ทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับข้อบกพร่องขนาดใหญ่ของ Heartbleed ใน 7 คำถาม

เปิดเผยเมื่อไม่กี่วันก่อน ข้อบกพร่องขนาดใหญ่ของ Heartbleed สร้างความปั่นป่วนให้กับอินเทอร์เน็ตทั้งหมด ส่งผลกระทบต่อเว็บเซิร์ฟเวอร์มากกว่าครึ่งล้านเครื่องทั่วโลก นี่คือทุกสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับจุดบกพร่องนี้ เพื่อทำความเข้าใจและป้องกันตัวคุณเอง

1) Heartbleed คืออะไร?

เป็นชื่อที่ไพเราะสำหรับหนึ่งในการละเมิดความปลอดภัยที่สำคัญที่สุดที่เว็บเคยพบเห็น ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยจาก Google และ Codenomicon ส่งผลต่อโปรโตคอลการเข้ารหัส OpenSSL ในเวอร์ชัน 1.0.1 ถึง 1.0.1f

แม่นยำยิ่งขึ้น พบข้อบกพร่องในส่วนขยายโปรโตคอลที่เรียกว่า “Heartbeat” ซึ่งทำให้สามารถจัดการการเชื่อมต่อถาวรระหว่างผู้ใช้และเซิร์ฟเวอร์ ในโหมดคำถาม-คำตอบ (เซิร์ฟเวอร์คุณอยู่ที่นั่น ใช่ ฉันอยู่ที่นั่นไหม) .

เนื่องจากข้อผิดพลาดในการเขียนโปรแกรม (อ่านจุดที่ 7) เซิร์ฟเวอร์จึงส่งคืน RAM บางส่วนให้กับผู้ใช้ในบางกรณี ข้อมูลรั่วไหลที่ผู้ประสงค์ร้ายสามารถใช้ประโยชน์จากการดูดกลืนข้อมูลที่ละเอียดอ่อนได้ จึงได้ชื่อว่า« เลือดหัวใจ »-

ในบล็อกโพสต์ของบริษัทเล็กซี่วิเคราะห์ข้อบกพร่องนี้ในทางเทคนิคตามโค้ด นักออกแบบ Randall Munroe ในส่วนของเขา ประสบความสำเร็จในการอธิบายข้อบกพร่องนี้ด้วยวิธีที่เรียบง่ายและอธิบายได้ โดยหกบทความ(ดูภาพ)

2) ร้ายแรงมั้ยหมอ?

ใช่ มันร้ายแรงมาก ต้องขอบคุณข้อบกพร่องนี้ ผู้โจมตีสามารถกู้คืนคีย์เข้ารหัสส่วนตัวของการเชื่อมต่อ SSL ที่ถูกโจมตีได้ นับจากนี้ไป ประตูก็เปิดกว้าง แฮกเกอร์จะสามารถเข้าถึงข้อมูลทั้งหมดที่หมุนเวียนอยู่ รวมถึงตัวระบุและรหัสผ่าน เหมาะสำหรับหน่วยข่าวกรองหรือกลุ่มอาชญากรไซเบอร์

หากเขาโชคไม่ดี แฮกเกอร์ก็จะเข้าถึงเนื้อหาที่ละเอียดอ่อนไม่มากก็น้อย ไม่ว่าในกรณีใด ความเสี่ยงนั้นมีมหาศาล สำหรับผู้เชี่ยวชาญด้านความปลอดภัย Bruce Schneier ข้อบกพร่องนี้ถือเป็นหายนะอย่างยิ่ง“ในระดับ 1 ถึง 10 มันคือ 11”เขาเน้นย้ำในกโพสต์ในบล็อก-

หากต้องการดูขอบเขตของภัยพิบัติ เพียงปรึกษากับบล็อกของ โรเบิร์ต เกรแฮมผู้เชี่ยวชาญด้านความปลอดภัยอีกคน เมื่อวันที่ 9 เมษายน ได้ทำการสแกนเว็บอัตโนมัติ ตรวจพบเซิร์ฟเวอร์ 28 ล้านเครื่องที่ใช้ OpenSSL ในจำนวนนี้ มีประมาณ 600,000 คนที่มีความเสี่ยง อย่างไรก็ตาม เซิร์ฟเวอร์ที่มีความละเอียดอ่อนที่สุดได้รับการแก้ไขอย่างรวดเร็ว

3) บริการหรืออุปกรณ์ใดบ้างที่ได้รับผลกระทบ?

