พบช่องโหว่ Remote Code Execution ใน SAMBA (ซึ่งเป็น File Server สำหรับการแชร์ไฟล์ต่างๆของ Linux) version ตั้งแต่ 3.5.0 เป็นต้นมา หากเป็น share drive แบบที่ผู้โจมตีสามารถเขียนไฟล์ได้ ก็จะสามารถยึดเครื่องได้ทันที ช่องโหว่นี้ถูกแจ้งโดย Volker Lendecke พบว่าหาก upload library ที่ฝัง code อันตรายไว้ใน path ที่สามารถเขียนได้ จากนั้นจึงบังคับให้ SAMBA Server อ่านและรันไฟล์นั้นอีกที โดยช่องโหว่นี้ได้ CVE เป็น CVE-2017-7494 ซึ่งหากมีการใช้งาน SAMBA อยู่แนะนำให้รีบ update เพื่อลดความเสี่ยง

ระบบที่ได้รับผลกระทบ: SAMBA version 3.5.0 > with writable folder sharing
ผลกระทบ: Remote Code Execution (Critical Severity)
วิธีการแก้ไข: Update เป็น version Samba 4.6.4, 4.5.10 และ 4.4.14

ที่มา : samba.

ในช่วงก่อนหน้านี้ เรามักจะพบ Virus, Trojan, Worm ในการโจมตีระบบและเครื่องของเราทำให้เครื่องเราช้าและไม่สามารถใช้งานได้ แต่ในปัจจุบันพบว่ามีคนไทยไม่น้อยที่ติด Ransomware โดย Ransomware เป็น malware ที่มุ่งเป้าไปยังผู้ใช้งาน Windows และแพร่ผ่านการส่ง spam email ไปยังผู้ใช้งานต่างๆด้วยหัวข้อหรือคำพูดที่น่าสนใจหรือดึงดูดให้คนกดเข้าไปเพื่ออ่านหรือ download file แนบเหล่านั้น โดยเมื่อเครื่องผู้ใช้งานติด malware ประเภทนี้แล้ว จะทำการเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่องของเราทำให้เราไม่สามารถอ่านเอกสารเหล่านั้นได้ หรือในบางครั้งถึงกับ Lock เครื่องไว้ ทำให้ผู้ใช้งานไม่สามารถเข้าใช้งานเครื่องได้เลยทีเดียว จากนั้น Ransomware ก็จะแสดงข้อความขู่ผู้ใช้งานต่างๆนาๆ ให้โอนเงิน(โดยปัจจุบันมักจะให้จ่ายในรูปแบบของ Bitcoin) ให้กับ Hacker ก่อนที่ข้อมูลเหล่านั้นจะถูกลบทิ้งไป โดย Ransomware ตัวที่แพร่หลายมากในปัจจุบันคือ CryptoLocker และ Cryptowall นั่นเอง

ขั้นตอนการทำงานของ Ransomware

พยายามแพร่กระจายผ่านเว็บไซด์ต่างๆ, แนบไฟล์ไปใน email
เมื่อผู้ใช้งานเปิดใช้งานจะสร้าง service และฝังการทำงานของ service ไปยัง Registry ของเครื่อง เพื่อให้ทำงานทุกครั้งเมื่อมีการเปิดเครื่อง
Ransomware ติดต่อกลับไปยังเครื่อง C&C Server(Command and Control Server) ของ Hacker เพื่อ download key สำหรับการเข้ารหัสและ config ต่างๆของภายใน Ransomware พร้อมทั้งลงทะเบียนกับ C&C Server เพื่อระบุว่าเครื่องที่ติดอยู่ที่ใด
นำ Key และ config ที่ได้รับจาก C&C Server มาเข้ารหัสเอกสารข้อมูลต่างๆภายในเครื่อง
แสดงหน้าข่มขู่ผู้ใช้งานพร้อมกับบอก link สำหรับวิธีการโอน Bitcoin ไปให้กับ Hacker

วิธีการป้องกัน Ransomware

ไม่ download file จาก email หรือเว็บไซด์ใดๆที่ไม่น่าเชื่อถือ
Scan file ใดๆก็แล้วแต่ที่ถูกส่งมาใน email หรือที่ download จากเว็บไซด์ใดๆ ด้วย Antivirus ก่อนใช้งาน หรือหากไม่สะดวกในการใช้งาน Antivirus ให้ทำการ upload ไฟล์เหล่านั้นไปยังเว็บไซด์สำหรับการตรวจสอบ malware เช่น www.

