NSA ปัดไม่เคยรู้เรื่องบั๊ก Heartbleed มาก่อน

หลังจากกระแสข่าวบั๊ก Heartbleed ที่เป็นช่องโหว่ให้แฮกเกอร์ขโมยข้อมูลได้ง่าย สำนักงานความมั่นคงแห่งชาติสหรัฐฯ และหน่วยงานอื่นของสหรัฐฯ ปฏิเสธไม่เคยรู้เรื่องดังกล่าว ด้านเว็บวิทยาศาสตร์แนะวิธีเปลี่ยนรหัสผ่าน

 

12 เม.ย. 2557 สำนักงานความมั่นคงแห่งชาติสหรัฐฯ (NSA) ปฏิเสธว่าพวกเขาไม่เคยทราบเรื่องของบั๊กที่ชื่อฮาร์ทบลีด (Heartbleed) ซึ่งกำลังเป็นที่วิตกในโลกอินเทอร์เน็ต หลังจากเมื่อไม่นานมานี้มีรายงานข่าวหลายแห่งเปิดเผยว่าเว็บที่เข้ารหัสด้วยโปรโตคอล OpenSSL เช่นเว็บ ยาฮู ฟลิกเกอร์ ทัมเบลอร์ และอีกหลายล้านเว็บมีบั๊กหรือข้อผิดหลาดที่ชื่อฮาร์ทบลีดทำให้เกิดช่องโหว่ให้แฮกเกอร์สามารถดึงเอาข้อมูลส่วนตัวของผู้ใช้เว็บได้

NSA ตอบโต้ข้อกล่าวหาจากรายงานข่าวของสำนักข่าวบลูมเบิร์กซึ่งอ้างว่า NSA ทราบเรื่องบั๊กที่ชื่อฮาร์ทบลีดมาเป็นเวลา 2 ปีแล้ว และฉวยโอกาสใช้ช่องโหว่จากบั๊กตัวนี้ในการดักเก็บข้อมูลทางอินเทอร์เน็ต โดยเก็บเรื่องบั๊กตัวนี้ไว้เป็นความลับไม่เปิดเผยต่อสาธารณชน บลูมเบิร์กอ้างว่าทราบเรื่องดังกล่าวจากบุคคลที่มีความคุ้นเคยในประเด็นนี้สองคนโดยไม่เปิดเผยชื่อ

ทาง NSA มีหน้าที่หลักอย่างหนึ่งคือการค้นหาข้อบกพร่องหรือช่องโหว่ของระบบอินเทอร์เน็ต ซึ่งสำนักงานผู้อำนวยการข่าวกรองแห่งชาติสหรัฐฯ บอกว่า เมื่อมีการค้นพบช่องโหว่ดังกล่าวก็จะเปิดเผยต่อประชาชนแต่ทางองค์กรจะตัดสินใจร่วมกันว่าจะเปิดเผยเรื่องนี้ในเวลาใด

วานี ไวนส์ โฆษกของ NSA กล่าวว่า ทาง NSA ไม่เคยทราบเรื่องบั๊กที่ชื่อฮาร์ทบลีดมาก่อนจนกระทั่งมีการรายงานจากฝ่ายความปลอดภัยทางอินเทอร์เน็ตของภาคเอกชนเมื่อไม่นานมานี้

ทำเนียบขาวและสำนักงานผู้อำนวยการข่าวกรองแห่งชาติสหรัฐฯ ก็กล่าวในทำนองเดียวกันเมื่อวันศุกร์ที่ผ่านมาว่า ทั้ง NSA และองค์กรอื่นๆ ของรัฐบาลสหรัฐฯ ไม่เคยทราบเรื่องบั๊กฮาร์ทบลีดมาก่อน

เมื่อวันศุกร์ที่ผ่านมาทางการสหรัฐฯ ยังได้ประกาศเตือนธุรกิจต่างๆ ให้คอยระวังแฮกเกอร์ขโมยข้อมูลหลังจากค้นพบบั๊กฮาร์ทบลีด ทางการสหรัฐฯ ยังได้ฟ้องร้องดำเนินคดีต่อผู้เจาะระบบความปลอดภัย 9 คน ซึ่งมีบางคนเป็นชาวรัสเซียและยูเครน ว่า ผู้ถูกฟ้องร้องเหล่านี้มีส่วนร่วมในแผนการเจาะระบบเพื่อขโมยเงินหนึ่งล้านดอลลาร์โดยอาศัยมัลแวร์ที่ชื่อ Zeus เข้าไปขโมยข้อมูลรหัสผ่านของธนาคารออนไลน์