บริการออนไลน์ทั้งหมดที่ใช้โปรโตคอล OpenSSL ในเวอร์ชัน 1.0.1 ถึง 1.0.1f และมีจำนวนมากเนื่องจาก OpenSSL เป็นหนึ่งในเทคโนโลยีการเข้ารหัสที่ใช้กันอย่างแพร่หลายที่สุดบนอินเทอร์เน็ต โดยค่าเริ่มต้นจะรวมเข้ากับเว็บเซิร์ฟเวอร์ Apache และ nginx ซึ่งเมื่อรวมกันแล้วคิดเป็นสองในสามของเว็บเซิร์ฟเวอร์ที่ใช้งานอยู่ (ที่มา: Netcraft)

ในแง่ของประเภทบริการ อาจเกี่ยวข้องกับเว็บเมลและการส่งข้อความโต้ตอบแบบทันที รวมถึงบริการ SSL VPN หรือบริการธนาคาร แม้แต่บริการไม่เปิดเผยตัวตนตและโปรโตคอลสกุลเงินเสมือนบิทคอยน์ได้รับผลกระทบ

แต่นั่นไม่ใช่ทั้งหมด อุปกรณ์เครือข่ายที่เรามีที่บ้านก็อาจมีความเสี่ยงเช่นกัน เช่น ฮาร์ดไดรฟ์เครือข่าย กล่องอินเทอร์เน็ต เราเตอร์ขนาดเล็ก ฯลฯ – เพราะโดยทั่วไปแล้วจะมีอินเทอร์เฟซการกำหนดค่าที่เข้าถึงได้... ผ่าน SSL สำหรับไดรฟ์ NAS นั้น อุปกรณ์แบรนด์ Synology, QNAP และ Thecus มีช่องโหว่ (ที่มา: Cachem.fr)

4) ฉันจะรู้ได้อย่างไรว่าพวกเขายังคงมีความเสี่ยงอยู่?

สิ่งแรกที่ต้องทำคือตรวจสอบว่าซัพพลายเออร์ของคุณสื่อสารเกี่ยวกับเรื่องนี้หรือไม่ แบรนด์ใหญ่ๆ หลายแห่งได้ดำเนินการดังกล่าวเป็นลายลักษณ์อักษร ในบล็อกหรือผ่านทาง Twitter ตัวอย่าง:ไมโครซอฟต์-Google-อเมซอนเว็บเซอร์วิส-ทวิตเตอร์-เพย์พาล-ดรอปบ็อกซ์-เอเวอร์โน้ต-เวิร์ดเพรส-โมจัง/มายคราฟ-Github,… ไซต์ Mashable คอยอัปเดตอยู่เสมอรายการบริการบนเว็บซึ่งบ่งบอกถึงความอ่อนแอของพวกเขา ผู้ผลิตบางรายยังได้เผยแพร่การแจ้งเตือน เช่น Cisco และ Juniper อุปกรณ์เครือข่ายจำนวนมากได้รับผลกระทบจากข้อบกพร่อง Heartbleed: เราเตอร์ สวิตช์ อุปกรณ์วิดีโอ ฯลฯลิงค์ซิสมีการสื่อสารด้วยแต่ผลิตภัณฑ์ของบริษัทไม่มีความเสี่ยง

นอกจากนี้ยังมีหลายไซต์ที่ให้บริการการทดสอบช่องโหว่ เพียงกรอก URL แล้วคุณจะได้รับคำตอบ แบบทดสอบที่สมบูรณ์ที่สุดคือควอลิส- เร็วที่สุดก็คือของฟิลิปโป วัลซอร์ดาซึ่งช่วยให้คุณทดสอบที่อยู่ IP แบบง่าย (และอุปกรณ์บนเครือข่ายภายใน) นอกจากนี้ยังมีของบริษัทลิทัวเนียอีกด้วยเป็นไปได้- มืออาชีพมากขึ้นในหมู่คุณจะเลือกใช้เครื่องมือสแกนอัตโนมัติ GitHub มีหลายอย่างเช่น« Heartbleed Masstest »หรือ« แมสสแกน »- มีประโยชน์สำหรับการวิเคราะห์เครือข่ายบริษัทขนาดใหญ่ เป็นต้น

5) ควรทำอย่างไร?

