ช่องโหว่ Heartbleed ครบรอบ 5 ปีที่มีการรายงานต่อสาธารณะในวันนี้ Colm MacCárthaigh วิศวกรด้านเน็ตเวิร์คและความมั่นคงปลอดภัยไซเบอร์ของ AWS ก็ออกมาทวีตถึงประสบการณ์ในวันนั้น
Heartbleed เป็นช่องโหว่ที่แฮกเกอร์สามารถอ่านหน่วยความจำในเซิร์ฟเวอร์ได้ ความพิเศษของมันคือการโจมตีทำได้ง่ายอย่างยิ่ง ทำให้คาดได้ว่าหลังจากช่องโหว่เปิดเผยต่อสาธารณะแล้ว จะมีการโจมตีภายในเวลาอันสั้น เทียบกับช่องโหว่อื่นที่แม้จะร้ายแรง เช่น สามารถรันโค้ดบนเครื่องเหยื่อได้ แต่การโจมตีมักมีความซับซ้อน ทำให้เกิดการโจมตีจริงหลังรายงานออกมาแล้วระยะหนึ่ง
เขาระบุว่าหลังจากได้รับรายละเอียดของ Heartbleed ทีมก็จัดประชุมทางไกลทีมทำงาน แล้วประกาศความร้ายแรงเหตุการณ์เป็นระดับ sev-1 ซึ่งร้ายแรงที่สุดที่เขาเคยเห็น จากนั้นทีมงานระบุว่าต้องแพตช์ทุกระบบที่ได้รับผลกระทบภายในวันนั้น ทำให้การดีพลอยซอฟต์แวร์ทั้งหมดต้องหยุดรอออกไปก่อน โดยการตัดสินใจนี้มีทั้งซีอีโอและรองประธานบริษัทร่วมอยู่ด้วย และเห็นด้วยกับการตัดสินใจนี้
ทีมงานพัฒนาแพตช์ขนาดเล็กเพียง 2 บรรทัดเพื่อลดผลกระทบอื่นที่ไม่คาดคิดให้น้อยที่สุด แล้วเริ่มปล่อยแพตช์ภายในหนึ่งชั่วโมง แต่หลังจากนั้นทีมงานก็วิเคราะห์ว่าหากถูกโจมตีไปก่อนหน้านั้นแล้วข้อมูลอะไรจะหลุดออกไปได้บ้าง และพบว่าบางส่วนของกุญแจลับเข้ารหัสอาจจะถูกดึงออกไปได้ ทำให้ทีมงานต้องตัดสินใจแจ้งลูกค้าให้เปลี่ยนกุญแจและยกเลิกกุญแจเดิมทิ้ง
ขั้นต่อไปของการรับมือช่องโหว่นี้คือการสแกนเครื่อง EC2 ของลูกค้าทั้งหมดแม้ปกติ AWS จะไม่เข้าไปตรวจสอบความปลอดภัยให้ก็ตาม แต่กรณีที่ร้ายแรงพอที่ AWS จะแจ้งลูกค้าโดยตรง ลูกค้าบางรายแจ้งกลับมาว่า OpenSSL ที่มีช่องโหว่ติดอยู่ในแพ็กเกจซอฟต์แวร์ที่ต้องอัพเดตทั้งก้อนแต่ผู้ผลิตยังไม่ได้อัพเดตให้ รองประธานของ AWS จึงขอให้ MacCárthaigh เขียน netfilter เพื่อกรองการโจมตีที่ระดับเคอร์เนลลินุกซ์ก่อน
หลังจบเหตุการณ์ ทาง AWS มีการวางแผนรายปีและพิจารณาว่าควรพัฒนาไลบรารี SSL/TLS ของตัวเอง จึงได้เป็นโครงการ s2n ออกมา
ท้ายที่สุดเขาวิจารณ์ถึงการออกแบบฟีเจอร์ Heartbeat ของ TLS ว่าไม่สมเหตุสมผลแต่แรก เพราะการขอ ping ธรรมดาโดยไม่ขอข้อมูลใดๆ ก็ทำงานได้เหมือนกัน และจนทุกวันนี้ก็ยังคิดไม่ออกว่าทำไมต้องมีฟีเจอร์ขอข้อมูลโดยระบุขนาดข้อมูลไว้ด้วย
ที่มา - @colmmacc