ETDA เตือนผู้บริโภค อย่าหลงเชื่อ โปรแกรมแก้ Heartbleed

[Nick]

นางสุรางคณา วายุภาพ ผู้อำนวยการ สำนักพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA

      ETDA ลั่นไม่พบปัญหา Heartbleed ในประเทศไทย โดยจำนวนเซิร์ฟเวอร์ที่ใช้ระบบ SSL ในประเทศไทยกว่า 1.3 แสนเครื่อง พบช่องโหว่เพียง 4,000 เครื่องหรือคิดเป็น 2.7% และได้รับการแจ้งเตือนเพื่อประสานการแก้ไขแล้ว ย้ำชัดผู้บริโภคไม่ต้องกังวลหรือหาโปรแกรมแก้ไขมาลงที่เครื่องเด็ดขาด เพราะอาจจะกลายเป็นเหยื่อของผู้ไม่หวังดีผ่านโปรแกรมแอบอ้างที่ไม่สามารถแก้ไขได้จริง
       
       นางสุรางคณา วายุภาพ ผู้อำนวยการ สำนักพัฒนาธุรกรรมทางอิเล็กทรอนิกส์ (องค์การมหาชน) (สพธอ.) หรือ ETDA กล่าวว่า ความกังวลใจของผู้บริโภคทั่วไปเมื่อทราบว่ามีช่องโหว่ของซอฟต์แวร์ OpenSSL ซึ่งเป็นเครื่องมือที่ใช้กันแพร่หลายทั่วโลก ในการรักษาความปลอดภัยของระบบบริการข้อมูลผ่านเว็บ ระบบบริการอีเมลและระบบแลกเปลี่ยนข้อมูล (Heartbleed ) ที่มีการเผยแพร่ว่าพบช่องโหว่นี้ไปแล้วทั่วโลก เมื่อวันที่ 7 เมษายน ที่ผ่านมา จนอาจจะทำให้ตนเองกลายเป็นเหยื่อของมิจฉาชีพที่สวมรอยการสร้างแอปปลอมเพื่อแอบอ้างการแก้ปัญหาดังกล่าว ซึ่งแท้ที่จริงแล้วระบบดังกล่าวสามารถแก้ไขได้จากผู้ดูแลระบบเท่านั้น และก็เป็นเพียงการอัปเดตเวอร์ชันใหม่ของ OpenSSL เพียงเท่านี้ช่องโหว่ของ Heartbleed ก็จะได้รับการแก้ไขทันที
       
       ขณะที่ผู้บริโภคทั่วไปไม่สามารถแก้ไขได้ด้วยตนเอง เนื่องจากเป็นเพียงผู้ใช้เว็บไซต์ปลายทาง ความกังวลจนมากเกินไปอาจจะทำให้หลงเชื่อกลุ่มมิจฉาชีพที่สร้างแอปปลอมขึ้นมาให้ดาวน์โหลดจนกลายเป็นเหยื่อและถูกล้วงข้อมูลทางการเงินไปในที่สุด โดย ETDA แนะแนวทางการป้องกันตนเองสำหรับความปลอดภัยในเบื้องต้นว่า ควรเปลี่ยนรหัสผ่านการเข้าใช้งานให้บ่อยครั้ง โดยเปลี่ยนทุก 3-6 เดือน และไม่ควรใช้รหัสผ่านเพียงชุดเดียวสำหรับการเข้าใช้บริการออนไลน์ทุกบริการ โดย ETDA ยังระบุอีกว่าการเข้าใช้งานเว็บไซต์ที่เปิดใช้ระบบความปลอดภัย SSL จะมีรูปแบบของ URL ที่ด้านหน้าเป็น HTTPS, FTPS, SMTPS, IMAPS, POPS
       
       โดยจากการตรวจสอบของ ETDA พบว่าประเทศไทยมีจำนวนเครื่องเซิร์ฟเวอร์ที่ใช้ระบบรักษาความปลอดภัยแบบ HTTPS ประมาณ 130,000 เครื่อง ในจำนวนนี้พบว่ามีช่องโหว่ Heartbleed อยู่น้อยกว่า 2.7% หรือเพียง 4,000 เครื่องเท่านั้น โดยได้รับการประสานเพื่อแก้ไขด้วยการอัปเดตซอฟต์แวร์เป็นที่เรียบร้อยแล้ว โดยนับตั้งแต่พบช่องโหว่ดังกล่าวยังไม่พบรายงานความเสียหายที่เกิดขึ้นในประเทศไทย อีกทั้งการตรวจสอบเว็บไซต์ที่มีผู้เข้าใช้งานมากที่สุด 50 อันดับจากสถิติตทรูฮิต ยังไม่พบช่องโหว่ดังกล่าวแต่อย่างใด ด้านเว็บไซต์ของหน่วยงานภาครัฐที่ใช้ .go.th พบว่ามีช่องโหว่ดังกล่าวอยู่เพียง 0.08% จากจำนวนโดเมนทั้งสิ้น 6,559 โดเมน
       
       ดร.ชัยชนะ มิตรพันธ์ รองผู้อำนวยการ ETDA เผยว่า ที่ผ่านมา ETDA โดย ไทยเซิร์ต (ThaiCERT) ยังไม่พบหรือได้รับรายงานเกี่ยวกับช่องโหว่ Heartbleed ว่ามีผลกระทบกับเว็บไซต์สำคัญในประเทศไทย เช่น เว็บ Internet Banking ของสมาชิกสมาคมธนาคารไทย และเว็บไซต์ยื่นแบบภาษีเงินได้บุคคลธรรมดาของกรมสรรพากรแต่อย่างใด
       
       โดยผู้ดูแลระบบสามารถตรวจสอบว่ามีปัญหาของช่องโหว่นี้ผ่านบริการของไทยเซิร์ตได้ที่โดเมน https://al2014ad002.thaicert.or.th หากพบว่ามีช่องโหว่ให้อัปเดตซอฟต์แวร์ OpenSSL ในทันที พร้อมทั้งเปลี่ยน SSL Certificate ใหม่ และเปลี่ยนรหัสผ่านของผู้ดูแลระบบทั้งหมด รวมถึงแจ้งให้ผู้ใช้งานทั้งหมดดำเนินการเปลี่ยนรหัสผ่านบริการ ส่วนผู้ใช้งานเองก็สามารถตรวจสอบบริการที่ใช้งานผ่านทาง https://al2014ad002.thaicert.or.th ได้เช่นกัน หากพบช่องโหว่ให้หยุดการเข้าใช้งานในทันที พร้อมทั้งแจ้งเตือนช่องโหว่ที่พบกับผู้ให้บริการเว็บไซต์หรือไทยเซิร์ต และตรวจสอบข้อมูลประวัติการล็อกอินเข้าใช้งานเพื่อให้แน่ใจว่าไม่มีการล็อกอินจากบุคคลอื่น หลังพบว่าเว็บไซต์หรือระบบได้ปรับปรุงและแก้ไขช่องโหว่ Heartbleed แล้ว ให้เปลี่ยนรหัสผ่านในทันที โดยพึงระวังอีเมลหรือแบนเนอร์บนเว็บไซต์ เพื่อหลอกลวงให้ติดตั้งโปรแกรมในการแก้ไขช่องโหว่นี้ รวมทั้งสามารถติดตามข่าวสาร ดาวน์โหลดเอกสาร และมาตรการในการรับมือช่องโหว่นี้ได้ทางเว็บไซต์ www.etda.or.th และ www.thaicert.or.th
       
       Company Related Link :
       ETDA

ที่มา: manager.co.th