ผู้ใช้อินเทอร์เน็ตควรตรวจสอบว่าบริการหรืออุปกรณ์ที่พวกเขาใช้นั้นมีความเสี่ยงหรือไม่ (อ่านด้านบน) หากเป็นเช่นนั้น พวกเขาควรหยุดใช้หากเป็นไปได้จนกว่าพวกเขาจะปลอดภัย หากพวกเขาไม่มีช่องโหว่ คุณต้องตรวจสอบว่าในอดีตพวกเขาไม่มีช่องโหว่หรือไม่ (พวกเขาใช้ OpenSSL 1.0.1 หรือไม่) รายชื่อของบดได้หรือจากซีเน็ตสามารถแนะนำคุณในงานนี้ ปรึกษาได้เช่นกันGitHubโดยนักพัฒนาได้สแกนไซต์ 10,000 แห่งในวันที่ 8 เมษายน โดยในจำนวนนี้ 630 แห่งมีความเสี่ยง

หากมีช่องโหว่ จำเป็นต้องเปลี่ยนรหัสผ่าน โดยเฉพาะอย่างยิ่งสำหรับบริการต่อไปนี้:

• Google (บริการทั้งหมด)
• เฟสบุ๊ค
• Yahoo (บริการทั้งหมด)
• อินสตาแกรม
• พินเทอเรส
• ทัมเบลอร์
• Twitter (อาจจะไม่ชัดเจน)
• Amazon Web Services (แต่ไม่ใช่ Amazon.com)
• ดรอปบ็อกซ์
• กล่อง

ผู้ดูแลระบบมีงานยุ่งมาก พวกเขาจะต้องรีบค้นหาเซิร์ฟเวอร์ที่มีช่องโหว่และอัปเดตให้เร็วที่สุด ขอให้โชคดี.

6) ข้อบกพร่องนี้ถูกใช้ไปก่อนที่จะถูกเปิดเผยหรือไม่?

ยากที่จะพูด ตามนักวิจัยด้านความปลอดภัยที่เปิดเผยข้อบกพร่อง การแสวงหาผลประโยชน์“ไม่ทิ้งร่องรอยผิดปกติไว้ในบันทึก”- อย่างไรก็ตาม จากการวิเคราะห์บันทึกอย่างละเอียด ดูเหมือนว่าสิ่งนี้จะยังเป็นไปได้ ดังนั้นทางสมาคมมูลนิธิชายแดนอิเล็กทรอนิกส์อาจได้บ็อตเน็ตที่ใช้ข้อบกพร่องนี้เพื่อบันทึกการสนทนาในฟอรัม Freenode ที่จะตรวจสอบ.

ไม่ว่าในกรณีใด เนื่องจากข้อบกพร่องนี้ไม่ซับซ้อนมากนักในการใช้ประโยชน์ จึงเป็นไปได้ทั้งหมดว่ากลุ่มอาชญากรไซเบอร์หรือหน่วยงานข่าวกรองได้ดูดกลืนเว็บเซิร์ฟเวอร์เป็นเวลาหลายเดือน แต่ในกรณีนี้ความเสียหายก็เกิดขึ้น สิ่งเดียวที่ต้องทำคือเปลี่ยนรหัสผ่านของคุณ

7) ข้อบกพร่องนี้เกิดจากอะไร?

คนที่ทำให้เกิดข้อบกพร่องนี้คือ Robin Seggelmann นักวิทยาศาสตร์คอมพิวเตอร์ชาวเยอรมันที่อาศัยอยู่ใน Münster และมีส่วนร่วมในโครงการ OpenSSL เป็นประจำ เมื่อสองปีที่แล้ว มีการเพิ่มฟีเจอร์หลายอย่าง แต่ยังเกิดข้อผิดพลาดในการเขียนโปรแกรมที่ทำให้เกิดข้อบกพร่อง Heartbleed“ฉันลืมตรวจสอบตัวแปรที่มีความยาว [ของข้อความโปรโตคอล บันทึกของบรรณาธิการ]”เขาอธิบายกับ Sydney Morning Herald อย่างไรก็ตาม เขาระบุว่าข้อผิดพลาดนี้เกิดขึ้นโดยไม่สมัครใจโดยสิ้นเชิง และเขาไม่ได้เป็นส่วนหนึ่งของหน่วยข่าวกรองใดๆ เนื่องจากผู้ที่มีจิตใจหวาดระแวงบางคนอยากจะเชื่อบนเว็บ