ในอดีตเมื่อ 10-20 ปีที่แล้ว หากพูดว่าเราทุกคนสามารถทำงานหรือใช้ชีวิตอยู่กับบ้านได้ โดยที่เรายังคงทำงาน พูดคุยซื้อขายของ ได้อย่างปกติคงเป็นเรื่องเพ้อฝันไม่น้อย แต่พอมาถึงวันนี้ วันที่ตู้เย็นสามารถสั่งของให้ได้เองอัตโนมัติ วันที่เราสามารถประชุมงานสำคัญผ่านระบบ video conference ได้ วันที่เราสามารถขายของออนไลน์ได้ตลอด 24 ชม. คงต้องบอกว่าทุกบริการหรือการใช้งานล้วนแต่เข้าสู่ระบบการให้บริการออนไลน์ทั้งหมดทั้งสิ้น ทำให้การสร้างความปลอดภัยของระบบจึงเป็นปัจจัยหนึ่งที่สิ่งสำคัญมาก เพื่อให้ธุรกิจขององค์กรต่างๆเดินหน้าต่อไปได้อย่างต่อเนื่อง หลักสำคัญหนึ่งของการสร้างความปลอดภัยของระบบคือการทำให้ระบบพร้อมใช้งานทุกเมื่อ ซึ่งอุปสรรคของการพร้อมใช้งานเป็นไปได้หลายประการ ไม่ว่าจะเป็น การเกิดภัยพิบัติ การเกิดเหตุจลาจล ฮาร์ดแวร์มีปัญหา บัคของระบบ และสิ่งที่อาจเกิดขึ้นได้บ่อยที่สุดคือการพยายามโจมตีเพื่อให้ไม่สามารถใช้บริการได้(Denial of Service หรือเรียกสั้นๆว่า DoS ) การโจมตีดังกล่าวสร้างปัญหาให้กับผู้ให้บริการต่างๆมากมาย ไม่ว่าจะเป็นผู้ให้บริการขนาดเล็กอย่างเว็บไซด์ หรือเว็บ Hosting ทั่วไป ไล่ไปจนถึงผู้ให้บริการขนาดใหญ่อย่างระดับ ISP เลยครับ โดยในบทความนี้จะพูดถึงการโจมตีแบบ Denial of Service ที่เป็นปัญหาเหล่านี้ครับ

ตรวจสอบ version OpenSSL ที่ใช้งาน
openssl version -aหากเป็น version 1.0.1, 1.0.1a-1.0.1f หรือ 1.0.2-beta แสดงว่าเป็นเวอร์ชั่นที่มีความเสี่ยงที่จะมีช่องโหว่

ทดสอบว่ามีช่องโหว่หรือไม่จากเว็บไซด์ดังต่อไปนี้

https://www.

