OpenSSL Heartbleed: พวกเรากำลังตกเป็นเหยื่อหรือไม่ ?

จากกระแสข่าวในโลกไซเบอร์ ซึ่งมีการเปิดเผยเรื่องช่องโหว่ใหม่บน OpenSSL ที่ถูกพัฒนาให้ใช้งานบนแอพพลิเคชันและเซิฟเวอร์ของหลากหลายองค์กรเป็นจำนวนมาก หลายคนจึงอาจเกิดข้อสงสัยขึ้นมาว่า “เรากำลังตกเป็นเหยื่ออยู่ด้วยหรือไม่ ?” และ “เราควรจะแก้ปัญหาอย่างไร ?”

Trend Micro หนึ่งในบริษัทชั้นนำทางด้านระบบความปลอดภัยจึงได้นำเสนอสาเหตุและวิธีรับมือกับช่องโหว่ Heartbleed ดังนี้

ช่องโหว่ Heartbleed คืออะไร ?

Heartbleed เป็นบั๊คของ Software Library สำหรับการเข้ารหัสของ OpenSSL ซึ่งถูกพัฒนาโดยใช้โปรโตคอลการเข้ารหัสแบบ SSL/TLS ในการป้องกันนโยบายส่วนบุคคล (Privacy) ระหว่างติดต่อสื่อสารบนอินเตอร์เน็ต OpenSSL ถูกใช้ในหลายเว็บไซต์ รวมไปถึงแอพพลิเคชันอื่นๆ เช่น อีเมลล์, โปรแกรมแชท และ VPN

ช่องโหว่ Heartbleed ทำให้แฮ็คเกอร์สามารถอ่านหน่วยความจำของระบบที่ใช้ OpenSSL เวอร์ชันที่มีปัญหาได้ โดยสามารถเข้าถึง ชื่อผู้ใช้, รหัสผ่าน หรือแม้แต่ Key ในการเข้ารหัส SSL ของเซิฟเวอร์ ส่งผลให้แฮ็คเกอร์สามารถแอบดูข้อมูลการสื่อสารระหว่างผู้ใช้งานและเซิฟเวอร์เพื่อนำไปใช้โจมตีระบบในอนาคตได้

ใครที่ได้รับผลกระทบจาก Heartbleed ?

จากข้อมูลของ Netcraft Data พบว่า มีผู้ใช้งาน OpenSSL เป็นจำนวนมากถึง 66% แต่มีเพียง 17% เท่านั้นที่ต้องสงสัยว่ามีช่องโหว่นี้อยู่ (8 เมษายน 2014)

ช่องโหว่นี้เกิดขึ้นไม่ต่ำกว่า 2 ปี องค์กรใดที่ติดตั้งเซิฟเวอร์ที่ใช้งาน OpenSSL (เวอร์ชัน 1.0.1 ถึง 1.0.1f) ในช่วงเวลาดังกล่าวมีความเป็นไปได้ว่าจะมีช่องโหว่ของ Heartbleed และควรแก้ไขปัญหานี้ทันที ถึงแม้ว่าจะยังไม่มีเอกสารที่ระบุว่ามีการโจมตีผ่านช่องโหว่ Heartbleed นี้ก็ตาม
คุณจะไม่ได้รับผลกระทบจาก Heartbleed เมื่อ

• ไม่ได้ใช้ OpenSSL
• ใช้ OpenSSL ที่คอมไพล์โดยไม่ได้เปิดใช้งานฟังก์ชัน Heartbeat
• ใช้ OpenSSL 1.0.0 หรือก่อนหน้านั้น

สามารถตรวจสอบช่องโหว่ Heartbleed ได้อย่างไร ?

สำหรับผู้ที่ไม่มั่นใจ สามารถดาวน์โหลดเครื่องมือที่ใช้งานการตรวจจับช่องโหว่ Heartbleed ได้ที่นี่ และสำหรับลูกค้าที่ใช้งาน Trend Micro Deep Security for Web Apps สามารถสั่งสแกนช่องโหว่ทั้งหมดบนเว็บแอพพลิเคชันเพื่อตรวจสอบบั๊ค Heartbleed ได้ทันที

องค์กรที่ได้รับผลกระทบควรทำอย่างไร และ Trend Micro สามารถแก้ปัญหานี้อย่างไรได้บ้าง ?

• สำหรับเซิฟเวอร์ที่ใช้งาน OpenSSL 1.0.1 ถึง 1.0.1f ควรอัพเกรดเป็น 1.0.1g หรือสูงกว่านั้น ถ้าไม่สามารถอัพเกรดได้ ให้คอมไพล์ทั้ง Library ใหม่ด้วย DOPENSSL_NO_HEARTBEATS flag
• แนะนำให้ผู้ใช้งานระบบของท่านเปลี่ยนรหัสผ่านใหม่
• Trend Micro™ Deep Security ได้ออกแพทช์ใหม่เพื่อตรวจจับและป้องกันช่องโหว่ Hearbleed เรียบร้อยแล้ว โดยสามารถเรียกใช้กฏการป้องกัน CVE-2014-0160 ได้ทันที
• Trend Micro™ Deep Discovery สามารถเรียกใช้เพื่อตรวจสอบช่องโหว่ Heartbleed ในระบบได้ทันที่
• และเพื่อความปลอดภัยสูงสุด ทาง Trend Micro แนะนำให้ออก SSL Certificate ใหม่ เพื่อให้มั่นใจว่าการเข้ารหัสมีความปลอดภัยและไม่ถูกขโมยข้อมูลแน่นอน สำหรับผู้ใช้งาน Trend Micro Deep Security for Web Apps สามารถทำการ Re-issue SSL Certificate ใหม่ได้ทันทีโดยไม่ต้องเสียค่าใช้จ่ายแต่อย่างใด

ผลิตภัณฑ์ของ Trend Micro ได้รับผลกระทบด้วยหรือไม่ ?

ขณะนี้ทาง Trend Micro กำลังตรวจสอบทุกผลิตภัณฑ์โดยละเอียดอยู่ สามารถแจ้งข้อมูลและตรวจสอบผลกระทบได้ที่นี่

ที่มา: http://www.trendmicro.com/us/security/heartbleed/index.html