à¹à¸§à¸à¹à¸²à¸à¸±à¸ à¸à¸à¸±à¸à¸à¸´à¹à¸¨à¸©
สารบัญ:
เกือบ 70 เปอร์เซ็นต์ของการจราจรบนอินเทอร์เน็ตมีพนักงาน OpenSSL เพื่อรักษาความปลอดภัยให้กับการถ่ายโอนข้อมูล นั่นแปลเป็นเกือบทุกเซิร์ฟเวอร์หลัก (อ่าน: เว็บไซต์) ใช้ OpenSSL เพื่อรักษาความปลอดภัยข้อมูลของคุณเช่นข้อมูลรับรองการเข้าสู่ระบบ อย่างไรก็ตามมีคนจาก Google พบข้อบกพร่องใน OpenSSL ซึ่งเป็นข้อผิดพลาดในการเขียนโปรแกรมเล็กน้อย แต่มีขนาดใหญ่พอที่จะให้ข้อมูลของคุณแก่แฮกเกอร์คนที่ยินดีจะใช้ข้อมูลของคุณเพื่อจุดประสงค์ของพวกเขา ข้อผิดพลาด OpenSSL นี้มีชื่อว่า Heartbanded เนื่องจากมีความเกี่ยวข้องกับเลเยอร์ HeartBeat OpenSLL บางส่วน
ข้อผิดพลาดของ Heartband คืออะไร
เซิร์ฟเวอร์ส่วนใหญ่ยอมรับการเข้ารหัสข้อมูลถอดรหัสโดยใช้คีย์เข้ารหัสและไปข้างหน้า สำหรับการประมวลผล เนื่องจากเซิร์ฟเวอร์ส่วนใหญ่ใช้วิธี FIFO (First in First Out) เพื่อให้บริการกับผู้ใช้ปลายทางส่วนใหญ่ข้อมูล (หลังจากการถอดรหัส) อยู่ในหน่วยความจำเซิร์ฟเวอร์ในขณะที่เซิร์ฟเวอร์ใช้เวลาในการประมวลผลต่อไป
กรณีของความกังวลสำหรับเกือบทุกเว็บไซต์เชิงพาณิชย์บนอินเทอร์เน็ตและบางประเภทอื่น ๆ ข้อผิดพลาดในการเขียนโปรแกรมนี้ทำให้แฮกเกอร์สามารถตรวจสอบในเซิร์ฟเวอร์ที่ใช้ OpenSSL และอ่าน / บันทึก / ใช้ข้อมูลที่ไม่ได้เข้ารหัสลับ (ถอดรหัสข้อมูล) ปัจจุบันแฮกเกอร์สามารถเข้าถึงข้อมูลของคุณได้เท่านั้นพวกเขาสามารถทำสำเนาใบรับรองเว็บไซต์ที่ทำให้อินเทอร์เน็ตเป็นสถานที่ที่อันตรายมากยิ่งขึ้น ด้วยสำเนาใบรับรองเว็บไซต์แฮกเกอร์สามารถสร้างไซต์ที่เลียนแบบได้: ไซต์ที่มีลักษณะคล้ายกับไซต์เดิม ด้วยเหตุนี้พวกเขาสามารถเข้าถึงข้อมูลของคุณเช่นรายละเอียดบัตรเครดิตข้อมูลส่วนบุคคล ฯลฯ
เสียงที่น่ากลัวไม่ได้หรือไม่? เป็นจริง - เนื่องจากสามารถเข้าถึงข้อมูลของคุณและสามารถใช้ข้อมูลนี้ได้ในทุกด้าน
หมายเหตุ : หัวใจวายยังมีรหัส CVE-2014-0160 CVE ย่อมาจาก Common Vulnerabilities and Exposures รหัสเหล่านี้เกี่ยวข้องกับช่องโหว่อื่น ๆ โดย MITER ซึ่งเป็นหน่วยงานอิสระที่คอยติดตามปัญหาและปัญหาที่คล้ายคลึงกัน
ฉันควรจะอัปเกรด Anti Virus หรืออะไรบางอย่าง
ข้อผิดพลาดของ Heartband ใน OpenSSL ไม่มีอะไรให้ทำ ด้วยโปรแกรมป้องกันไวรัสหรือไฟร์วอลล์ของคุณ นี่ไม่ใช่ปัญหาด้านไคลเอ็นต์ดังนั้นคุณจึงสามารถทำอะไรได้บ้าง ในอีกด้านหนึ่งเซิร์ฟเวอร์ต้องใช้แพทช์ในระบบ OpenSSL ที่ใช้อยู่ ที่ทำเว็บไซต์สามารถกล่าวได้ว่าปลอดภัยในการโต้ตอบ