ในปัจจุบันเราจะเห็นข่าวข้อมูลรั่วไหลจากองค์กรและบริษัทต่างๆมากมาย ข้อมูลที่หลุดออกมาไม่ว่าจะเป็น ข้อมูลแผนการตลาด, ข้อมูลของลูกค้าที่ใช้บริการ, ข้อมูลบัตรเครดิตของลูกค้า, ข้อมูลเงินเดือนของพนักงาน และอื่นๆอีกมากมาย ส่งผลให้องค์กรหรือบริษัทเหล่านั้นสูญเสียและมีผลกระทบมากมาย โดยสิ่งที่องค์กรเหล่านั้นสูญเสียนั้นมีหลายๆสิ่งที่ไม่สามารถตีค่าเป็นตัวเงินได้ ไม่ว่าจะเป็น ความน่าเชื่อถือขององค์กร, ความเชื่อมั่นของลูกค้า, ชื่อเสียงขององค์กร, โอกาสในการทำธุรกิจ, ความสามารถในการสู้ในเชิงการค้า และอื่นๆอีกมากมาย ซึ่งสิ่งเหล่านี้จำเป็นต้องใช้เวลาค่อนข้างมาก อาจจะมากกว่าเวลาทั้งหมดที่ใช้หรือก่อตั้งองค์กรนั้นๆขึ้นมาก็เป็นได้ ทำให้บริษัทต่างๆล้วนเห็นความสำคัญต่อ Cyber Security หรือการป้องกันการโจรกรรมข้อมูลต่างๆจากแฮคเกอร์ โดยถือว่าเป็นภัยคุกคามจากภายนอก แต่หารู้ไม่ว่าภัยจากภายในองค์กรก็น่ากลัวไม่ยิ่งหย่อนไปกว่าภัยคุกคามจากภายนอกเลยทีเดียว

ในช่วงเดือนมกราคม 2014 เกิดเหตุการณ์ข้อมูลรั่วไหลซึ่งถือเป็นภัยภิบัติต่อชาวเกาหลีใต้เลยก็ว่าได้ เมื่อข้อมูลบัตรเครดิตจำนวน 105.8 ล้านใบและข้อมูลของเจ้าของบัตรจำนวน 15-20 ล้านรายถูกพนักงานที่เป็น Software Engineer ทำสำเนาออกไปด้วย USB Drive จาก 3 สถาบันการเงินของเกาหลีใต้คือ KB Kookmin Card, Lotte Card, และ NH Nonghyup โดยเหตุการณ์นี้นับว่าเป็นการรั่วไหลข้อมูลครั้งใหญ่ที่สุดของเกาหลีใต้เลยทีเดียว โดยเมื่อข่าวปรากฎขึ้นพบว่ามีลูกค้าถึงห้าแสนรายยื่นเรื่องขอทำบัตรใหม่แล้วและอีกทั้งยังมีกลุ่มลูกค้าอีก 130 คนยื่นเรื่องขอฟ้องแบบกลุ่มต่อบริษัทบัตรเครดิต และส่งผลให้ผู้บริหาร 27 คนได้ยื่นใบลาออก รวมถึง CEO ของ NH Nonghyup Card และผู้บริหารระดับสูงหลายคน ยื่นใบลาออกเพื่อรับผิดชอบกับเหตุการณ์ที่เกิดขึ้นเลยทีเดียว

ข้อมูลที่ถูกนำออกมาได้ถูกขายไปแล้วอย่างน้อยสองครั้ง โดยหลังจากตำรวจสามารถตามจับพนักงานคนดังกล่าวและผู้ซื้อรายหนึ่งได้แล้ว พบว่าการกระทำผิดนี้ทำมาแล้วเป็นเวลา 1 ปีครึ่งเลยทีเดียว โดยพนักงานคนดังกล่าวกล่าวว่าได้เขียนโปรแกรมสำหรับการหลบเลี่ยงการตรวจจับการโกงเงิน (anti-fraud software) ขึ้นในขณะที่ทำสำเนาข้อมูลจากเครื่องของสถาบันมาสู่ USB Drive ของพนักงานคนดังกล่าว

การเกิดเหตุรั่วไหลครั้งนี้ส่งผลต่อแบรนด์(Brand) และความน่าเชื่อถืออย่างมาก มีหลายบริษัทที่ต้องล้มละลายหรือไม่สามารถกลับมายืนในธุรกิจได้ เนื่องด้วยไม่สามารถกู้ชื่อเสียงกลับมาได้นั่นเอง โดยการป้องกันการรั่วไหลของข้อมูลเหล่านี้เราสามารถทำได้ด้วยการคอย audit พนักงานที่ทำงานกับข้อมูลที่สำคัญเหล่านี้อย่างสม่ำเสมอและติดตั้งระบบตรวจจับพฤติกรรมที่ผิดปกติของผู้ใช้งาน เพื่อคอยสอดส่องการใช้งานต่างๆ ซึ่งในกรณีนี้ พนักงานที่เป็นผู้ร้ายจำเป็นต้องมีสิทธิ์การเข้าถึงระบบงานและสำเนาข้อมูลออกมาจำนวนมาก หากเราตั้งค่าของระบบเตือนภัยให้มีการเตือน(Alert) เมื่อผู้ใช้งานมีการสำเนาข้อมูลจำนวนมากกลับมาจากเซอร์เวอร์ได้ ซึ่งหากผู้ดูแลระบบได้รับการเตือนก่อนหน้านี้ เหตุการณ์ทั้งหมดก็อาจไม่เกิดขึ้นและจะสามารถจับผู้กระทำความผิดได้ในทันทีก็เป็นได้

รูปภาพ infographic ค่าความเสียหายที่เกิดขึ้นในกรณีข้อมูลรั่วไหลต่างๆจากเว็บไซต์
http://www.

ในวันที่ 5/06/2014 ที่ผ่าน มีการเปิดเผยโดยนักวิจัยทางด้านความปลอดภัยที่ใช้ชือว่า Pinkie Pie ได้ตรวจพบช่องโหว่ใน function futex_requeue() ในไฟล์ kernel/futex.

การเข้ารหัสการสื่อสารข้อมูลระหว่างเครื่อง client และเครื่อง server เริ่มมีการใช้งานกันอย่างแพร่หลาย และ library ที่ใช้กันอย่างแพร่หลายคือ OpenSSL เพราะเป็น Open Source และสามารถใช้ได้ทั้งใน TLS, SSL Protocol ทำให้มีผู้นำไปพัฒนาใช้กับโปรแกรมประเภทต่างๆมากมาย แต่ในเมื่อวันที่ 7 เมษายน 2557 ที่ผ่านมามีการเปิดเผยช่องโหว่ OpenSSL ในส่วนของ Heartbeat extension จาก OpenSSL โดยผู้แจ้งคือ Riku, Antti และ Matti, ทีม security engineer จาก Codenomicon และ Neel Mehta จาก Google Security Team ช่องโหว่นี้กระทบทั้ง HTTPS, Email, Instant Messaging, VPN บางตัว หรือแม้แต่ Server ต่างๆที่ให้บริการกับ Mobile Application ต่างๆก็อาจมีช่องโหว่ได้เช่นกัน โดยช่องโหว่ดังกล่าวถูกตั้งชื่อว่า “Heartbleed” (CVE-2014-0160) ไม่ทราบเหมือนกันว่าทำไมถึงใช้ชื่อนี้ แต่อาจจะพยายามให้คล้ายกับชื่อเดิมก็เป็นได้ครับ

อะไรคือ Heartbeat Extensionและช่องโหว่ของ Heartbeat Extension เกิดขึ้นได้อย่างไร

Heartbeat extension (RFC 6520 Standard) เป็นส่วนเสริมของ OpenSSL โดยใช้เป็น Keep Alive packet มีส่วนประกอบด้วยกัน 2 ส่วนคือ request และ response กล่าวคือเป็นการตกลงกับ server ปลายทางว่าหลังจากจบการเชื่อมต่อที่เข้ารหัสแล้ว ให้ยังคงเก็บ session เปิดค้างไว้แม้ว่าจะไม่มีการส่งข้อมูลอะไรให้อีกก็ตาม นอกจากนี้ยังใช้ในการตกลงระหว่างทั้ง 2 ฝ่ายให้คุยกันได้อย่างราบรื่นอีกด้วย

การส่ง Request ตาม Standard นั้นจะกำหนดขนาดสูงสุดอยู่ที่ 16KByte (214 Byte) แต่โดยปกติ OpenSSL จะสร้าง request ที่สั้นกว่านั้นมาก โดยส่วนประกอบของ Heartbeat Request เป็นดังนี้

TLS1_HB_REQUEST ขนาด 1 Byte เป็นตัวกำหนดประเภทของ Message
Payload Length ขนาด 2 Byte เป็นตัวกำหนดขนาดของ Payload + Padding(ส่วนเติมเต็ม packet)
Sequence Number ของ Payload ขนาด 2 Byte
Payload ขนาด 18 Byte
Padding ขนาด 16 Byte

/* Enter response type, length and copy payload */
*bp++ = TLS1_HB_RESPONSE;
s2n(payload, bp);
memcpy(bp, pl, payload);
ตัวอย่าง Source Code ที่มีช่องโหว่ของ Heartbeat extension

แต่ประเด็นคือตอนรับข้อมูลไม่ได้ตรวจสอบดีนัก เนื่องด้วย Heartbeat extension จะตอบกลับด้วย copy ของ payload data ที่ได้รับตอน request ซึ่งเป็นตัวบ่งบอกว่าวงจรการเข้ารหัส (Encrypted circuit) ยังคงทำได้ปกติทั้ง 2 ฝั่ง ซึ่งหากผู้ส่ง Request มีการใส่ค่า payload ขนาดเล็กแต่กำหนด payload size เป็น 0xFFFF(65535 byte) ทาง OpenSSL จะไป copy 65535 byte จาก payload ที่ส่งไปและ memory ที่ใช้กับ connection ของผู้อื่นที่จบ connection พอดีมาให้แทน นั่นหมายความว่าหาก Heartbeat request ที่ส่งไปยังเว็บไซต์ที่เป็น HTTPS โดยไม่ได้ใส่ payload ใดๆลงไปแต่กลับกำหนดขนาดของ payload length เป็น 0xFFFF แทน จะทำให้ OpenSSL จะนำข้อมูล HTTP ของผู้อื่นทั้ง HTTP Request และ HTTP Response จะถูก copy จนครบ 65535 และส่งกลับมาให้เราแทน โดยข้อมูลเหล่านั้นอาจจะเป็นได้ทั้ง username, password, cookies, x.509 certificates เป็นต้น

รูปภาพตัวอย่างโครงสร้าง Heartbeat Request และ Response ที่เป็นปัญหา

มีเว็บไซต์ชื่อดังมากมายที่ได้รับผลกระทบจากช่องโหว่นี้ไม่ว่าจะเป็น www.

ช่วงที่ผ่านมามีคนตั้งคำถามมากมายเกี่ยวกับการเก็บรหัสผ่าน(Password) ของเว็บไซต์ต่างๆทั่วโลกรวมถึงประเทศไทยด้วย ว่าการเก็บเป็นแบบข้อความโดยไม่มีการเข้ารหัส (plain text) สมควรหรือไม่ บางคนก็ว่าเว็บไซต์ไม่ได้มีการทำธุรกรรมออนไลน์ใดๆ ไม่จำเป็นต้องเก็บแบบเข้ารหัสหรอก ไม่ต้องให้ความสำคัญหรือจริงจังอะไร แต่หารู้ไม่ว่าการเก็บข้อมูล password แบบไม่เข้ารหัสนั้นแฝงไปด้วยภัยอันตรายมากมาย

เว็บไซต์กับรูปแบบการเก็บ Password

ไม่ว่าจะเป็นเว็บไซต์ของบริษัทชื่อดังหรือไม่ก็ตาม ก็ยังพบเห็นได้ทั่วไปกับพฤติกรรมการเก็บ Password แบบที่ไม่เข้ารหัส โดยถึงแม้ว่าเว็บไซต์เหล่านั้นจะไม่มีการทำธุรกรรมออนไลน์แต่อย่างใด แต่กลับมีการระบุให้ผู้ใช้งานทั่วไปที่ต้องการสมัครสมาชิกของเว็บไซต์เหล่านั้นกรอกข้อมูลสำคัญของตนเองในแบบฟอร์มการสมัครสมาชิกด้วยเช่นกัน นั่นหมายความว่าเว็บไซต์เหล่านั้นก็จะเก็บข้อมูลสำคัญของผู้ใช้งานไว้พร้อมกับการเก็บ password แบบไม่เข้ารหัสไว้นั่นเอง

รูปภาพตัวอย่างเว็บไซต์ที่เก็บ password แบบไม่เข้ารหัส

โดยปกติเว็บไซต์ทั่วไปจะมีการเก็บ Password เป็น 3 แบบด้วยกันคือ

การเก็บข้อมูลแบบ plain text คือการเก็บ password แบบไม่มีการเข้ารหัสแต่อย่างใด
การเก็บข้อมูลแบบเข้ารหัส แต่สามารถถอดรหัสได้
การเก็บโดยใช้เป็นแบบ one-way hashing คือการเข้ารหัสแบบทางเดียว กล่าวคือเมื่อทำการเข้ารหัสไปแล้ว จะไม่สามารถทำกระบวนการย้อนกลับหรือถอดรหัส(decryption) ได้อีก

รูปภาพตัวอย่างการใช้งาน Hash function

นั่นหมายความว่าหากเราทดสอบด้วยการ “ลืม password (forgot password)” กับเว็บไซต์ใดๆ แล้วเว็บไซต์ส่ง email กลับมายังฝั่งผู้ใช้งานพร้อมกับ password ของผู้ใช้ นั่นหมายความว่าเว็บไซต์เหล่านั้นมีการเก็บ password เป็นแบบ 1, 2 แน่นอน และมักจะพบว่าเป็นแบบที่ 1 อีกด้วย

ภัยจากการเก็บ Password แบบไม่เข้ารหัส

ถ้ามองแบบผิวเผิน การเก็บ Password แบบไม่เข้ารหัสก็น่าจะไม่มีพิษมีภัยอะไร แต่จริงๆ แล้วมันทำให้เกิดภัยอันตรายต่างๆ ได้มากมายเช่น

การปลอมแปลงตัวตน(Impersonate Person) ในปัจจุบันการใช้งานเว็บไซต์ใดๆ จะมี username เปรียบเสมือนตัวแทนของเรา ไม่ว่าเราจะกระทำสิ่งใดก็แล้วแต่ในเว็บไซต์นั้นๆ เช่น การเขียนข้อความลงในกระทู้ภายในเว็บไซต์ การส่งข้อความให้กับผู้ใช้งานอื่น เป็นต้น เปรียบเสมือนเป็นการกระทำของตัวเราเอง โดยทางเว็บไซต์จะเก็บการกระทำต่างๆ จากผู้ใช้งานลง log file หากมีการเก็บ password เป็นแบบ plain text จะทำให้ผู้ดูแลเว็บไซต์หรือใครก็แล้วแต่ที่สามารถเข้าถึง database ที่เก็บ password นั้นๆ ได้ สามารถปลอมแปลงเป็นผู้ใช้งานใดๆ ก็ได้ ซึ่งอาจนำไปสู่กาสร้างสถานการณ์และโยนความผิดกับผู้ใช้งานใดๆ ก็เป็นได้
การได้มาซึ่งข้อมูลสำคัญของบุคคล(Internal Threat & Information Leak)
จากที่กลาวไปก่อนหน้านี้ว่า ยังมีเว็บไซต์หลายเว็บไซต์ที่ให้ผู้สมัครสมาชิกจำเป็นต้องกรอกข้อมูลสำคัญของผู้ใช้งานเช่น เลขประจำตัวประชาชน, ที่อยู่, เบอร์โทรศัพท์, วัน/เดือน/ปีเกิด เป็นต้น หากผู้ดูแลสามารถทราบถึง password ที่ไม่ได้เข้ารหัสของผู้ใช้งานได้ ก็อาจจะเข้าถึงข้อมูลสำคัญเหล่านี้ได้ และอาจนำข้อมูลสำคัญเหล่านี้ไปใช้ในทางที่ผิดต่อไปได้
การเข้าถึง account อื่นๆของผู้ใช้งาน (Using same password in multiple account)มีหลายท่านที่มีการใช้งาน username, password เหมือนๆกันในหลายๆเว็บไซต์ หรือในหลายๆ email account นั่นหมายความว่าหากเว็บไซต์หนึ่งในนั้นสามารถถูกเข้าถึง password ที่ไม่ได้เข้ารหัสไว้ได้ ไม่ว่าจะเกิดจากการถูกแฮ็ค หรือผู้ดูแลระบบเข้าถึงข้อมูลดังกล่าวเองก็ตามที ผู้ที่ได้ password นั้นไปก็จะสามารถเข้าถึง account ในเว็บไซต์อื่นๆที่มีความสำคัญของผู้ใช้งานได้ รวมถึงผู้ที่ได้ password อาจไปแก้ไข password ของผู้ใช้งานนั้นได้อีกด้วย
การหลอกล่อมาเพื่อให้ได้ password (Phishing with genuine website) *** หากมี Hacker สามารถเจาะเข้าไปในเว็บไซต์ชื่อดังที่มีชื่อเสียงแต่กลับเก็บ password เป็นแบบ plain text ได้ Hacker อาจพยายามหลอกล่อให้ผู้อื่นเข้ามาสมัครเว็บไซต์ชื่อดังดังกล่าว เพื่อหวังผลทางด้านโปรโมชั่นหรือรับข่าวสารใดๆก็แล้วแต่ เมื่อมีเหยื่อติดกับ Hacker ก็จะได้ทั้ง password ซึ่งอาจจะมีการใช้ร่วมกับเว็บไซต์อื่น, รวมถึงข้อมูลส่วนตัวที่สำคัญอื่นๆก็เป็นได้

*** อ้างอิงแนวคิดนี้จาก http://pantip.

เมื่อวันที่ 7 เมษายน 2557 ที่ผ่านได้มีนักวิจัยทางด้านความปลอดภัยพบช่องโหว่ที่รุนแรงที่สุดตั้งแต่มีโลกของอินเตอร์เน็ตมา นั่นคือช่องโหว่ของ OpenSSL ที่ชื่อว่า Heartbleed ช่องโหว่ดังกล่าวกระทบกับเว็บไซด์และระบบชื่อดังต่างๆที่มีการใช้งาน OpenSSL ไม่ว่าจะเป็น Gmail, Yahoo mail, ผลิตภัณฑ์ของ Juniper, ผลิตภัณฑ์ของ CISCO และอื่นๆอีกมากมาย หากมองว่าผมกระทบความรุนแรงมีตั้งแต่ระดับ 1 – 10 ช่องโหว่นี้ถือว่ามีความรุนแรงในระดับ 11 เลยทีเดียว ช่องโหว่ดังกล่าวมีสิ่งที่ทำให้ระดับความรุนแรงสูงเนื่องด้วย 3 ประการ

แฮ็คเกอร์สามารถใช้ช่องโหว่ดังกล่าวในการขโมย username, password ของผู้ใช้งานเว็บไซด์ต่างๆได้ นั่นทำให้
แฮ็คเกอร์สามารถขโมย user/password ของผู้ใช้งานทั่วไปจากเว็บไซด์การให้บริการทางการเงินออนไลน์(Internet Banking) เพื่อทำการโอนเงินของเหยื่อเหล่านั้น
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของอุปกรณ์เครือข่ายต่างๆ(network device) เพื่อแก้ไขค่า config ใดๆของระบบได้(เช่น การเพิ่ม rule “Allow any any” เพื่อให้สามารถเข้าถึงเน็ตเวิร์คภายในได้ทั้งหมาดจากภายนอก)
แฮ็คเกอร์สามารถขโมย user/password ของผู้ดูแลของเว็บไซด์ใดๆ จากนั้นแก้ไขค่า config ของเว็บไซด์นั้นๆ(เช่น การเพิ่ม user ของแฮ็คเกอร์เป็น admin ใหม่ของเว็บไซด์ เป็นต้น)
และยิ่งสำคัญไปกว่านั้น มีหลายๆคน(โดยเฉพาะ IT Admin)มักจะใช้ password เดียวกันในหลายๆ account.