ISAC Cambodia (InfoSec)
Security NewsVulnerability

Heartbleed – Common Web Encryption Tool Is Flawed

ឧបករណ៍សម្រាប់ធ្វើការបំលែអ ហើយដែលត្រូវបានប្រើប្រាស់ភាគច្រើនដោយសហគមន៍អ៊ិនធឺណែតគឺមានចំនុចខ្សោយ (flaw) ដែលអាចមានលទ្ធភាពក្នុងការបញ្ចេញនូវព័ត៌មាន ជាច្រើន ដែលគួរតែត្រូវបានលាក់ឲ្យជិត។

ចំនុចខ្សោយ ឬក៏កំហុសឆ្គងនោះត្រូវបានដាក់ឈ្មោះថា “Heartblled” ដោយអ្នកស្រាវជ្រាវផ្នែកសន្តិសុខនៅក្នុងក្រុមហ៊ុន Google និងក្រុមហ៊ុន Codenomicon ដែលអាចជៈ ឥទ្ធិពលទៅដល់ ពីរភាគបី នៃវិបសាយដែលកំពុងដំណើរការសព្វថ្ងៃ នៅពេលដែលវាត្រូវបានគេបញ្ចេញឲ្យដឹងកាលពីថ្ងៃច័ន្ទកន្លងទៅនេះ។

នាថ្ងៃអង្គារ៍ម្សិលមិញនេះ វិបសាយដែលកំពុងប្រតិបត្តិការមានដូចជា Yahoo បានប្រញាប់ប្រញាល់ធ្វើការជួសជុលនូវបញ្ហានេះ។ អ្នកនាំពាក្យក្រុមហ៊ុន Yahoo បាននិយាយថា ក្រុមហ៊ុន បានធ្វើការកែសម្រួលនូវកំហុសទាំងនោះហើយ។ អ្នកស្រាវជ្រាវជាមួយចំនួនបាននិយាយកាលពីពេលមុនថា ពួកែកអាចធ្វើការចាប់យកនូវ username និង password របស់សេវាកម្ម ក្រុមហ៊ុន Yahoo។

វិបសាយធំៗមួយចំនួនទៀត មានដូចជា Google, Amazon និង Ebay មើលទៅគឺមានសុវត្ថិភាព នេះបើតាមការធ្វើតេស្ត បង្កើតដោយអ្នកស្រាវជ្រាវដែលធ្វើការឲ្យ Qualys។

កំហុសឆ្គងនោះគឺកើតមានឡើងនៅក្នុងជំនាន់មួយចំនួននៃ OpenSSL ដែលគឺជាសំនុំឧបករណ៍សម្រាប់បំប្លែងឥតគិតថ្លៃ (free set encryption tools) ដែលត្រូវបានប្រើប្រាស់ ដោយភាគច្រើននៃអ៊ិនធឺណែត។

វិបសាយបានចាប់ផ្តើមធ្វើការប្រើប្រាស់នូវការបំប្លែង ដើម្បីធ្វើការការពារទិន្នន័យរបស់ខ្លួនដូចជា username, passwords និង credit-card numbers។ វាធ្វើការការពារ អ្នកវាយប្រហារ ដែលអង្គុយនៅក្នុងហាងកាហ្វេធ្វើការចាប់យកនូវព័ត៌មានផ្ទាល់ខ្លួន នៅពេលដែលព័ត៌មានទាំងនោះធ្វើដំណើរដោយឥតខ្សែទៅកាន់ wireless router។ ការបំប្លែងបែបនេះ គឺត្រូវបានហៅថា SSL (Socure Socket Layer) ឬ TLS (Transport Layer Security)។ នៅពេលដែលវិបសាយប្រើប្រាស់នូវទម្រង់នៃការបំប្លែងបែបនេះ រូបភាពកូនសោរតូច (padlock)  នឹងបង្ហាញខ្លួននៅក្នុងទីតាំងអាស័យដ្ឋានវិបសាយ (URL or Web Address)។

