i-Sprint Innovations (“i-Sprint”) ผู้นำด้านการจัดหาโซลูชั่นบริหารการระบุอัตลักษณ์ การรับรอง และการเข้าถึงระบบในเอเชียแปซิฟิก ได้เปิดเผยข้อมูลเบื้องลึกเกี่ยวกับ Heartbleed บั๊กร้ายแรงตัวใหม่ล่าสุดที่พบในไลบรารี OpenSSL ซึ่งเป็นโปรแกรมเข้ารหัสข้อมูล และวิธีการหลีกเลี่ยงบั๊กตัวนี้ รวมถึงช่องโหว่อื่นๆของไลบรารี SSL
ปัญหาบั๊ก Heartbleed เป็นอีกหนึ่งเครื่องเตือนใจที่ทำให้เราเห็นถึงภัยคุกคามด้านความปลอดภัยที่เราต้องเผชิญอย่างไม่หยุดหย่อน บั๊ก Heartbleed ทำให้เกิดช่องโหว่จนใครก็ตามที่ใช้อินเทอร์เน็ตสามารถเข้าถึงหน่วยความจำของระบบต่างๆที่ใช้ไลบรารี OpenSSL เวอร์ชั่นที่มีความเปราะบางสูง ซึ่งหน่วยความจำเหล่านี้มีข้อมูลสำคัญที่ใช้ระบุตัวตนของผู้ให้บริการ รวมถึงชื่อ รหัสผ่าน และข้อมูลจริงของผู้ใช้งาน ทำให้ผู้ไม่หวังดีสามารถลักลอบดูข้อมูลการติดต่อสื่อสารและขโมยข้อมูลต่างๆได้โดยตรงจากผู้ให้บริการและผู้ใช้งาน และสามารถนำข้อมูลไปปลอมแปลงได้
บั๊กตัวนี้ฝังอยู่ในระบบมานานกว่า 2 ปีแล้ว และผู้เชี่ยวชาญด้านความปลอดภัยมากมายกล่าวว่ามันคือ “หายนะ” ส่วนหนทางการแก้ไขที่ต้องทำโดยทันทีคือต้องระบุว่าระบบใดถูกโจมตี จากนั้นทำการแก้ไขและอัพเดท SSL certificate ขณะเดียวกันต้องแจ้งให้ผู้ใช้งานเปลี่ยนรหัสผ่านและติดตามดูว่าข้อมูลของตนถูกนำไปใช้โดยมิชอบหรือไม่
แม้วันนี้บั๊กดังกล่าวจะได้รับการแก้ไขแล้ว แต่ในอนาคตก็อาจมีบั๊กแบบนี้ปรากฏขึ้นอีก หรืออาจมีบั๊กที่ยังหลบซ่อนตัวอยู่ในระบบก็เป็นได้ ช่องโหว่ต่างๆที่ส่งผลกระทบในลักษณะนี้อาจเกิดขึ้นอีกในอนาคต อันเป็นผลมาจากไลบรารี SSL ตัวอื่นๆ หรือแอพพลิเคชั่นอื่นๆ
นอกจากนั้นยังเกิดคำถามขึ้นมาว่า Secure Socket Layer (SSL) มีความปลอดภัยมากพอที่จะปกป้องข้อมูลที่เป็นความลับและข้อมูลการทำธุรกรรมออนไลน์หรือไม่ องค์กรต่างๆจะบริหารความเสี่ยงเพื่อป้องกันข้อมูลรั่วไหลได้อย่างไร จะทำให้ลูกค้ามั่นใจได้อย่างไรว่าข้อมูลของลูกค้าจะปลอดภัย และเราสามารถทำอะไรบางอย่างเพื่อลดความเสี่ยงได้หรือไม่
เพื่อป้องกันการถูกเปิดเผยข้อมูลสำคัญแม้ว่า SSL จะถูกโจมตี องค์กรต่างๆจำเป็นต้องอาศัยโซลูชั่นปกป้องข้อมูลที่แข็งแกร่งอย่างเช่น End-to-End Encryption (E2EE) ที่สามารถปกป้องรหัสผ่านและข้อมูลการทำธุรกรรมต่างๆ โดยข้อมูลสำคัญจะยังเข้ารหัสแม้ว่าข้อมูลเหล่านั้นจะอยู่ในหน่วยความจำของเซิร์ฟเวอร์ของเว็บหรือแอพที่เปราะบางก็ตาม E2EE สามารถป้องกันบั๊ก Heartbleed ได้ ทั้งยังป้องกันไม่ให้คนในอย่างเช่นนักพัฒนาซอฟต์แวร์หรือ DBA ปล่อยข้อมูลสำคัญไม่ว่าจะตั้งใจหรือไม่ตั้งใจก็ตาม ทั้งนี้ ธนาคารกลางสิงคโปร์ (MAS) และธนาคารกลางฮ่องกง (HKMA) ได้ออกกฎให้สถาบันการเงินในประเทศใช้โซลูชั่น E2EE ในการปกป้องรหัสผ่านและข้อมูลการทำธุรกรรมที่สำคัญในเว็บไซต์ต่างๆที่มีการทำธุรกรรมออนไลน์