คุณสามารถทำอะไรได้บ้างเนื่องจากผู้ใช้ต้องลดจำนวนการเข้าชมเว็บไซต์และไซต์ที่คล้ายคลึงกัน ไม่ใช่ว่าบั๊กมีผลกับไซต์พาณิชย์เท่านั้น เท่ากับทุกประเภทของเว็บไซต์ที่ใช้ OpenSSL ฉันบอกว่าหลีกเลี่ยงไซต์พาณิชย์ในขณะที่พวกเขาเป็นเป้าหมายหลักสำหรับแฮกเกอร์ที่ต้องการรายละเอียดบัตรของคุณ ฯลฯ ซึ่งหมายความว่าเป้าหมายหลักของแฮกเกอร์คือไซต์อีคอมเมิร์ซที่ใช้ OpenSSL
เมื่อคุณได้รับข้อความแล้ว / รายงานว่าข้อบกพร่องได้รับการแก้ไขคุณสามารถดำเนินการต่อไปได้ตามที่คุณเคยทำก่อนที่จะมีการค้นพบข้อบกพร่อง OpenSSL ได้สร้างแพทช์และได้เปิดตัวสำหรับเจ้าของเว็บไซต์เพื่อรักษาความปลอดภัยข้อมูลของผู้ใช้ จนกว่าจะถึงเวลานั้นพยายามหลีกเลี่ยงไซต์ที่คุณต้องให้ข้อมูลของคุณในรูปแบบใด ๆ แม้แต่ข้อมูลการเข้าสู่ระบบ ฉันแน่ใจว่าผู้ดูแลระบบเว็บเกือบทั้งหมดจะต้องเข้าใช้แพทช์ แต่ยังมีปัญหาอยู่ เมื่อคุณแน่ใจว่าไม่มีช่องโหว่หรือช่องโหว่ดังกล่าวได้รับการติดตั้งแล้วอาจเป็นความคิดที่ดีในการเปลี่ยนรหัสผ่านของคุณ
ในขณะเดียวกันให้ใช้ส่วนขยายเบราว์เซอร์เหล่านี้เพื่อเตือนคุณเกี่ยวกับเว็บไซต์ที่ได้รับผลกระทบจาก Heartstrip
คัดลอกใบรับรองไซต์ ผ่านความต้องการเรื่องหัวใจวาย
มีโอกาสสูงที่ใบรับรองการรักษาความปลอดภัยเว็บไซต์อาจถูกคัดลอกเพื่อสร้างเว็บไซต์ที่เป็นอันตราย เนื่องจากใบรับรองความปลอดภัยเป็นสำเนาทั่วไปเบราว์เซอร์ของคุณอาจไม่ได้บอกถึงความแตกต่าง คุณเป็นคนที่ต้องระมัดระวังตัว หลีกเลี่ยงการคลิกลิงก์และพิมพ์ URL ของเว็บไซต์ในแถบที่อยู่เพื่อไม่ให้คุณเปลี่ยนเส้นทางไปยังไซต์ปลอม ๆ
ปัญหานี้สามารถแก้ไขได้สองวิธีคือ
- เบราว์เซอร์ที่มีอยู่ในท้องตลาดควรมีความฉลาดพอที่จะระบุใบรับรองที่คัดลอกและแจ้งเตือนคุณ
- ผู้ดูแลเว็บเปลี่ยนใบรับรองหลังจากใช้แพทช์
ในคำอื่น ๆ จะใช้เวลาสักครู่ในการดำเนินการข้างต้นแม้ว่าผู้ดูแลระบบเว็บจะใช้แพทช์ ฉันต้องการย้ำว่าอย่าคลิกลิงก์ในอีเมลหรือเว็บไซต์ที่ไม่ได้มีชื่อเสียง เพียงแค่พิมพ์ URL ลงในแถบที่อยู่หรือหากมีบุ๊กมาร์กไซต์ต้นฉบับไว้ให้ใช้บุ๊กมาร์ก
ส่วนการอ้างอิงที่ท้ายบทความนี้ประกอบด้วยรายการเว็บไซต์ที่ได้รับผลกระทบที่ไม่ครอบคลุม ไม่สมบูรณ์เนื่องจากอาจมีเว็บไซต์ที่ได้รับผลกระทบมากกว่าที่ระบุในที่นี้
เอกสารอ้างอิง:
- เลือดออกจากหัวใจ: เว็บไซต์
- OpenSSL: ที่ปรึกษาความปลอดภัยสำหรับ Heart Bleed
- Git Hub: รายชื่อเว็บไซต์ที่ได้รับผลกระทบ