Breaking News
Home / บทความน่ารู้ / แจ้งเตือนและข้อแนะนำ / แคสเปอร์สกี้ เตือนภัยช่องโหว่ Heartbleed หัวใจเปื้อนเลือดอาจสะเทือนเว็บคุณโดยไม่ทันตั้งตัว

แคสเปอร์สกี้ เตือนภัยช่องโหว่ Heartbleed หัวใจเปื้อนเลือดอาจสะเทือนเว็บคุณโดยไม่ทันตั้งตัว

แคสเปอร์สกี้ เตือนภัยช่องโหว่ Heartbleed

หัวใจเปื้อนเลือดอาจสะเทือนเว็บคุณโดยไม่ทันตั้งตัว

Heartbleed1

ผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป เปิดเผยช่องโหว่ล่าสุดที่ชื่อว่า “Heartbleed” ในเว็บไซต์ที่เข้ารหัส SSL ซึ่งแพร่ระบาดในเว็บไซต์จำนวนมากนับพันเว็บไซต์ และกำลังขโมยข้อมูลสำคัญของผู้ใช้งานอินเทอร์เน็ต

เมื่อคุณทำการล็อกอินเข้า Facebook, Google หรือเว็บไซต์ธนาคารออนไลน์ นั่นคือการเชื่อมต่อกับเว็บไซต์แบบเข้ารหัสโปรโตคอล SSL เซิร์ฟเวอร์ของเว็บไซต์จำนวนมากเลือกใช้บริการโปรโตคอลนี้ผ่านโอเพ่นซอร์ส OpenSSL โดยเมื่อต้นสัปดาห์ที่ผ่านมา OpenSSL ได้ออกอัพเดทที่ชื่อ Heartbeat เพื่อซ่อมแซมฟีเจอร์ TLS โดยอาจทำให้เกิดการรั่วของข้อมูล 64kB ในหน่วยความจำของเซิร์ฟเวอร์แก่แฮกเกอร์

ซึ่งช่องโหว่นี้จะทำให้ใครก็ตามที่ใช้อินเทอร์เน็ตสามารถอ่านหน่วยความจำในเครื่องได้ ซึ่งอาจจะบันทึกยูสเซอร์เนม พาสเวิร์ด หรือแม้แต่รหัสเข้าเซิร์ฟเวอร์ที่คุณกำลังเชื่อมต่อแบบเข้ารหัสอยู่เอาไว้ โดยไม่สามารถตามรอยได้ว่าเซิร์ฟเวอร์ใดหรือข้อมูลอะไรถูกแฮกไปบ้าง

ข่าวดีคือ OpenSSL จัดการซ่อมแซมบั๊กนี้แล้ว แต่ข่าวร้ายคือ ไม่มีใครยืนยันได้ว่าเว็บไซต์ที่โดน Heartbleed เข้าเล่นงานจะอัพเกรดแพทช์เรียบร้อยแล้ว ข่าวร้ายยิ่งกว่า คือ บั๊กตัวนี้มีอายุยืนยาวถึง 2 ปี!! นั่นจะทำให้สิทธิการรับรองความปลอดภัย (Security Certificate) ถูกขโมยได้ รวมถึงข้อมูลสำคัญอื่นๆ ด้วย

HeartbleedTest

คำแนะนำสำหรับผู้ใช้อินเทอร์เน็ต

  • ตรวจสอบว่าเว็บที่ใช้งานเป็นประจำนั้นเคยโดนบั๊กนี้หรือไม่

โดยใช้ทูลตรวจสอบออนไลน์ http://filippo.io/Heartbleed นอกจากนี้ยังมีหลายเว็บไซต์ที่รายงานสถานะเว็บไซต์ยอดฮิตต่างๆ ข่าวดีคือ Facebook และ Google ปลอดบั๊ก แต่ Yahoo, Flickr, Duckduckgo, LastPass, Redtube, OkCupid, 500px และเว็บไซต์อื่นๆ ยังไม่ปลอดภัย

