Steam มีช่องโหว่ SSL (Heartbleed) ผู้ใช้ควรงดใช้งานไปก่อนจนกว่า Valve จะแก้ปัญหา

คำเตือน: ข่าวนี้มีเนื้อหาทางเทคนิค Computer Security เยอะพอสมควร จะพยายามเขียนให้เข้าใจง่ายที่สุด ไม่เข้าใจตรงไหนถามได้ครับ

เนื่องจากเมื่อวานนี้ (7 เมษายน 2557) มีการเผยแพร่ข้อมูลช่องโหว่ของไลบรารี OpenSSL ซึ่งเป็นเครื่องมื่อที่ใช้ในการเข้ารหัสข้อมูลเวลาที่มีการรับส่งข้อมูลสำคัญๆ ผ่านอินเทอร์เน็ต (เช่น รหัสผ่าน บัญชีธนาคาร หมายเลขบัตรเครติด ฯลฯ) โดยไอ้เจ้า OpenSSL นี่ก็มีการเปิดให้นักพัฒนาเอาไปใช้งานในซอฟต์แวร์ต่างๆ ของตัวเองได้ฟรี ก็เลยมีพวกโปรแกรมเว็บเซิร์ฟเวอร์ โปรแกรมแช็ท หรือแม้กระทั่ง Steam เองก็เอา OpenSSL ไปใช้เข้ารหัสเวลารับส่งข้อมูล

ปัญหาช่องโหว่ที่พบคือ ตัวโปรแกรม OpenSSL เวอร์ชัน 1.0.1 ถึง 1.0.1f เนี่ยมันมีบั๊กที่อนุญาตให้ใครก็ตามสามารถเชื่อมต่อเข้ามาเพื่อที่จะอ่านข้อมูลที่อยู่ในแรมของเครื่องปลายทางได้โดยไม่ต้องแฮ็กหรือไม่ต้องทำอะไรพิสดารเลย ถึงแม้ว่าข้อมูลที่อ่านได้จากแรมจะเอาออกไปได้ทีละไม่มาก (ไม่เกินครั้งละ 64 KB) แต่ข้อมูลส่วนนั้นมันก็มีโอกาสที่จะเป็นข้อมูลดิบๆ ที่ไม่ได้ถูกเข้ารหัส ดังนั้นก็เลยมีโอกาสที่ข้อมูลสำคัญต่างๆ ที่ถูกเก็บอยู่ในแรม (เช่น รหัสผ่าน หรือหมายเลขบัตรเครดิต) จะถูกใครก็ได้ขโมยออกไปโดยที่เราไม่รู้ตัว และไม่มีหลักฐานอะไรหลงเหลือให้รู้ว่าถูกขโมยไปตอนไหน ช่องโหว่นี้มีชื่อเรียกเล่นๆ ว่า Heartbleed

ทางทีมงาน SteamDB ซึ่งเป็นทีมที่คอยอัพเดตข้อมูลข่าวสารต่างๆ เกี่ยวกับระบบของ Steam (แต่ไม่ได้มีส่วนเกี่ยวข้องอะไรกับ Valve หรือ Steam นะ) ได้ออกมาทวีตเตือนว่าตอนนี้ระบบต่างๆ ของ Steam มีช่องโหว่ Heartbleed อยู่ ซึ่งผู้ใช้ที่เปิดใช้งาน Steam หรือเชื่อมต่อกับระบบของ Steam อาจถูกขโมยข้อมูลสำคัญออกไปได้ และแนะนำให้ผู้ใช้งดใช้บริการต่างๆ ของ Steam ไปก่อน จนกว่าทาง Valve จะแก้ปัญหา

ทาง SteamDB บอกว่าได้ติดต่อประสานงานกับ Valve เพื่อให้แก้ปัญหาเรื่องนี้แล้ว แต่คาดว่าคงต้องใช้เวลาซักพัก ระหว่างนี้ถ้าใครที่กังวลว่าข้อมูลสำคัญๆ ในเครื่องอาจถูกขโมยออกไป แนะนำให้หยุดใช้งาน Steam ไปก่อนชั่วคราว จนกว่าทาง Valve จะมีแถลงการณ์ออกมาอีกทีครับ

ข้อมูลเพิ่มเติมของช่องโหว่ – Heartbleed
ที่มา – Softpedia

อัพเดต1: เพื่อให้เห็นภาพชัดเจน ขออธิบายเพิ่มเติมนิดนึงครับ คือเวลาเราล็อกอินเข้า Steam หรือเว็บไซต์ต่างๆ มันก็จะมีการเก็บข้อมูลการล็อกอินไว้ที่ฝั่งเซิร์ฟเวอร์ (เช่นข้อมูล Username/Password) และส่วนใหญ่ข้อมูลที่เก็บอยู่ในแรมก็จะไม่มีการเข้ารหัสอะไรเลย ทีนี้ไอ้ช่องโหว่ Heartbleed เนี่ยมันเปิดให้ใครก็ได้อ่านข้อมูลจากแรมของเครื่องเซิร์ฟเวอร์ออกไป ทำให้มีโอกาสสูงมากๆ ที่จะมีคนสามารถเอา Username และ Password ของเราออกมาได้ ตัวอย่างในรูปข้างล่างนี้คือข้อมูลที่มีคนอ่านได้จากเซิร์ฟเวอร์ของ Yahoo! ซึ่งมีช่องโหว่ Heartbleed ที่ว่านี้อยู่

ที่มา – @markloman

อันนี้ของ xkcd อธิบายได้เห็นภาพชัดเจนดี

อัพเดต2: ตอนนี้ Steam แก้ปัญหาช่องโหว่นี้ไปแล้วครับ แต่แนะนำว่าให้ที่ใช้ Steam ควรเปลี่ยนรหัสผ่านเพื่อความปลอดภัย

อัพเดต3: ปัญหานี้ไม่ได้มีแค่ Steam อย่างเดียว ดูรายชื่อบริการอื่นๆ ที่ได้รับผลกระทบ เพิ่มเติมได้ครับ