องค์กรต่างๆก็ควรทำเช่นเดียวกับสถาบันการเงินเหล่านี้ ด้วยการใช้โซลูชั่นที่มีความปลอดภัยสูงสุดในการเข้ารหัส รวมถึงส่งรหัสผ่านที่เข้ารหัสและข้อมูลสำคัญผ่านช่องทางการสื่อสาร เพิ่มเติมจากการปกป้องข้อมูลด้วย SSL เพียงอย่างเดียว ซึ่งสามารถทำได้โดยการใช้ไลบรารีที่มีการเข้ารหัสและการใช้ข้อมูลสำคัญในการเข้ารหัสข้อมูล ณ จุดที่มีการเข้าถึงข้อมูล (คอมพิวเตอร์/สมาร์ทโฟนของผู้ใช้งาน) ก่อนที่จะเข้าไปยังเซิร์ฟเวอร์ โดยข้อมูลต่างๆจะยังคงเข้ารหัสจนเข้าไปถึงเว็บเซิร์ฟเวอร์และแอพพลิเคชั่นเซิร์ฟเวอร์ แม้ว่าข้อมูลเหล่านี้อาจถูกถอดรหัสในแอพพลิเคชั่นเซิร์ฟเวอร์ แต่รหัสผ่านก็จะยังคงเข้ารหัสและจะได้รับการยืนยันความถูกต้องภายใน Hardware Security Module (HSM) ซึ่งเป็นอุปกรณ์ที่ใช้ในการเข้ารหัสข้อมูลโดยใช้ tamper resistant hardware ที่ได้มาตรฐาน FIPS ดังนั้นรหัสผ่านจะถูกเข้ารหัสตั้งแต่จุดที่เข้าใช้งานไปจนถึงจุดเปรียบเทียบข้อมูล ซึ่งนอกจากจะป้องกันความเสี่ยงจากบั๊กประเภท Heartbleed แล้ว ยังทำให้มั่นใจได้ว่าจะไม่มีใครสามารถเข้าถึงรหัสผ่านได้ทั้งในระหว่างการส่งผ่านและการจัดเก็บข้อมูล ทั้งยังป้องกันการฉ้อโกงภายในองค์กรด้วย
สรุปแล้ว การปกป้องข้อมูลอย่างมีประสิทธิภาพต้องอาศัยโซลูชั่นการรักษาความปลอดภัยหลายชั้นและกระบวนการป้องกันที่ถูกต้องเหมาะสม องค์กรต่างๆไม่ควรพึ่งพาการปกป้องข้อมูลด้วย SSL เพียงอย่างเดียว แต่ควรใช้โซลูชั่น E2EE ในชั้นของแอพพลิเคชั่นเพื่อปกป้องข้อมูลลับจากช่องโหว่ของเซิร์ฟเวอร์ของเว็บที่อาจเกิดขึ้นได้ในอนาคต
สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับบั๊ก Heartbleed และวิธีการป้องกันได้ที่ www.i-sprint.com หรือติดต่อ enquiry@i-sprint.com
โซลูชั่นของ i-Sprint
i-Sprint เป็นเจ้าของผลิตภัณฑ์ ทรัพย์สินทางปัญญา และสิทธิบัตรด้านความปลอดภัยข้อมูลมากมาย ซึ่งมีมาตรฐานสูงกว่าข้อกำหนดของสถาบันการเงินทั่วโลก i-Sprint ต้องการทำประโยชน์ให้ได้มากที่สุดจากตลาดการระบุอัตลักษณ์ การรับรอง และการเข้าถึงระบบ (ICAM) ซึ่งเติบโตอย่างรวดเร็ว จึงนำเสนอผลิตภัณฑ์อันทันสมัยมากมายทั้งในด้านการปกป้องอัตลักษณ์บุคคล การปกป้องบนระบบคลาวด์ การปกป้องมือถือ และการปกป้องข้อมูล
i-Sprint มีโซลูชั่นรักษาความปลอดภัยระดับโลกมากมาย เช่น E2EE Authentication and Data Protection เพื่อการเข้าถึงแอพพลิเคชั่นอินเทอร์เน็ตแบงก์กิ้งอย่างปลอดภัยและสะดวกสบาย (ลงทะเบียนเข้าระบบครั้งเดียว) นอกจากนี้ โซลูชั่นต่างๆของ i-Sprint ยังเป็นไปตามแนวทางความปลอดภัยอินเทอร์เน็ตแบงก์กิ้งของหน่วยงานกำกับดูแลต่างๆในหลายประเทศ ทั้งยังแก้ปัญหาด้านความปลอดภัยของอินเทอร์เน็ตแบงก์กิ้งและโมบายแบงก์กิ้งได้เกือบทั้งหมด ทั้งนี้ i-Sprint มีระบบการพิสูจน์อัตลักษณ์ที่หลากหลายและมีความปลอดภัยสูงระดับเดียวกับธนาคาร (การพิสูจน์อัตลักษณ์ด้วยเทคโนโลยีไบโอเมตริก และการพิสูจน์อัตลักษณ์ด้วยหลายปัจจัย เป็นต้น) และมีระบบ token management เพื่อรักษาความปลอดภัยในสภาพการณ์ที่หลากหลาย (เว็บ มือถือ และคลาวด์) ขึ้นอยู่กับแพลตฟอร์มรักษาความปลอดภัยพื้นฐาน
ติดต่อ:
ฝ่ายการตลาดของ i-Sprint
Petrina Soh
โทร. +65-6244-3900
อีเมล: marketing@i-sprint.com
เว็บไซต์: www.i-sprint.com