Web Servers ដែលប្រើប្រាស់នូវជំនាន់ដែលមានកំហុសឆ្គង គឺធ្វើការរក្សាទុកនូវព័ត៌មានដែលមិនបានបំប្លែងនៅក្នុងអង្គចងចាំ។ អ្នកវាយប្រហារអាចធ្វើការចាប់យកនូវទិន្នន័យ ហើយធ្វើការ បង្កើតនូវព័ត៌មានអំពីអ្នកប្រើប្រាស់ឡើងវិញ ឬក៍ព៌តមានដទៃទៀតដែលអាចអនុញ្ញាតឲ្យពួកគេធ្វើការគ្រប់គ្រងនូវចរាចរទិន្នន័យនាពេលអនាគតបន្តទៀត។

វិបសាយ http://filippo.io/Heartbleed/ ផ្តល់ឲ្យអ្នកនូវការធ្វើតេស្តវិបសាយរបស់អ្នក

Screenshot 2014-04-09 11.44.11

មកដល់ពេលនេះ ប្រព័ន្ធប្រតិបត្តិការប្រភេទ Nix*-like គឺទទួលនូវផលប៉ៈពាល់ផងដែរ ដោយសារតែវាមាននូវកញ្ចប់កម្មវិធី ជាមួយនឹង OpenSSL មានដូចខាងក្រោម៖

  • Debian Wheezy (Stable), OpenSSL 1.0.1e-2+deb7u4)
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11)
  • CentOS 6.5, OpenSSL 1.0.1e-15)
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c) и 5.4 (OpenSSL 1.0.1c)
  • FreeBSD 8.4 (OpenSSL 1.0.1e) и 9.1 (OpenSSL 1.0.1c)
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

កញ្ចប់កម្មវិធីដែលមាននូវជំនាន់ចាស់នៃ OpenSSL ដូចជា  Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14, SUSE Linux Enterprise Server គឺមិនប៉ៈពាល់ឡើយ។

មានចំនុចបីយ៉ាងដូចខាងក្រោមដែលអ្នកអាចធ្វើការការពារខ្លួនអ្នក ក្នុងពេលនេះ៖

  • សូមធ្វើការរង់ចាំនូវការប្រកាសជាផ្លូវការពីវិបសាយសន្តិសុខ ឬសេវាកម្មផ្សេងៗ ដែលអ្នកតែងតែទទួលនូវព័ត៌មានពីបញ្ហាសន្តិសុខអ៊ិនធឺណែត
  • នៅពេលដែលអ្នកប្រាកដថា វិបសាយ ឬក៍សេវាកម្មបានធ្វើបច្ចុប្បន្នកម្មសន្តិសុខហើយនោះ សូមធ្វើការផ្លាស់ប្តូរពាក្យសម្ងាត់ភ្លាម
  • សម្រាប់សប្តាហ៍ក្រោយនេះ សូមធ្វើការត្រួតពិនិត្យជាប្រចាំទៅលើិ ព័ត៌មានរបស់អ្នក (online banking, webmail) សម្រាប់សកម្មភាពដែលគួរឲ្យសង្ស័យ

សម្រាប់ព័ត៌មានបន្ថែម៖

http://online.wsj.com/news/articles/SB10001424052702304819004579489813056799076

Show More
Apsara Media Services (AMS)

Phannarith

Mr. OU Phannarith is one of the well-known cybersecurity experts in Cambodia and the region. He is the founder of the first leading information security website (www.secudemy.com) in Cambodia. He has been invited to present in global conferences, forums, and seminars and he was awarded in Information Security Leadership Achievements (ISLA) in 2016 by (ISC)2 and in December 2012 as one of the top 10 Chief Information Security Officers (CISO) in ASEAN by the International Data Group (IDG). Mr. OU has been the Professor specializing in Cybersecurity.

Related Articles

Back to top button