันการเงิน  8. บ้านไม่เรียบร้อยก่อนโอนกรรมสิทธิ์ และ 9. บ้านชำรุดบกพร่องภายหลังโอนกรรมสิทธิ์  ดังนั้นเพื่อไม่ให้ผู้บริโภคที่กำลังจะมีบ้านหลังใหม่ต้องปวดหัวกับปัญหาดังกล่าวจึงขอแนะนำหลักในการตรวจสอบรับบ้าน-คอนโดฯเบื้องต้นอย่างง่าย ๆ ดังนี้ 1. ตรวจสอบสภาพสถาปัตยกรรมจะต้องตรวจสอบทั้งภายในบ้าน ได้แก่ วัสดุปูพื้น ผนัง เพดาน ประตู หน้าต่าง บันได การติดตั้งสุขภัณฑ์ และภายนอกบ้าน ได้แก่  ลานจอดรถ รั้ว ท่อปลวก วัสดุปูพื้น ผนัง เพดานประตู หน้าต่าง บันได 2. งานสีให้ดูที่ความสม่ำเสมอของเนื้อสี ความกลมกลืน  สม่ำเสมอ ไม่มีรอยด่าง เนื้อสีไม่หลุดลอกหรือปูดโป่ง 3. ระบบโครงสร้าง ตรวจสอบรอยร้าวต่าง ๆ ที่เกิดขึ้น การแอ่นตัวของโครงสร้างตรวจสอบผิวโครงสร้างเช่น การทาสีกันสนิมของโครงสร้างเหล็กการผุกร่อนของโครงสร้างไม้ 4. ระบบหลังคา ตรวจสอบช่องเปิด แผ่นกันหรือสะท้อนความร้อน การเดินสายไฟบนฝ้า โครงหลังคา 5. ระบบไฟฟ้า ตรวจสอบสายเข้าตู้ไฟระบบสายดิน ตรวจสอบระบบแสงสว่างเต้ารับ ตรวจสอบระบบสัญญาณโทรศัพท์ และโทรทัศน์ 6. ระบบสุขาภิบาล  ตรวจสอบระบบน้ำดี ปั๊มน้ำ (ถ้ามี) ตรวจสอบระบบน้ำเสีย ตรวจสอบระบบระบายน้ำสุขาภิบาลภายนอก ทั้งนี้ในการตรวจรับครั้งแรกนั้น ถือเป็นการตรวจที่สำคัญที่สุดควรจะให้เวลาในการตรวจอย่างเต็มที่และรอบคอบกับการตรวจรับ. 

ขอขอบคุณแหล่งที่มา : ตรวจรับบ้านให้รอบคอบก่อนปัญหาบานปลาย – ไขปัญหาผู้บริโภค