อย่างไรก็ตามดูเหมือนผู้เรียกร้องด้านสิทธิความเป็นส่วนตัวไม่รู้สึกแปลกใจถ้าหากกรณีที่ NSA เคยทราบเรื่องบั๊กฮาร์ทบลีดมาก่อนหน้านี้ 2 ปี เป็นเรื่องจริง เนื่องจากก่อนหน้านี้ NSA ถูกเปิดโปงเรื่องโครงการสอดแนมผู้คนทีละจำนวนมาก เคยมีรายงานข่าวจากเอกสารลับขององค์กรว่าพวกเขาพยายามค้นหาข้อบกพร่องด้านความปลอดภัยของอินเทอร์เน็ตเพื่อสอดแนมเป้าหมาย

ผู้เชี่ยวชาญแนะวิธีเปลี่ยนรหัสผ่านเลี่ยงโดนแฮก

ทางด้านเว็บไซต์ไลฟไซเอนซ์ได้ให้คำแนะนำแก่ผู้ใช้อินเทอร์เน็ตเรื่องการเปลี่ยนแปลงรหัสผ่านเพื่อป้องกันการถูกแฮก โดยแนะนำให้ใช้รหัสผ่านจำนวนมากกว่า 12 ตัวอักษร ใช้การสุ่มเรียงตัวหนังสือ ตัวเลข และสัญลักษณ์ หลีกเลี่ยงการใช้คำที่มีความหมายเนื่องจากแฮกเกอร์มีวิธีการเทียบรหัสผ่านตามคำในพจนานุกรม วันที่ และข้อความอื่นๆ ที่นิยมใช้ในระบบรักษาความปลอดภัย

สำนักวิชาวิทยาการคอมพิวเตอร์ มหาวิทยาลัยคาร์เนกีเมลอน แนะนำว่าไม่ควรตั้งค่ารหัสผ่านโดยใช้ชื่อตัวคุณเอง ชื่อผู้ใช้ หรือข้อมูลอื่นที่สามารถสืบค้นได้เกี่ยวกับตัวคุณ รวมถึงไม่ควรเป็นชื่อของสิ่งอื่นๆ เช่นรายการโทรทัศน์ หรือเป็นการเขียนเรียงตัวอักษรบนแป้นพิมพ์

ศาตราจารย์จากมหาวิทยาลัยคาร์เนกีเมลอนแนะนำว่า ถ้าหากต้องการให้รหัสผ่านจำง่าย ควรสร้างประโยคซึ่งสามารถจดจำได้ง่ายแล้วใช้อักษรตัวหน้าของทุกคำในประโยคมาวางเรียงกันแล้วเสริมด้วยเครื่องหมายวรรคตอนและตัวเลข เช่น ประโยค "I have two kids: Jack and Jill." นำมาแปลงเป็นรหัสผ่าน "Ih2k:JaJ."

เรียบเรียงจาก
The NSA denies it knew of the Heartbleed bug, Washington Post, 11-04-2014
http://www.washingtonpost.com/blogs/the-switch/wp/2014/04/11/the-nsa-denies-it-knew-of-the-heartbleed-bug/

Heartbleed Bug: How to Create Strong Passwords, Livescience, 10-04-2014
http://www.livescience.com/44739-heartbleed-bug-password-security.html

US Warns Business About 'Heartbleed' Computer Bug, VOA, 11-04-2014
http://www.voanews.com/content/us-cyber-security/1891772.html

NSA Said to Exploit Heartbleed Bug for Intelligence for Years, Bloomberg, 12-04-2014
http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-used-heartbleed-bug-exposing-consumers.html

ข่าวรอบวัน

สนับสนุนประชาไท 1,000 บาท รับร่มตาใส + เสื้อโปโล

ประชาไท

ร่วมบริจาค สนับสนุนการทำงานของ 'ประชาไท' ร่วมสร้างและรักษาสื่อเสรี Prachatai.com (ไม่มีขั้นต่ำ)

โอนเงิน บัญชีกรุงไทย 091-0-10432-8 "มูลนิธิสื่อเพื่อการศึกษาของชุมชน FCEM"

โอนเงิน PayPal / บัตรเครดิต https://PayPal.me/Prachatai (รายงานยอดบริจาคสนับสนุน)

ติดตามประชาไทอัพเดท ได้ที่:
เฟซบุ๊ก https://fb.me/prachatai
ทวิตเตอร์ https://twitter.com/prachatai
LINE ไอดี = @prachatai

พื้นที่ประชาสัมพันธ์