  • ตรวจสอบว่าเว็บที่ใช้งานโดนบั๊กหรือไม่

โดยใช้ทูลตรวจสอบออนไลน์ http://filippo.io/Heartbleed

  • ตรวจสอบว่าใช้งาน Certificate ใหม่หรือยัง

แม้ว่าเจ้าของเว็บไซต์จะแก้ปัญหาบั๊กนี้แล้ว ควรต้องพิจารณาเรื่องการออก Certificate ใหม่ด้วย ผู้ใช้งานจะต้องตรวจสอบว่าได้ใช้งาน Certificate ใหม่หรือยัง เพื่อความปลอดภัย โดยไปที่การตั้งค่าเบราเซอร์และเลือก Check for server certificate revocation

  • ตรวจสอบวันที่ออก Certificate ใหม่

ผู้ใช้งานจะต้องตรวจสอบว่ามี Certificate ใหม่ที่ออกหลังวันที่ 8 เมษายน 2014 หรือไม่ โดยคลิกขวาที่รูปกุญแจสีเขียวที่ช่อง Address Bar ของเบราเซอร์ >> คลิก Connection >> คลิก Certificate Information

  • เปลี่ยนพาสเวิร์ดทันที

ขั้นตอนที่สำคัญที่สุดหลังจากการอัพเดทแพทช์และ Certificate แล้ว คือการเปลี่ยนพาสเวิร์ดเพื่อเข้าใช้งานเว็บไซต์ต่างๆ ทันที เลือกใช้พาสเวิร์ดที่คุณจำง่ายแต่คนอื่นเดายาก โดยทดสอบความยากของพาสเวิร์ดคุณได้ที่ http://blog.kaspersky.com/password-check/

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป กล่าวทิ้งท้ายเตือนผู้ใช้งานอินเทอร์เน็ตให้ระมัดระวังการใช้งานในโลกไซเบอร์ และติดตามข่าวสารจากเว็บไซต์ไอทีต่างๆ อย่างสม่ำเสมอ เช่น เว็บไซต์ของแคสเปอร์สกี้ แลป www.securelist.com เพื่อการป้องกันได้ทันท่วงที

 ติดต่อข้อมูลเพิ่มเติมได้ที่เจ้าหน้าที่ประสานงานประชาสัมพันธ์

เจสมอนด์ ชาง

ผู้จัดการฝ่ายการสื่อสารองค์กร

เอเชียตะวันออกเฉียงใต้

Jesmond.chang@kaspersky.com

Tel: 001.603.7962.5913

เกี่ยวกับแคสเปอร์สกี้ แลป

แคสเปอร์สกี้ แลป บริษัทเอกชนผู้ให้บริการโซลูชั่นเพื่อการปกป้องคอมพิวเตอร์ที่ใหญ่ที่สุดในโลก ติดอันดับหนึ่งในสี่ผู้ให้บริการโซลูชั่นเพื่อการปกป้องผู้ใช้คอมพิวเตอร์ที่ใหญ่ที่สุดในโลก แคสเปอร์สกี้ แลป ยังคงอยู่ในฐานะผู้นำนวัตกรรมด้านความปลอดภัยทางไอทีมายาวนานกว่า 16 ปี และนำเสนอโซลูชั่นเพื่อความปลอดภัยดิจิตอลที่มีประสิทธิภาพแก่องค์กรขนาดใหญ่ ขนาดกลาง และขนาดย่อม รวมถึงผู้ใช้งานคอมพิวเตอร์ทั่วไป แคสเปอร์สกี้ แลป จดทะเบียนบริษัทในสหราชอาณาจักร ปกป้องผู้ใช้กว่า 300 ล้านคน กว่า 200 ประเทศทั่วโลก รายละเอียดเพิ่มเติมเกี่ยวกับแคสเปอร์สกี้ แลป โปรดเยี่ยมชมเว็บไซต์ www.kaspersky.com

 

Related posts

About ข่าวไอที 24 ชั่วโมง

ข่าวไอที 24 ชั่วโมง ข่าวไอที ข่าว IT ข่าวเทคโนโลยี สินค้าไอทีมาใหม่ รีวิวสินค้าไอที

Check Also

อินเตอร์เน็ตไร้สายในที่ทำงาน – สะดวกแต่มีความเสี่ยง

อินเตอร์เน็ตไร้ …

%d bloggers like this: