ผมเป็นคนทำงานในสาย IT ในด้านการหา bug โดยตรง และเป็นลูกค้าของเกือบทุกธนาคารและเปิดใช้ internet banking เกือบทุกอัน จึงจำเป็นต้องตั้งกระทู้ถามเรื่องนี้
ผมตั้งกระทู้นี้เพราะ หลังจาก bug บันลือโลกชื่อ Heartbleed ออกข่าวอย่างเป็นทางการ เมื่อ พฤหัสที่ 10 เมษา 2557 ที่ผ่านมา
ผมก็นั่งสังเกตุอยู่หลายวันแล้ว ว่าเมื่อไหร่เว็บต่างๆจะให้สัญญานว่าให้ผู้ใช้อย่างเราๆ ทำอะไรบ้าง ยังไง
แต่เว็บธนาคารแต่ละที่ยังไม่มีประกาศอะไรออกมา ซึ่งเป็นสิ่งที่สร้างความสับสนกับผู้ใช้เป็นอย่างมาก และควรรู้ไว้ว่าการทำแบบนี้ทำให้ผู้ใช้บริการของท่านทั้งหมดตกอยู่ในความเสี่ยงอย่างยิ่ง
ไม่ว่าเว็บธนาคารออนไลน์ของท่าน จะเข้าเคสใด ต่อไปนี้
(1) - กำลังได้รับผลกระทบอยู่ ณ วันนี้ << ผู้ใช้บริการต้องรอเว็บนั้นๆแก้ปัญหา bug ตัวนี้ให้เสร็จก่อน และควรเปลี่ยนรหัสผ่าน หลังจากนั้นทันที
(2) - ได้รับผลกระทบ แต่แก้ไปแล้วในปัจจุบัน << ผู้ใช้บริการควรแก้รหัสผ่าน ทันที
(3) - ไม่ได้รับผลกระทบเลยตั้งแต่แรก (เพราะระบบไม่ได้ใช้ OpenSSL) << ผู้ใช้บริการไม่จำเป็นต้องแก้รหัสผ่านใดๆ
ธนาคาร
"จำเป็นอย่างยิ่ง" ต้องแจ้งผู้ใช้งาน ว่า จำเป็นต้องเปลี่ยนรหัสผ่าน หรือไม่
ต่อให้เป็นเคสที่ (3) (กรณีที่เป็นจริงๆ ไม่ได้เนียนเป็นเพราะไม่อยากให้คนตื่นตระหนก) ท่านก็จำเป็นต้องแจ้งให้ผู้ใช้งานทราบ
เพราะว่า
เว็บสำหรับตรวจสอบ Heartbleed ส่วนใหญ่
บอกได้แค่ว่า ณ ปัจจุบัน เว็บที่เรากรอก address เข้าไปนั้น ยังมี bug นี้อยู่หรือไม่
แต่ไม่สามารถแยกความแตกต่างระหว่างเคส (2) และ (3) ออกจากกันได้ !!
เช่น การตรวจสอบด้วยเว็บนี้
http://www.aciscyberlab.com/
และเว็บนี้
https://filippo.io/Heartbleed/
บอกได้แค่ว่าปัจจุบันมี bug นี้อยู่ในเว็บที่เราต้องการตรวจสอบอยู่รึเปล่า เท่านั้น
ส่วนเว็บตรวจสอบ heartbleed ซึ่งเขียนมาโดยพยายามให้คำตอบว่าจำเป็นต้องเปลี่ยนรหัสผ่านหรือไม่โดยตรง (คือพยายามจะแยกเคส (2) และ (3) ออกจากกันให้ได้ ) อย่างเว็บ
https://lastpass.com/heartbleed/ ก็ค่อนข้างให้ผลลัพธ์ที่ตีขลุมมากๆ เพราะมันเองไม่สามารถตรวจสอบได้ว่าเว็บเป้าหมายที่ต้องการตรวจสอบนั้น ใช้ OpenSSL หรือไม่ ถ้าตรวจสอบด้วยเครื่องมือของเว็บนี้ พบว่า internet banking หลายแห่งของไทยในวันนี้ ขึ้นผลเป็น Possibly Unsafe เกือบหมด
และได้รับคำแนะนำว่า Assessment: It's not clear if it was vulnerable
so wait for the company to say something publicly, if you used the same password on any other sites, update it now.
so wait for the company to say something publicly
ผ่านมาสัปดาห์หนึ่ง ยังไม่เห็นธนาคารไหนออกประกาศซักทีว่าปลอดภัยหรือไม่ยังไง จำเป็นต้องเปลี่ยนรหัสผ่านรึเปล่า เงียบเหมือนไม่มีอะไรเกิดขึ้น เหมือนไม่ได้รู้เลยว่ามี bug ร้ายแรงตัวนี้โผล่ออกมาเมื่อสัปดาห์ที่แล้ว (และอันที่จริง bug นี้แฝงอยู่ใน OpenSSL ตั้งแต่ปี 2011 ซึ่งผ่านมานานหลายปีมากๆ)
และในมุมมองผู้ใช้งาน คงไม่มีใครอยากเปลี่ยนรหัสผ่านของทุกเว็บๆที่เขาใช้บริการรวดเดียวหมดทุกอัน (มีเป็นสิบรหัสเดี๋ยวจะลืมซะเอง) และอยากจะเปลี่ยนเฉพาะอันที่ "จำเป็นจริงๆ" เท่านั้น คือเฉพาะเว็บที่ได้รับผลกระทบจาก bug ตัวนี้
การที่ธนาคารหรือเว็บไซต์ทางการเงิน ของไทย แต่ละเว็บ ไม่ออกประกาศอะไรออกมาเลย ทำให้ผู้ใช้บริการ ไม่รู้ว่า ตกลงจำเป็นต้องเปลี่ยนรหัสผ่านสำหรับเว็บท่านๆหรือไม่
หวังว่าจะมีผู้เกี่ยวของของแต่ละธนาคารเล่นเว็บบอร์ดนี้อยู่ และดำเนินการในสิ่งที่ควรจะทำโดยเร็วด้วย (ซึ่งผมมั่นใจว่าเมื่อคิดถึงผลประโยชน์ของผู้ใช้บริการและลูกค้าของท่านๆเป็นที่ตั้ง สิ่งที่ควรทำย่อมไม่ใช่การโหวตลบกระทู้นี้น่ะครับ)
สำหรับคนไม่รู้ว่า Heartbleed คืออะไร ลองอ่านในนี้เคลียร์สุดๆครับ (รายละเอียดด้าน เทคนิค เยอะนิดหนึ่ง แต่อ่านแค่ส่วนแรกๆก็พอรู้แล้วครับว่า Heartbleed อันตรายยังไง)
https://www.blognone.com/node/55302
กรณี Heartbleed (OpenSSL) : ธนาคาร ควรออกประกาศแจ้งผู้ใช้งานด้วย ว่า จำเป็นต้องเปลี่ยนรหัสผ่านหรือไม่
ผมตั้งกระทู้นี้เพราะ หลังจาก bug บันลือโลกชื่อ Heartbleed ออกข่าวอย่างเป็นทางการ เมื่อ พฤหัสที่ 10 เมษา 2557 ที่ผ่านมา
ผมก็นั่งสังเกตุอยู่หลายวันแล้ว ว่าเมื่อไหร่เว็บต่างๆจะให้สัญญานว่าให้ผู้ใช้อย่างเราๆ ทำอะไรบ้าง ยังไง
แต่เว็บธนาคารแต่ละที่ยังไม่มีประกาศอะไรออกมา ซึ่งเป็นสิ่งที่สร้างความสับสนกับผู้ใช้เป็นอย่างมาก และควรรู้ไว้ว่าการทำแบบนี้ทำให้ผู้ใช้บริการของท่านทั้งหมดตกอยู่ในความเสี่ยงอย่างยิ่ง
ไม่ว่าเว็บธนาคารออนไลน์ของท่าน จะเข้าเคสใด ต่อไปนี้
(1) - กำลังได้รับผลกระทบอยู่ ณ วันนี้ << ผู้ใช้บริการต้องรอเว็บนั้นๆแก้ปัญหา bug ตัวนี้ให้เสร็จก่อน และควรเปลี่ยนรหัสผ่าน หลังจากนั้นทันที
(2) - ได้รับผลกระทบ แต่แก้ไปแล้วในปัจจุบัน << ผู้ใช้บริการควรแก้รหัสผ่าน ทันที
(3) - ไม่ได้รับผลกระทบเลยตั้งแต่แรก (เพราะระบบไม่ได้ใช้ OpenSSL) << ผู้ใช้บริการไม่จำเป็นต้องแก้รหัสผ่านใดๆ
ธนาคาร "จำเป็นอย่างยิ่ง" ต้องแจ้งผู้ใช้งาน ว่า จำเป็นต้องเปลี่ยนรหัสผ่าน หรือไม่
ต่อให้เป็นเคสที่ (3) (กรณีที่เป็นจริงๆ ไม่ได้เนียนเป็นเพราะไม่อยากให้คนตื่นตระหนก) ท่านก็จำเป็นต้องแจ้งให้ผู้ใช้งานทราบ
เพราะว่า
เว็บสำหรับตรวจสอบ Heartbleed ส่วนใหญ่ บอกได้แค่ว่า ณ ปัจจุบัน เว็บที่เรากรอก address เข้าไปนั้น ยังมี bug นี้อยู่หรือไม่
แต่ไม่สามารถแยกความแตกต่างระหว่างเคส (2) และ (3) ออกจากกันได้ !!
เช่น การตรวจสอบด้วยเว็บนี้ http://www.aciscyberlab.com/
และเว็บนี้ https://filippo.io/Heartbleed/
บอกได้แค่ว่าปัจจุบันมี bug นี้อยู่ในเว็บที่เราต้องการตรวจสอบอยู่รึเปล่า เท่านั้น
ส่วนเว็บตรวจสอบ heartbleed ซึ่งเขียนมาโดยพยายามให้คำตอบว่าจำเป็นต้องเปลี่ยนรหัสผ่านหรือไม่โดยตรง (คือพยายามจะแยกเคส (2) และ (3) ออกจากกันให้ได้ ) อย่างเว็บ https://lastpass.com/heartbleed/ ก็ค่อนข้างให้ผลลัพธ์ที่ตีขลุมมากๆ เพราะมันเองไม่สามารถตรวจสอบได้ว่าเว็บเป้าหมายที่ต้องการตรวจสอบนั้น ใช้ OpenSSL หรือไม่ ถ้าตรวจสอบด้วยเครื่องมือของเว็บนี้ พบว่า internet banking หลายแห่งของไทยในวันนี้ ขึ้นผลเป็น Possibly Unsafe เกือบหมด
และได้รับคำแนะนำว่า Assessment: It's not clear if it was vulnerable so wait for the company to say something publicly, if you used the same password on any other sites, update it now.
so wait for the company to say something publicly
ผ่านมาสัปดาห์หนึ่ง ยังไม่เห็นธนาคารไหนออกประกาศซักทีว่าปลอดภัยหรือไม่ยังไง จำเป็นต้องเปลี่ยนรหัสผ่านรึเปล่า เงียบเหมือนไม่มีอะไรเกิดขึ้น เหมือนไม่ได้รู้เลยว่ามี bug ร้ายแรงตัวนี้โผล่ออกมาเมื่อสัปดาห์ที่แล้ว (และอันที่จริง bug นี้แฝงอยู่ใน OpenSSL ตั้งแต่ปี 2011 ซึ่งผ่านมานานหลายปีมากๆ)
และในมุมมองผู้ใช้งาน คงไม่มีใครอยากเปลี่ยนรหัสผ่านของทุกเว็บๆที่เขาใช้บริการรวดเดียวหมดทุกอัน (มีเป็นสิบรหัสเดี๋ยวจะลืมซะเอง) และอยากจะเปลี่ยนเฉพาะอันที่ "จำเป็นจริงๆ" เท่านั้น คือเฉพาะเว็บที่ได้รับผลกระทบจาก bug ตัวนี้
การที่ธนาคารหรือเว็บไซต์ทางการเงิน ของไทย แต่ละเว็บ ไม่ออกประกาศอะไรออกมาเลย ทำให้ผู้ใช้บริการ ไม่รู้ว่า ตกลงจำเป็นต้องเปลี่ยนรหัสผ่านสำหรับเว็บท่านๆหรือไม่
หวังว่าจะมีผู้เกี่ยวของของแต่ละธนาคารเล่นเว็บบอร์ดนี้อยู่ และดำเนินการในสิ่งที่ควรจะทำโดยเร็วด้วย (ซึ่งผมมั่นใจว่าเมื่อคิดถึงผลประโยชน์ของผู้ใช้บริการและลูกค้าของท่านๆเป็นที่ตั้ง สิ่งที่ควรทำย่อมไม่ใช่การโหวตลบกระทู้นี้น่ะครับ)
สำหรับคนไม่รู้ว่า Heartbleed คืออะไร ลองอ่านในนี้เคลียร์สุดๆครับ (รายละเอียดด้าน เทคนิค เยอะนิดหนึ่ง แต่อ่านแค่ส่วนแรกๆก็พอรู้แล้วครับว่า Heartbleed อันตรายยังไง)
https://www.blognone.com/node/55302