เตือนภัย ช่องโหว่ 'Heartbleed' มีผลกระทบหลายเว็บไซด์ รวมถึงสมาร์ทโฟน แอนดรอยด์

[Nick]

ช่องโหว่ Heartbleed ใน OpenSSL กำลังเป็นที่กังวลว่าจะทำให้ชาวออนไลน์ส่วนใหญ่ตกในความเสี่ยง

    นักวิจัยความปลอดภัยพบช่องโหว่ใหญ่ในเทคโนโลยีเข้ารหัสหรือ encryption technology ที่ใช้กันในเว็บไซต์มากกว่า 60% บนโลกออนไลน์ ล่าสุดช่องโหว่นี้ถูกตั้งชื่อเรียกว่า "ฮาร์ดบลีด (Heartbleed)" เลือดหลั่งจากหัวใจนี้สามารถทำให้รหัสผ่านส่วนตัวของชาวออนไลน์ทั่วโลก รวมถึงข้อมูลอีเมล และข้อมูลการเงินตกอยู่ในความเสี่ยงอย่างน่าตกใจ เบื้องต้นมีการประเมินว่าการแก้ไขรูรั่วนี้จะต้องเป็นภารกิจของแต่ละเว็บไซต์ที่ต้องประสานกับกลุ่มลูกค้าของเว็บอย่างใกล้ชิด
       
       รายงานจากสำนักข่าว CNN ระบุว่ารูรั่วความปลอดภัย Heartbleed จะทำให้ข้อมูลส่วนตัวของชาวออนไลน์ตกอยู่ในความเสี่ยง เนื่องจากข้อมูลเหล่านี้ถูกเว็บไซต์ส่วนใหญ่เข้ารหัสด้วยเทคโนโลยี OpenSSL ซึ่งเป็นเทคโนโลยีมาตรฐานเปิดที่หลายเว็บไซต์ใช้ปกป้องข้อมูลส่วนตัวของผู้ใช้ ข้อมูลรหัสผ่าน ข้อมูลบัตรเครดิต และอีเมล
       
       ความกังวลหลักในการเตือนภัยช่องโหว่ Heartbleed นี้เกิดขึ้นเพราะความแพร่หลายของเทคโนโลยี OpenSSL ซึ่งใช้กันมากในเครื่องเซิร์ฟเวอร์หรือแม่ข่ายมากกว่า 2 ใน 3 ของเซิร์ฟเวอร์ทั่วโลก โดย OpenSSL อยู่เบื้องหลังของเว็บไซต์ที่ถูกเข้ารหัส HTTPS ที่เชื่อกันว่าจะช่วยให้ข้อมูลไม่ถูกดักจับระหว่างทางได้
       
       รายงานระบุว่า ช่องโหว่นี้จะทำให้อาชญากรไซเบอร์สามารถใช้ประโยชน์เพื่อเข้าถึงข้อมูลส่วนตัวของผู้ใช้ รวมถึงสามารถเจาะระบบเข้ารหัสข้อมูลของเว็บไซต์ได้
       
       ผู้ค้นพบช่องโหว่นี้คือนักวิจัยของกูเกิล (Google) และบริษัทรักษาความปลอดภัยอิสระสัญชาติฟินแลนด์ชื่อโค้ดโนมิคอน (Codenomicon) ทั้ง 2 บริษัทค้นพบปัญหานี้ในช่วงสัปดาห์ต้นเดือนเมษายนที่ผ่านมาก่อนจะเผยแพร่ข้อมูลสู่สาธารณชนช่วงต้นสัปดาห์ โดยให้รายละเอียดว่า Heartbleed เป็นผลจากข้อผิดพลาดเล็กน้อยในการเขียนโปรแกรม ที่อาจจะส่งผลกระทบต่อผู้ใช้อินเทอร์เน็ตในวงกว้างได้อย่างน่าตกใจ
       
       ที่สำคัญ การศึกษาพบว่าช่องโหว่นี้มีผลมานานกว่า 2 ปีแล้ว (ตั้งแต่มีนาคม 2012) โดยการสื่อสารใดๆที่ใช้การเข้ารหัส SSL ในช่วง 2 ปีที่ผ่านมาล้วนมีความเสี่ยงจากปัญหานี้ แถมการวิเคราะห์ในเบื้องต้นยังพบว่า ปัญหาที่เกิดขึ้นไม่สามารถแก้ไขได้ที่ฝ่ายเจ้าของเว็บไซต์ฝ่ายเดียว แต่ชาวออนไลน์ที่เข้าใช้งานเว็บไซต์จะต้องให้ดูแลรักษาตัวเองด้วย
       
       แนวทางแก้ปัญหาในขณะนี้คือ ผู้ให้บริการเว็บไซต์จะต้องอัปเกรด OpenSSL เวอร์ชันใหม่ที่แก้ไขปัญหานี้แล้ว โดยเว็บไซต์ใหญ่ของโลกอย่างกูเกิล, เฟซบุ๊ก (Facebook), ยาฮู (Yahoo), อเมซอน (Amazon) และสตีม (Steam) ออกมาขานรับแล้วว่าได้เริ่มต้นมาตรการแก้ปัญหาเพื่อรักษาความปลอดภัยอย่างเคร่งครัด
       
       อย่างไรก็ตาม ความเสี่ยงยังอยู่ที่เว็บไซต์ร้านค้าออนไลน์และบริการรายเล็กที่ยังไม่มีการอัปเกรดระบบเข้ารหัสที่ปลอดภัยเพียงพอ ดังนั้นสื่อต่างประเทศจึงแนะนำให้ชาวออนไลน์ตรวจสอบให้มั่นใจก่อนว่าเว็บไซต์หรือบริการออนไลน์ที่ต้องการใช้งานนั้น มีการยืนยันว่าได้แก้ปัญหา Heartbleed แล้ว ไม่เช่นนั้น เว็บไซต์ดังกล่าวก็จะยังมีความเสี่ยงอยู่ดี และการตั้งรหัสผ่านใหม่ก็จะไม่ช่วยอะไร

       และยังพบว่าระบบปฏิบัติการแอนดรอยด์ บนสมาร์ทโฟน ในหลาย ๆ รุ่น ได้ ติดตั้ง OpenSSL เวอร์ชั่นที่มีช่องโหว่ Heartbleed แนวทางแก้ไข คงต้องรอทางผู้ผลิต ออกตัวอัพเดท เพื่อป้องกันปัญหาช่องโหว่ที่อาจจะเกิดขึ้นกับผู้ใช้สมาร์ทโฟนได้

ที่มา: manager.co.th